Il ruolo degli informatori scientifici alla luce della normativa GDPR e del Codice Privacy

Il ruolo degli informatori scientifici alla luce della normativa GDPR e del Codice Privacy

A cura dell’Avv Maria Rosaria Pace e Dr Edoardo Di Trolio DPO e valutatore Privacy Certificato UNI 11697, Auditor Privacy  schema 10003.

La categoria dell’informatore scientifico che sia agente di commercio si colloca nell’ambito del lavoro parasubordinato, regolato dagli articoli 1742 e seguenti del Codice civile e dagli Accordi Economici Collettivi.

Col contratto di agenzia, una parte assume stabilmente l’incarico di promuovere, per conto dell’altra, verso retribuzione, la conclusione di contratti in una zona determinata.

Dunque, anche l’Agente di commercio informatore, in qualità di libero professionista che non lavora in un’organizzazione societaria con un basso (o quasi nullo grado di autonomia), è da qualificare come Titolare o Responsabile esterno del trattamento dei dati a secondo della determinazione delle finalità e dei mezzi, e dovrà essere in regola con le prescrizioni della normativa in materia di privacy.

Responsabile esterno del Trattamento 

Gli agenti monomandatari, che operano con propri mezzi personali -macchina, computer, cellulare- e propri sistemi di gestione, ma che prendono gli ordini su modulistica dell’azienda mandante e forniscono un’informativa privacy dell’azienda in mandato, non hanno titolarità del portafogli clienti.

In questo caso è evidente che gli agenti non hanno alcuna libertà decisionale relativa alle finalità del trattamento ma solo relativa ai mezzi del trattamento.

L’azienda mandante viene percepita come titolare del trattamento e l’agente opera come responsabile esterno dell’azienda mandante su base contrattuale, che vincoli l’agente all’azienda e regoli la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. (articolo 28 del Regolamento UE 2016/679).

Titolare autonomo del Trattamento

L’Agente di Commercio si inquadra come “Titolare autonomo del Trattamento” se il portafoglio clienti è di proprietà, se i mezzi del trattamento sono definiti dall’agente, se gli ordini sono su modulistica dell’agenzia e se l’informativa ai clienti è sempre di quest’ultima.

In tal caso il cliente percepisce l’agenzia come titolare del trattamento e la stessa deve conformare l’attività aziendale alle disposizioni normative, anche al fine di poter dimostrare alle varie Case Mandanti la piena conformità al trattamento dei dati di clienti e fornitori onde evitare di incorrere in violazioni ed eventuali sanzioni.

Consideriamo che i semplici dati quale ad esempio: indirizzo di residenza o domicilio dei clienti, codice fiscale, Iban sono considerati dati personali, e comunicarli alla mandante è un’attività di trattamento e di cessione, che- affinché sia lecita- è necessaria che sia basata su un consenso esplicito rilasciato dal cliente dopo che sia stata fornita apposita e adeguata informativa chiara sulle modalità con cui i dati vengono trattati / conservati /trasmessi.

L’Agente che intende effettuare un trattamento di dati personali dovrà fornire all’interessato un’informativa privacy completa e comprensibile (articolo 13 del Regolamento UE 2016/679) e metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo).

In particolare, l’informativa deve spiegare:

  • a) per quale scopo e la base giuridica sulla quale si fonda il trattamento dei dati personali;
  • b) se il conferimento dei dati personali è obbligatorio o facoltativo;
  • c) le conseguenze di un eventuale rifiuto a rendere disponibili i dati personali;
  • d) a chi saranno comunicati o se saranno saranno trasferiti all’estero i dati personali;
  • e) i diritti previsti dagli articoli 11-22 del Regolamento (UE) 2016/679;
  • f) chi è il titolare e (se è stato designato) il responsabile del trattamento;
  • g) gli eventuali legittimi interessi del titolare, se questi costituiscono il fondamento di liceità del trattamento;
  • h) il periodo di conservazione dei dati e il diritto di revocare il consenso;
  • i) l’esistenza di un processo decisionale automatizzato;
  • l) l’origine dei dati, se raccolti presso terzi.

L’omessa o inidonea informativa è punita con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 5, lett. b), del Regolamento (UE) 2016/679. 

