Ogni volta che un coach si appresta ad intraprendere il proprio cammino di Coaching con il coachee (o cliente) inevitabilmente tratta i dati personali di quest’ultimo. Per questo appare opportuno un approfondimento in materia di privacy anche per questa professione.

Dal 2003 con il D. Lgs. n. 196/2003 e soprattutto con il successivo Regolamento UE 2016/679 (GDPR) i dati personali sono stati sottoposti ad una precisa tutela dal legislatore.

In prima battuta è utile comprendere cosa si intende per dati personali

Dati personali

Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Particolarmente importanti sono:

  • i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);
  • i dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, dati biometrici e quelli relativi all’orientamento sessuale;
  • i dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

E’ altesì utile comprendere la nozione di trattamento dei dati

Trattamento dei dati

Trattamento è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.

Ad esempio: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, par. 1, punto 2, del Regolamento (UE) 2016/679).

I soggetti che procedono al trattamento dei dati personali altrui devono adottare particolari misure per garantire il corretto e sicuro utilizzo dei dati.

Nell’esercizio della sua professione, il coach viene necessariamente a conoscenza di informazioni personali del coachee. Questo accade perché il coach, per poter guidare il proprio coachee verso la sua mission o i suoi obiettivi, ha bisogno di conoscere ed entrare in rapporto empatico con la sua visione del mondo e la sua concezione della realtà.

È chiaro, dunque, che il trattamento dei dati ha un elevato valore, non solo per il diritto.

Quindi, ogni volta che il coach viene a conoscenza dei dati del coachee si trova nella condizione di doverli “trattare”, anche per il sol fatto di averli appuntati al fine di consultarli in un diverso momento.

Diventa quindi fondamentale per chi svolge (o si appresta a svolgere) la professione di Coach conoscere le principali disposizioni del Regolamento UE 2016/679 GDPR con cui sono state stilate le norme che tutelano la privacy (termine inglese che vuol anche dire tutela dei dati).

Tutti i soggetti quindi, di qualunque categoria professionale, (fatta eccezione per l’esercizio del diritto di difesa in giudizio e per l’ordine di esibizione impartito dalla Pubblica Amministrazione, nella misura in cui è strettamente necessario), che si trovano a “trattare” dei dati, devono farlo secondo il GDPR cioè il Regolamento UE 2016/679.

Nello specifico, nel caso della professione di Coach, il coachee va informato

Il GDPR prevede che, in base alle finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12 GDPR). Ciò avviene tramite l’informativa.

L’informativa Privacy

L’informativa è una comunicazione rivolta all’interessato che ha lo scopo di rendere edotto il cittadino, anche prima che diventi interessato (cioè prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento.

Essa è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability).

L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l’informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del trattamento.

Quando è dovuta l’informativa

Occorre distinguere tra le ipotesi in cui i dati sono raccolti direttamente dall’interessato e quella in cui i dati sono acquisiti da terzi.

L’informativa è dovuta ogni qual volta vi sia un trattamento di dati.

L’obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio alla raccolta dei dati. Non sussiste, invece, obbligo di fornire l’informativa se il trattamento riguarda dati anonimi (es. aggregati) o dati di enti o persone giuridiche (i cui dati non sono soggetti alla tutela prevista dal regolamento europeo). Inoltre la persona fisica che effettua il trattamento dei dati per attività a carattere esclusivamente personale e domestico, non è tenuta a fornire l’informativa.

Nel caso in cui i dati non siano raccolti direttamente dall’interessato (art. 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole, e comunque non oltre un mese dalla raccolta dei dati. Oppure va fatta al momento della comunicazione dei dati a terzi. Un caso particolare è quello del curriculum vitae, se spontaneamente inviato dal candidato, per il quale l’art. 111-bis del D.Lgs 196/2003 stabilisce che l’informativa deve essere fornita al momento del primo contatto utile, successivo all’invio del curriculum (quindi ad esempio in caso di convocazione).

Non occorre informare l’interessato quando:

  • l’interessato dispone già delle informazioni (ad esempio ha già letto un documento online sul mio sito);
  • comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato;
  • l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare;
  • i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.

Il Garante privacy italiano, ha ricordato che in alcuni casi non è necessaria l’informativa, quando:

  • i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria (vedi basi giuridiche del trattamento);
  • il trattamento è connesso allo svolgimento delle “investigazioni difensive” in materia penale (art. 38 norme di attuazione del c.p.p.) o alla difesa di un diritto in sede giudiziaria (a meno che il trattamento si protragga per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità o sia svolto per ulteriori scopi).

