C’è sempre molta confusione sulla responsabilità dei dati dei giornalisti che gli addetti stampa hanno nelle loro mailing list con cui svolgono l’attività di ufficio stampa. I casi possono essere davvero molto variegati: ufficio stampa che usa una banca dati esterna, oppure un ufficio stampa che si costruisce la mailing attingendo da internet, o ancora l’agenzia stampa che si avvale in outsourcing di un addetto stampa che usa una banca dati esterna, etc. Di chi è la responsabilità? Ci sono delle procedure formali da fare? Ho pensato, visto che mi occupo di uffici stampa che bisognava assolutamente parlare con una professionista come l’Avvocato Betty De Paola in Bologna, esperta in materia di trattamento dati personali.
L’argomento è molto complesso per questo saranno tre puntate.
Avv. Betty De Paola
Qual è lo scopo del GDPR e a chi si rivolge?
Il Regolamento Europeo 2016/675 si pone in linea in continuità con l’attenzione che il legislatore comunitario (ed anche nazionale) ha dimostrato già in passato di riservare al dato personale, alla cui tutela è per l’appunto preposto. Per dato personale si intende il dato di una persona fisica, identificata e/o identificabile. I dati personali rientrano a pieno titolo nei diritti della personalità e dell’individuo: si tratta di diritti inviolabili, riconducibili nell’alveo dell’art. 2 della Costituzione. Il Regolamento Europeo trova applicazione ogniqualvolta venga posta in essere un’attività di trattamento di dati. Il Regolamento non si applica, invece, in caso di trattamento per fini personali (pensiamo al caso della rubrica contenente contatti non destinati ad uso “professionale”).
Si tratta di una disciplina uniforme a livello europeo, che trova applicazione ai trattamenti di dati svolti nell’UE o da Titolari (o Responsabili) che vi risiedono.
Chi è il titolare del trattamento dei dati? E se coincide sempre con il resp dei dati
Il Titolare del trattamento è il soggetto (persona fisica o giuridica) che definisce le finalità (per quale motivo tratto i dati?) ed i mezzi (come tratto i dati, con quali caratteristiche?). Il Responsabile è, invece, il soggetto (persona fisica o giuridica) che tratta dati per conto del Titolare. Può accadere che, in capo ad uno stesso soggetto, si concentrino sia il ruolo di Titolare del trattamento che di Responsabile Esterno: è il caso, ad esempio, di un soggetto che raccoglie dati per sé e che svolge anche “servizi” per terzi. In un’ipotesi del genere, ci sarà sovrapposizione tra le due figure.
Quali sono le responsabilità dell’uno e dell’altro
Il Titolare è obbligato a scegliere esclusivamente Responsabili che presentino garanzie sufficienti a trattare i dati nel pieno rispetto del Regolamento e dei diritti degli Interessati, cioè dei soggetti dei cui dati si tratta. In altri termini, il Titolare “risponde” del comportamento del Responsabile che violi il Regolamento. In tale prospettiva, non solo è importante ricorrere a Responsabili che offrano le indicate garanzie, ma occorre anche formalizzare i rapporti tra Titolare e Responsabile, mediante contratto o altro atto giuridico (art. 28 GDPR), nonché esercitare un potere di controllo e di verifica sull’attività del Responsabile stesso. Il Responsabile risponde del danno causato dal trattamento solo se non ha adempiuto agli obblighi che il Regolamento pone a carico del Responsabile stesso, oppure nel caso in cui abbia disatteso le istruzioni impartite dal Titolare. Qualora dovesse verificarsi corresponsabilità tra tali soggetti, è possibile agire in regresso.
Se l’azienda si avvale di una media list abbonamento per il suo ufficio stampa interno, chi è resp dei dati l’azienda che fornisce la lista, oppure l’azienda che compra la lista?
Nel caso in cui un’azienda abbia solo la possibilità di consultare i dati contenuti all’interno della media list abbonamento, si potrebbe ritenere che la titolarità dei dati sia dell’azienda che fornisce la lista, la quale è tenuta a implementare le proprie banche dati in modo corretto e lecito, nel rispetto delle prescrizioni del GDPR e delle ulteriori norme nazionali applicabili. In ipotesi del genere, dunque, l’azienda che si avvale della media list e quella che la sviluppa sono Titolari degli stessi dati sotto “profili” diversi: il Titolare / azienda deve rispettare il Regolamento nell’attività svolta dal proprio ufficio stampa interno (invio del comunicato stampa); il Titolare / azienda che fornisce la mailing list deve correttamente e lecitamente tenere e arricchire la banca dati. È importante ricordare che la definizione dei ruoli nel panorama GDPR sfugge spesso a rigide classificazioni, dal momento che la qualificazione giuridica degli “attori” del trattamento dipende dall’attività in concreto svolta, dal flusso dei dati, il cui esame deve essere condotto caso per caso.
To be continued
Non perderti i nuovi post!
Ricevi una newsletter con gli ultimi articoli del Blog e della sezione Tolktolk, Conversazioni tra professionisti
Scrivimi dc@doracarapellese.it