top of page

Privacy Policy in ambito CER: Regolamento (UE) 679 del 2016

Ad oggi, le fonti giuridiche che disciplinano il diritto della privacy sono numerose.

In primo luogo, vi è la Direttiva (UE) n. 1148 del 2016 del Parlamento e del Consiglio europeo, poi recepita con il Decreto-legge n. 65 del 2018.

Fondamentale è anche il Regolamento Generale sulla Protezione dei Dati (“GDPR”) n. 679 del 2016.

In Italia, invece, la materia viene disciplinata dal Decreto legislativo n. 196 del 2003 (“Codice della Privacy”), modificato e integrato dal D.Lgs. n. 101/2018 alla luce delle disposizioni del GDPR

Ad ogni modo, il GDPR è ad oggi la principale normativa che regola i trattamenti di dati personali a livello europeo, con un’applicazione trasversale in tutti gli Stati membri. In particolare, il Regolamento contiene due disposizioni che ne definiscono l’ambito di applicazione:

· L’art. 2 chiarisce quale sia l’ambito di applicazione materiale, ossia l’oggetto, del GDPR; dunque, risponde alla domanda “quando si applica il GDPR?”;

· L’art. 3 definisce invece l’ambito di applicazione territoriale del GDPR e risponde quindi alla domanda “dove si applica il GDPR?”.

Il Codice Privacy, in quanto normativa locale e secondaria rispetto alle disposizioni contenute nel regolamento europeo di diretta applicazione, colma i vuoti normativi lasciati dal GDPR e include alcune specifiche di stampo nazionale, mentre rinvia ampiamente alle disposizioni europee per le restanti materie.





1. AMBITO DI APPLICAZIONE MATERIALE


L’Art. 2, comma 1, GDPR individua l’oggetto che il Regolamento intende disciplinare, ossia il trattamento di dati personali. Trattamento (Art. 4 GDPR) è definito come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

La definizione è particolarmente ampia e include qualsiasi attività compiuta sui dati personali: dalla raccolta, alla condivisione, fino alla loro cancellazione. Anche l’anonimizzazione, ossia il processo tramite il quale i dati sono resi non più direttamente riferibili a un singolo individuo, rientra perciò nella categoria di “trattamento”.

L’altro oggetto principale del GDPR è senza dubbio il concetto di dato personale, che rimane il perno intorno al quale ruota la normativa. Dato personale è definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (‘interessato’); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Si sottolinea che sono escluse dall’ambito di applicazione del GDPR le informazioni che si riferiscono esclusivamente a persone giuridiche.

Tuttavia, è bene tenere presente che costante giurisprudenza ritiene che imprese prive di personalità giuridica, ditte individuali e liberi professionisti, per la stretta correlazione esistente tra schermo societario/professionale e persona fisica, debbano considerarsi ricompresi nell’ambito di tutela del GDPR.





2. TEST DI COMPATIBILITÀ


Al fine di garantire un’adeguata tutela ai dati personali che sono condivisi dall’utente, è necessario svolgere un test di compatibilità tra le finalità per cui i dati sono raccolti e il dato stesso. I punti che vengono esaminati sono i seguenti:

· il nesso tra la finalità della raccolta e l’ulteriore trattamento;

· il contesto in cui ha avuto luogo la raccolta dei dati e la ragionevole aspettativa degli interessati rispetto al trattamento ulteriore;

· la natura dei dati personali raccolti, valutando anche se essi includano categorie particolari di dati o dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza;

· le possibili conseguenze del trattamento ulteriore;

· l’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.


Da tale test emerge chiaramente il principio di limitazione delle finalità che si articola in due elementi costitutivi:

· i dati personali possono essere raccolti soltanto per finalità determinate, esplicite e legittime;

· il successivo trattamento non può essere incompatibile con le finalità iniziali.

Le finalità si considerano determinate solamente quando il perimetro del trattamento dei dati è ben definito da parte del titolare, che è tenuto a verificare accuratamente gli scopi specifici per i quali intende trattare i dati.

Risulta quindi che gli interessati devono essere messi in condizione di conoscere tutte le finalità per le quali i propri dati saranno trattati prima della raccolta.

Infine, il consenso al trattamento dei dati che viene espresso deve essere libero, se la volontà dell’interessato è in qualche modo coartata, il consenso non rappresenta la base giuridica corretta.

Affinché la scelta fatta dall’interessato possa ritenersi autenticamente libera, lo stesso deve essere adeguatamente informato circa le finalità che il titolare del trattamento intende perseguire, le modalità secondo cui il trattamento dovrebbe avvenire e le conseguenze del suo assenso o del mancato assenso.


3. INFORMATIVA SULLA PRIVACY IN AMBITO CER


Nell’ambito delle Comunità energetiche possono essere installati dei sistemi di monitoraggio e controllo dei consumi di ciascun membro.

Queste piattaforme informatiche consentono di stabilire quanta energia ciascun utente sta consumando, producendo, prelevando o immettendo nella Comunità energetica.

Grazie a questi sistemi di monitoraggio vi è un’acquisizione di flussi di dati e si sviluppa un reporting specializzato sul consumo energetico.

Bisogna però soffermarsi sui dati personali di cui queste piattaforme informatiche necessitano al fine di monitorare i consumi dei singoli membri della CER.

In primo luogo, sarà necessario condividere i dati anagrafici e un indirizzo mail cui potranno essere inviate le comunicazioni.

In secondo luogo, bisognerà condividere anche il proprio numero di utenza, in modo da verificare il posizionamento dell’utente rispetto ai confini della cabina primaria di riferimento, all’interno della quale sarà condivisa l’energia prodotta.

Infine, si potrà condividere anche il registro dei consumi elettrici, così da consentire un’analisi sui risparmi energetici conseguiti a seguito dell’adesione alla Comunità energetica.

Il registro dei consumi dei singoli utenti potrà essere utilizzato, inoltre, per calcolare la percentuale effettiva di riduzione delle emissioni di carbonio.

Come analizzato in precedenza (paragrafo 1), questi dati che vengono raccolti, tra cui indirizzo mail, numero di utenza e registro dei consumi, sono dati personali o (possono contenerne), che rientrano nell’ambito di applicazione del GDPR. Infatti, nella definizione prevista all’art 4 del GDPR si fa riferimento a: “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

Non solo, le piattaforme informatiche, utilizzate come sistemi di monitoraggio nell’ambito CER, raccolgono questi dati con una finalità di trattamento, ai sensi dell’art 4 GDPR: “qualsiasi operazione o insieme di operazioni, applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’estrazione, la consultazione, l’uso...”.


Si può quindi concludere che nell’ambito di Comunità di energie rinnovabili, qualora si utilizzino delle piattaforme informatiche volte al monitoraggio e controllo dei consumi, sarà necessario redigere un’informativa sulla privacy al fine di poter trattare i dati personali condivisi dagli utenti.





43 visualizzazioni0 commenti

Post recenti

Mostra tutti
bottom of page