Contenuto minimo dell’informativa

L’informativa del Coach deve avere il seguente contenuto minimo (articoli 13 e 14 del Regolamento europeo):

  • categorie di dati trattati e finalità del trattamento (non le modalità del trattamento, ma quali dati vengono trattati divisi per categorie, a quale fine, per quanto tempo sono trattati, se i dati verranno trasferiti all’estero e, in questo caso, attraverso quali strumenti);
  • la base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi, legittimi interessi (in questo caso specificando quale è il legittimo interesse), ecc…;
  • natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze di tale rifiuto (specificando che è possibile rifiutare il consenso a singoli trattamenti quali quelli a fini di marketing diretto);
  • se il titolare ha intenzione di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti;
  • soggetti destinatari (anche per categorie) ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi (l’indicazione di soggetti terzi non può essere generica);
  • se il titolare ha intenzione di trasferire i dati in paesi extra UE, nel qual caso se esiste o meno una decisione di adeguatezza della Commissione UE (ovvero se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato, per cui il trasferimento non necessita di autorizzazioni specifiche);
  • il periodo di conservazione dei dati oppure l’indicazione dei criteri per determinarlo;
  • i diritti dell’interessato (diritto di accesso ai dati personali, di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano, di opporsi al trattamento, di revocare il consenso, diritto di presentare reclamo all’autorità di controllo, eventuale diritto alla portabilità);
  • dati identificativi (nome, denominazione o ragione sociale, domicilio o sede) del titolare del trattamento e, se designato, i dati di contatto (quindi non il nome) del responsabile per la protezione dei dati (DPO), cioè un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti;
  • se il trattamento comporta processi decisionali automatizzati (come la profilazione) deve essere specificato indicando anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

All’interno dell’informativa privacy devono essere indicati anche i cookie che veicola il sito, le modalità di disabilitazione dei cookie (es. tramite opzioni del browser), e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti. Si rimanda ad altro articolo per ulteriori dettagli sulla regolamentazione dei cookie.

Si fa presente che l’informativa cookie è una sezione dell’informativa privacy, non un documento separato, per cui generalmente si ammette che possa essere una pagina diversa da quella che contiene l’informativa privacy, ma quest’ultima deve assolutamente richiamarla (tramite link).

Nel caso di dati raccolti presso terze parti, l’informativa deve presentare dei contenuti ulteriori, e cioè:

  • l’indicazione delle categorie dei dati personali oggetto del trattamento;
  • l’indicazione della fonte da cui hanno origine i dati personali (che può essere anche fonte accessibile al pubblico);
  • si omette, invece, l’informazione circa la natura obbligatoria o meno della comunicazione di dati personali, perché nella fattispecie i dati non sono raccolti presso l’interessato.

Le accortezze assunte da un coach non finiscono qui. Una volta informato il soggetto interessato e raccolto il consenso, si tratta di vedere per quanto tempo il coach può custodire i dati del coachee/cliente.

Conservazione dei dati personali

Come detto, tra le novità apportate dal Regolamento Europeo n. 679/2016 sulla protezione dei dati personali (meglio noto come “GDPR”), vi è l’esplicita previsione del divieto di conservare gli stessi per un tempo superiore a quello necessario al perseguimento dello scopo del trattamento.

All’art. 5, comma 1, lett. e), del GDPR è previsto che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Una siffatta previsione non può che tradursi nell’obbligo per il Coach cioè il titolare del trattamento di provvedere alla cancellazione dei dati raccolti una volta perseguito lo scopo, non potendo essere conservati per periodi ulteriori.

Il Regolamento, infatti, consente di trattenere i dati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, previa attuazione di adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà dell’interessato (cd. principio di “limitazione della conservazione”).

In caso di detenzione dei dati con l’ausilio di strumenti elettronici, il detentore del trattamento dovrà possedere una di chiave di sicurezza per l’accesso, gestita con credenziali di autenticazione; nel secondo caso il detentore dovrà assicurare la custodia attraverso un archivio il cui accesso sia limitato solo ai soggetti che hanno ottenuto il consenso all’accesso dei dati. In entrambi i casi va assicurata la possibilità di aggiornamento periodico.

Diritto di cancellazione (diritto all’oblio)

Dunque, i titolari del trattamento (cioè i Coach) sono formalmente obbligati a prevedere apposite procedure per garantire la cancellazione dei dati. Dalle piccole medie imprese ai grandi gruppi imprenditoriali vi è l’esigenza di costruzione di un processo di gestione.

La cancellazione potrà avvenire al raggiungimento delle finalità per cui il dato personale è stato trattato ma anche su richiesta dei soggetti interessati in esercizio del relativo diritto di cui all’articolo 17 del GDPR (il diritto alla cancellazione o “all’oblio”).

I soggetti interessati hanno, infatti, il diritto di chiedere che siano cancellati i propri dati personali non più necessari alle finalità per le quali sono stati raccolti o altrimenti trattati.

Tale diritto è in particolare rilevante se l’interessato, avendo prestato il proprio consenso quando era minore e, quindi, non pienamente consapevole dei rischi derivanti dal trattamento, voglia poi eliminare i propri dati personali, in particolare da Internet, fermo restando che tale diritto può essere esercitato anche da chi non sia più un minore.

L’interessato ha il diritto di ottenere dal titolare del trattamento cioè dal Coach la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.

Il diritto di cancellazione non si applica qualora il trattamento sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione, per l’adempimento di un obbligo di legge, ai fini di archiviazione nell’interesse pubblico, di ricerca scientifica o storica o a fini statistici, oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.