GDPR PRIVACY: COSA RESTA DELLA VECCHIA NORMATIVA
Una volta delineato lo scenario, siamo pronti a scoprire i punti di continuità del GDPR privacy con la normativa che rimarrà in vigore fino al 24 maggio 2018.
SI APPLICA SUI DATI PERSONALI
Così come il Codice privacy, la normativa del nuovo regolamento si applica al trattamento dei dati personali. Si tratta delle informazioni riferite a persone fisiche, che siano identificate o anche solo identificabili attraverso un codice numerico (conto corrente, indirizzo IP, targa automobilistica).
Il GDPR si applica anche a dati in forma di immagini o suoni, e dunque anche ai sistemi di videosorveglianza utilizzati dai concessionari.
OCCHIO AI DATI SENSIBILI
Grande attenzione va attribuita a una particolare categoria di dati personali: i dati sensibili. “Sono confermate le particolari cautele che vanno adottate per le informazioni relative, tra le altre, alla salute delle persone, all’origine razziale o etnica e a eventuali condanne penali o reati”, sottolinea Guerra.
Informazioni che i dealer maneggiano, ad esempio, nel caso di acquisto di veicoli attraverso agevolazioni fiscali per gli invalidi.
RUOLI SOGGETTIVI
Così come in passato, il soggetto che assume le decisioni sul trattamento dei dati è il titolare del trattamento (in concessionario o la Casa madre). Il soggetto che opera per conto del committente, ad esempio un fornitore di servizi informatici o di elaborazione paghe, di solito esterno, è il responsabile del trattamento.
Detto questo, la normativa europea conferma una serie di principi generali: liceità e correttezza del trattamento dei dati, limitazione delle finalità, minimizzazione ed esattezza dei dati e, soprattutto, limitazione della conservazione dei dati.
INFORMATIVA E CONSENSO
Confermati gli adempimenti dell’informativa e dell’eventuale consenso da richiedere ai clienti nel momento della richiesta di un preventivo o dell’acquisto di un veicolo. “Per quanto riguarda l’informativa – chiarisce l’avvocato Guerra – entro il 25 maggio bisognerà aggiornare le modulistiche, inserendo il riferimento al GDPR”.
Con alcune piccole novità: “L’indicazione dei tempi di conservazione dei dati e una specificazione della base giuridica del trattamento, dell’eventuale trasferimento dei dati al di fuori dell’Ue ove previsto (se la Casa madre è negli Stati Uniti), della possibilità di revocare il consenso e, se il trattamento si basa sul consenso, di presentare reclamo al Garante“.
Il consenso rimane sempre la regola quando il concessionario vuole utilizzare i dati per fini promozionali. “L’unico caso in cui è possibile una deroga – spiega Giovanni Guerra – è quando l’email venga acquisita nell’ambito della relazione contrattuale e il dealer informa che la utilizzerà anche per l’invio di comunicazioni commerciali, finché il cliente non si opponga”.
IL RAPPORTO CON LA CASA MADRE
Spesso i dealer operano per conto del brand o dei brand rappresentati, ha spiegato Guerra. Un altro dei punti da considerare consiste quindi nella gestione dei flussi di dati tra i due poli, tenendo presente che nell’ambito degli accordi in essere accade di frequente che vengano fornite istruzioni e direttive per chiarire il “modus operanti” in materia di privacy, che deve risultare allineato.