Come ormai tutti saprete, il 25 maggio 2018 è entrato in vigore il General Data Protection Regulation (di seguito “GDPR”), un regolamento comunitario (Reg. UE 2016/679) in materia di dati personali che ha modificato i diritti e gli obblighi per i soggetti che trattano tali dati relativi a persone fisiche cittadini o residenti all’interno dell’Unione Europea. A distanza di un anno dall’entrata in vigore del Regolamento, questo articolo mira a definire quelli che sono i tratti essenziali del GDPR offrendo dei suggerimenti sul tema agli operatori del settore musicale.
Specifichiamo, anzitutto, che il GDPR si applica a qualsiasi soggetto che tratta dati personali, a prescindere dal fatto che il trattamento dei dati personali sia o meno l’attività principale del soggetto in questione. Tuttavia, occorre precisare che sono previste delle norme specifiche nei confronti di chi fa monitoraggio dei dati personali su larga scala, per chi tratta categorie particolari di dati per le quali sarebbero necessari ulteriori approfondimenti e per altri trattamenti più complessi e che possono mettere a rischio i diritti delle persone coinvolte.
COSA SONO I DATI PERSONALI?
Iniziamo col precisare che per “dato personale” si intende qualsiasi dato identificativo di una persona fisica (identificata o identificabile, anche mediante associazione ad un altro dato). Sono dati personali, quindi, il nome, il cognome, l’indirizzo di residenza, dati di contatto, il n. IBAN di un conto corrente, l’immagine e così via. Il soggetto a cui si riferiscono i dati è detto “interessato” e gli spettano svariati diritti come meglio precisati di seguito e che vanno rispettati da parte di chi tratta i suoi dati. Possibili interessati sono ad es. autori/compositori, artisti, iscritti a newsletter, follower di social media, ecc. Precisiamo che per “trattamento” si intende qualsiasi operazione svolta sui dati personali (es. raccolta, cancellazione, modifica, archiviazione, ecc.).
Vi sono, peraltro, dati di tipo “particolare” di dati personali (sono quelli che prima dell’avvento del GDPR venivano indicati col termine di dati “sensibili”), cioè quei dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, ma anche dati relativi alla salute o all’orientamento sessuale di una persona. Si dovranno seguire regole più stringenti per il trattamento di tali dati.
QUALI SONO I RUOLI DEI SOGGETTI CHE TRATTANO DATI PERSONALI?
Il GDPR identifica diversi ruoli tra i soggetti che trattano dati personali. Col termine “titolare del trattamento” si indica il soggetto (persona fisica o giuridica) che tratta i dati per propri scopi e finalità, decidendo i mezzi impiegati per il trattamento, quali dati trattare, come gestire i dati personali raccolti e per quanto tempo conservarli. La figura del titolare è la figura apicale nell’attività di trattamento dei dati personali ed è su questo che gravano le maggiori responsabilità. Un esempio potrebbe essere (per i dati trattati ad es. per fini contrattuali o fiscali) dell’editore verso gli autori delle opere musicali del proprio catalogo, dell’etichetta verso i propri artisti in studio, dello studio di registrazione rispetto agli artisti che vanno a registrare in studio, ecc.
Dal titolare del trattamento si distingue il responsabile del trattamento, soggetto esterno al titolare (persona fisica o giuridica) a cui il titolare ha formalmente delegato determinate attività di trattamento, con relative prescrizioni e istruzioni. Potrebbe definirsi responsabile del trattamento, ad esempio, colui il quale, in qualità di persona fisica o sotto forma di persona giuridica (es. società, associazione, ecc.), procura su incarico del titolare i contatti per l’invio di newsletter, comunicazioni commerciali, oppure del manager verso i propri artisti, ecc. Attenzione perché nel caso concreto capire quando un soggetto sia responsabile oppure titolare non è sempre facile, più che mai potrebbe aiutare il consiglio di un esperto. Non ci si basi su esempi astratti ma si verifichi sempre nel caso concreto.
Altra figura, diversa da quelle già menzionate, è l’autorizzato al trattamento dei dati, cioè colui che sotto l’autorità diretta del titolare (o del responsabile) compie attività di trattamento di dati personali. Ad esempio, sarà da considerarsi autorizzato al trattamento dei dati personali l’addetto alla comunicazione/ufficio stampa dipendente di una casa discografica o di una società di edizioni musicali.
Il GDPR ha coniato una figura nuova nel panorama della privacy: il DPO (Data Protection Officer). In questa sede ci limitiamo a specificare che il DPO viene definito come responsabile per la protezione dei dati e che deve essere nominato soltanto nei casi previsti dall’art. 37 GDPR, di non frequente applicazione pratica nel nostro settore.
QUALI SONO I PRINCIPI CARDINE DEL GDPR?
Tra i diversi principi che stanno alla base del GDPR ci concentriamo sui principi di liceità, di trasparenza e sul principio di accountability. Un trattamento dei dati personali può dirsi lecito se sorretto da una base giuridica del trattamento (vedi art. 6 GDPR). Senza scendere troppo nei particolari, ci limitiamo a segnalare che le basi giuridiche sono sei e cioè: (i) il consenso al trattamento dei dati personali, (ii) l’esecuzione di un contratto o richieste precontrattuali, (iii) l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento, (iv) l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, (v) la salvaguardia degli interessi vitali dell’interessato o di terzi e, infine, (vi) il perseguimento del legittimo interesse del titolare del trattamento o di terzi.
