Linee guida per la gestione da parte dei Concessionari delle attività di trattamento dei dati personali e degli adempimenti previsti dalla normativa sulla privacy (D.lgs. n. 196/2003 e s.m.i)

Circolare n. 50/2016 – CO 15/2016

Come si ricorderà, nei mesi scorsi il Nucleo Speciale Privacy della Guardia di Finanza, su incarico dell’Autorità garante per la protezione dei dati personali, ha avviato dei rigorosi controlli sulle modalità di trattamento dei dati personali presso le sedi delle concessionarie in ottemperanza alla normativa prevista dal D.lgs. 196/2003.

Sin da subito è stato fornito agli Associati coinvolti dalle verifiche ispettive il necessario supporto informativo, dopodiché sulla base di un’approfondita analisi dei verbali esaminati, dei processi adottati in azienda e di un incontro avvenuto il 20 settembre scorso direttamente con l’Autorità garante, sono state elaborate delle Linee guida specifiche per le attività dei Concessionari (Allegato 1).

Il suddetto documento, realizzato con l’ausilio di un legale esterno, contiene puntuali indicazioni su come effettuare il trattamento dei dati personali riferiti ai clienti (acquirenti di autoveicoli, ricambi, servizi di manutenzione ed assistenza, ecc.), anche nei rapporti con la casa automobilistica di riferimento e con le società finanziarie, e in relazione ad altre categorie di soggetti, come dipendenti e collaboratori del concessionario, nonché esponenti, amministratori, consulenti esterni, fornitori, ecc.

In particolare, viene spiegato:

• come fornire un’adeguata informativa privacy e come acquisire il consenso per il diverso trattamento dati; a tal proposito, è stato predisposto anche uno schema di informativa e consenso (Allegato 2), da integrare ed adattare alla specifica e diversa operatività di ogni concessionario;
• la necessità di adottare apposite misure organizzative per il trattamento dei dati personali, di impartire apposite istruzioni per assicurare la riservatezza e sicurezza dei dati, e adottare le misure minime di sicurezza (Allegato 3) indicate dalla normativa privacy (es.: username e password per accesso al pc o al sistema) per il corretto uso di strumenti elettronici (computer, programmi informatici, ecc.) e per la diligente tenuta e custodia di documenti cartacei contenenti dati dei clienti (la mancata nomina degli incaricati e l’inosservanza delle misure minime di sicurezza possono esporre il concessionario anche a rischi sul piano penale, evitabili solo a seguito di regolarizzazione e pagamento di un’ammenda di 30mila euro);
• le cautele che devono essere adottate in relazione agli eventuali siti web gestiti dai concessionari in modo da dare informazioni ai visitatori ed utenti sia sull’eventuale registrazione di Indirizzi IP e/o uso di cookie (per i quali occorre pubblicare, oltre ad un’apposita policy, un eventuale banner con rinvio ad un’informativa più estesa), sia per i dati richiesti per la registrazione al sito e a servizi on line;
• le responsabilità e le sanzioni per le eventuali violazioni della normativa privacy.

Ovviamente, restano validi gli ulteriori approfondimenti ed integrazioni, anche su ambiti specifici, che sono stati già resi (ad es. in tema di videosorveglianza  v. circolare n. 31/2016 – CO 9/2016 del 21.06.2016) o che potranno essere forniti successivamente in materia, considerando che la normativa privacy è in fase di prossima evoluzione, in quanto il 24 maggio scorso è entrato in vigore il nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali, le cui disposizioni saranno però applicabili solo dal 25 maggio 2018. Tenendo conto che manca più di un anno e mezzo all’applicazione di questa nuova disciplina e che devono essere ancora adottate diverse disposizioni attuative ed esecutive a livello europeo e nazionale, le presenti Linee guida sono dunque incentrate sull’analisi degli adempimenti previsti dalla normativa attualmente vigente (cioè il Codice privacy), essendo evidente che le eventuali violazioni degli obblighi privacy, in questo periodo, continueranno ad essere sanzionate dal Garante privacy sulla base dell’attuale disciplina.

L’Ufficio della Federazione resta a disposizione per eventuali richieste di chiarimento che potranno essere indirizzate via mail a info@federauto.eu.