Il consenso

Il Titolare deve sempre essere in grado di dimostrare che l’interessato ha prestato il proprio consenso (articolo 7 del Regolamento UE 2016/679), che è valido se:

  • all’interessato è stata resa l’informazione (articoli 12 e 13 del Regolamento);
  • è stato espresso dall’interessato liberamente e può essere sempre revocabile;
  • è stato espresso esplicitamente, per una o più finalità specifiche, qualora il trattamento abbia ad oggetto categorie particolari di dati personali.

Il trattamento di dati personali effettuato in assenza del consenso è punito con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 5, lett. a), del Regolamento (UE) 2016/679.

Modalità del trattamento

Il trattamento deve avvenire nel rispetto dei seguenti principi (articolo 5 del Regolamento UE 2016/679):

  • liceità, correttezza e trasparenza del trattamento;
  • finalità del trattamento;
  • esattezza e aggiornamento dei dati;
  • adeguatezza, pertinenza, e limitazione dei dati raccolti rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati trattati;
  • conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • sicurezza adeguata del trattamento.

Il trattamento di dati personali effettuato in violazione dell’articolo 5 è punito con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 5, lett. a), del Regolamento (UE) 2016/679. 

Misure di sicurezza – Notifica

Il Titolare del trattamento è obbligato ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio di distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato che potrebbero cagionare un danno fisico, materiale o immateriale (articolo 32 del Regolamento UE 2016/679)

In particolare, il Titolare deve adottare, se del caso, la pseudonimizzazione e la cifratura dei dati; misure utili a garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza adottate.

Tutti i dati di cui si dispone dovranno essere protetti (cifrati e/o pseudonimizzati o inseriti in cartelle protette all’interno di un sistema informatico protetto) e dovrà essere garantito un rapido backup degli stessi.

L’omessa applicazione delle misure di sicurezza è punita, a seconda dei casi, con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 4, lett. a), ovvero paragrafo 5, lett. a), del Regolamento (UE) 2016/679.

Qualora, nonostante tutte le misure tecniche e organizzative predisposte, si verifichi una violazione dei dati, il Titolare sarà tenuto ad informare l’Autorità garante della Privacy entro 72 ore dalla scoperta della violazione e se i dati violati possano incidere sui diritti e le libertà deve informare tempestivamente l’interessato. (articolo 33 del Regolamento UE 2016/679).    

Registro – DPO

Dovrà certamente essere tenuto un registro delle attività di trattamento così come previsto dall’art. 30 GDPR, in forma scritta e/o in formato elettronico e al contempo individuare come incaricati del trattamento le persone che sono autorizzate a venire a contatto di questi dati;

Non si ritiene necessario la nomina di un Data Protection Officer in quanto l’informatore scientifico per sua natura professionale tratta dati di categorie particolari così come previsti dall’art. 9 GDPR.

Gli unici dati sensibili potrebbero essere quelli relativi al personale dipendente, di cui si potrebbe essere venuti in possesso e che in ogni caso sarebbe lecito trattare (con maggiori accorgimenti) senza necessità di nomina del DPO purché non trattati su “larga scala”.

Autore: Avv. Maria Rosaria Pace

Avv. Maria Rosaria Pace

Maria Rosaria Pace si laurea all’Università degli Studi di Salerno con una tesi in diritto penale societario. L’attività legale inizia nel 2010: subito dopo la laurea inizia la collaborazione per apprendere la materia del diritto del lavoro in tutte le sfaccettature. Oltre a vari contributi su Diritto24 de il Sole 24 ore, GIUFFRE', ha scritto il manuale “A tutela degli agenti di commercio”; e' Direttore scientifico della rivista "FARMACI & MANAGEMENT", legale della Confesercenti/Fiarc di Napoli, Relatrice al PHARMEXPO'; ha collaborato con FEDAIISF in qualità di legale degli informatori scientifici del farmaco e attualmente segue altre associazioni di isf.

I commenti a questo articolo sono chiusi

Perché possiamo contare sui (con) i dati IQVIA
Certificazioni, Master o percorso universitario: che scelta fare?

Articoli correlati