Altro corollario del principio di liceità è la retention ossia la durata di conservazione dei dati personali che non deve essere eccessiva e superare il tempo previsto per il raggiungimento delle finalità. Sul tema vi sono diversi provvedimenti del Garante della Protezione dei Dati Personali (autorità pubblica di controllo del rispetto della normativa privacy) che determinano per specifiche finalità per quanto tempo i dati personali possono essere conservati.
A mente del principio di trasparenza, i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo compatibile con tali finalità; l’interessato deve poter accedere ai dati che ha fornito al titolare e poter esercitare i diritti di rettifica, revoca del consenso, opposizione, cancellazione, limitazione del trattamento, portabilità (artt. 15-22 GDPR) nonché il diritto di proporre reclamo all’autorità di controllo competente. Inoltre, le informazioni e comunicazioni relative al trattamento dei dati devono essere facilmente accessibili, comprensibili e redatte in un linguaggio semplice e chiaro. Quanto al principio di accountability, introdotto per la prima volta dal GDPR, impone al titolare del trattamento l’adozione di politiche e misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato sia conforme al Regolamento.
CI SONO DISPOSIZIONI PARTICOLARI PER CHI OPERA NEL SETTORE MUSICALE? CHE FARE?
Una volta tracciate in maniera sintetica le linee essenziali del GDPR, vediamo cosa fare da un punto di vista pratico. Cominciamo col precisare che non esistono delle norme specifiche per chi svolge attività nel settore musicale. Si applicheranno, quindi, le norme generalmente previste per chiunque tratta dei dati personali.
Partendo dall’informativa, documento che serve all’interessato per conoscere come verranno trattati i dati personali, essa deve contenere le informazioni esplicitate nell’art. 13 del GDPR e cioè: i dati di contatto del titolare (e del DPO se è stato nominato); le finalità e le basi giuridiche del trattamento; le modalità del trattamento e per quanto tempo vengono conservati i dati; con chi vengono condivisi i dati personali e come esercitare i diritti previsti agli artt. 15-22, GDPR, mettendo in risalto il diritto di opposizione al trattamento. Qualora abbiate un sito internet, sarà opportuna la redazione di un’informativa web e di una cookie policy in relazione al trattamento dei dati di navigazione. Si ricordi che se i dati sono raccolti da un soggetto diverso dall’interessato, l’informativa dovrà prevedere ulteriori elementi, esplicitati all’art. 14 GDPR.
La raccolta di indirizzi email per l’invio di newsletter contenenti informazioni sui prossimi concerti, nuove release e più in generale informazioni di carattere commerciale, dev’essere realizzata acquisendo il consenso da parte degli interessati. Tale consenso dev’essere prestato in maniera espressa e specifica. Occorre osservare come, in questi casi, risulterebbe eccessivo raccogliere dati quali codici fiscali, date di nascita o indirizzi di residenza poiché, trattandosi di dati irrilevanti per le comunicazioni via posta elettronica: si andrebbe incontro alla violazione del principio di minimizzazione dei dati personali (vedi art. 5, par. 1, lett. c), GDPR).
Assicuratevi di avere delle misure tecniche e organizzative atte a proteggere i dati personali in maniera adeguata. Chi gestisce una sala prove o una sala concerti potrebbe avere tra le mani centinaia e centinaia di dati personali (nome, cognome, indirizzi email, ecc.). Questi dati devono essere conservati in dispositivi (fisici o elettronici) dotati di misure adeguate come firewall, password, lucchetti di sicurezza, armadi ignifughi, ecc. in modo tale da scongiurare o limitare i danni in caso di perdita o sottrazione illecita di dati personali.
Fate attenzione a regolare i rapporti con soggetti esterni alla vostra organizzazione delegati alla raccolta dei dati personali (responsabili esterni) o con soggetti interni quali dipendenti (autorizzati). A mente del principio di accountability sopra richiamato dovrete avere cura di predisporre e successivamente conservare i contratti (scritti) di nomina dei responsabili delegati al trattamento dei dati personali.
Un altro tema spinoso è quello relativo alle foto dei concerti pubblicate nelle vostre pagine social media. Le foto ritraenti i volti di persone fisiche possono essere pubblicate solo col consenso espresso da parte dell’interessato. Sarà necessario, quindi, da un lato rendere un’informativa che contenga le finalità del trattamento in relazione all’uso delle immagini e dall’altro evitare la pubblicazioni di foto degli interessati che non abbiano prestato il consenso.
Trattare dati personali è una cosa che può essere fatta adottando tutte le cautele necessarie e in ottemperanza da quanto previsto dal GDPR e dalle norme in tema di privacy. Ricordiamo che il Regolamento fa seguito al Codice della Privacy (D.Lgs. 196/2003) prima vigente, tuttora vincolante ma pesantemente integrato e modificato. Chi ha rispettato finora tale normativa dovrà effettuare alcuni adattamenti, chi non l’ha mai fatto è urgente che provveda. Difatti il GDPR ha introdotto delle pesanti sanzioni nei confronti di chi tratta dati personali illecitamente, vi è una possibile responsabilità civile per danni e, infine, sanzioni penali previste nel Codice. Se avete dubbi o perplessità vi consigliamo caldamente di confrontarvi con un consulente o avvocato esperto in materia, i termini per adempiere sono ampiamente scaduti e il Garante “minaccia” sanzioni rilevanti per chi non si sarà adeguato.