CONFINDUSTRIA VICENZA Vicenza, 14 Novembre 2008 LA GESTIONE DELLA PRIVACY IN AZIENDA: LE RECENTI MODIFICHE NORMATIVE. Ipotesi di semplificazione, adempimenti organizzativi e tecnici, situazioni e trattamenti aziendali particolari Prof. Avv. Alessandro del Ninno Responsabile del Dipartimento di Information & Communication Technology STUDIO LEGALE TONUCCI & PARTNERS www.tonucci.it [email protected] Legge 6 agosto 2008, n. 133 Conversione in legge, con modificazioni, del decretolegge 25 giugno 2008, n. 112, recante disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria (pubblicata nella Gazzetta Ufficiale n. 195 del 21 agosto 2008 - Suppl. Ordinario n. 196) ART. 29 (Trattamento dei dati personali) SEMPLIFICAZIONI IN MATERIA DI MISURE MINIME DI SICUREZZA Per i soggetti che: trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili 1) quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, 2) quelli costituiti dall'adesione ad organizzazioni sindacali o a carattere sindacale; la tenuta di un aggiornato documento programmatico sulla sicurezza E’ SOSTITUITA dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. CONTENUTO DELL’AUTOCERTIFICAZIONE Il titolare del trattamento dichiara di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. L’autocertificazione è un documento che deve essere conservato dall’azienda e rispetto al quale non è richiesta alcuna data certa. Art. 76 d.p.r.445/2000: Chiunque rilascia dichiarazioni mendaci, forma atti falsi o ne fa uso nei casi previsti e punito ai sensi del codice penale e delle leggi speciali in materia. L'esibizione di un atto contenente dati non più rispondenti a verità equivale ad uso di atto falso. Le dichiarazioni sostitutive sono considerate come fatte a pubblico ufficiale. TRATTAMENTI CHE CONFIGURANO ANCORA L’OBBLIGO DI STESURA DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA: CONSIDERAZIONI GENERALI La “semplificazione” si applica a “dipendenti” e “collaboratori, anche a progetto”. Pertanto il trattamento di dati relativi alla sola salute di tali soggetti (ivi inclusi i dati sulla idoneità ex decreto 81/2008) autorizza il titolare a rilasciare la semplice autocertificazione. Il puntuale riferimento alle due categorie dei dipendenti e dei collaboratori – dal punto di vista sistematico – comporta che i trattamenti di dati relativi alla salute di lavoratori autonomi, agenti, rappresentanti, associati, soci lavoratori ecc., obbligano comunque il titolare a redigere il DPS TRATTAMENTI CHE CONFIGURANO ANCORA L’OBBLIGO DI STESURA DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA: CONSIDERAZIONI GENERALI Nozione di salute/malattia. La formulazione individuata dall’art. 29 del decreto è molto ampia perché, oltre a riferirsi alla condizione di malattia del dipendente, contiene il termine «stato di salute» che comprende una varietà di situazioni legate ad esempio a: a) infortunio del lavoratore; b) malattia antitubercolare; c) stato di handicap; d) condizioni psicofisiche legate all’osservanza delle norme sulla sicurezza sul lavoro oppure allo svolgimento di determinate mansioni che richiedono l’idoneità fisica del lavoratore (ad esempio per il possesso del porto d’armi per le guardie giurate); TRATTAMENTI CHE CONFIGURANO ANCORA L’OBBLIGO DI STESURA DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA: CONSIDERAZIONI GENERALI e) maternità della lavoratrice; f) fruizione di permessi per sottoporsi a terapie o cure. In tutti i precedenti casi nei quali il dato «salute» è trattato senza indicazione della diagnosi, cioè senza che sia indicata la patologia specifica cui soffre il lavoratore, si può fare ricorso all’autocertificazione, mentre nel caso contrario occorre redigere il DPS. Ad esempio se il datore di lavoro, a seguito di visita da parte del medico competente, non può adibire il lavoratore a mansioni di centralino perché quest’ultimo soffre di una malattia alle vie uditive, essendo a conoscenza della diagnosi, qualora trattasse ossia archiviasse elettronicamente tale dato, sarebbe necessario compilare e aggiornare il DPS. QUANDO RESTA OBBLIGATORIO REDIGERE IL DPS IN CASO DI DI DATI SENSIBILI TRATTATI CON STRUMENTI ELETTRONICI 1. Dati relativi allo stato di salute o malattia dei propri dipendenti e collaboratori a progetto, comprensivi dell’indicazione della diagnosi. l’ a) eventuale gestione di pratiche relative a malattie professionali od infortuni, qualora gestite mediante strumenti informatici, e nella previsione che tra i dati trattati siano comprese informazioni relative alla prognosi e la diagnosi, configurano quindi il permanere dell’obbligo di stesura del Documento Programmatico sulla Sicurezza. E b) gestione di pratiche di assicurazione integrativa in caso di malattia od incidente sul lavoro che prevedano per legge l’indicazione della diagnosi; c) adempimenti in materia di sicurezza sul lavoro (d.lgs. 81/2008) che prevedano l’obbligatoria indicazione della diagnosi. QUANDO RESTA OBBLIGATORIO REDIGERE IL DPS IN CASO DI DI DATI SENSIBILI TRATTATI CON STRUMENTI ELETTRONICI 2. Dati relativi allo stato di salute o malattia di soggetti diversi da dipendenti e collaboratori, anche se non comprensivi dell’indicazione della diagnosi a) dati relativi a professionisti che operano in azienda mediante un rapporto regolato da fattura b) dati relativi a clienti, fornitori od altri soggetti esterni all’azienda (es: incidenti sul luogo di lavoro) c) dati relativi allo stato di salute di parenti di dipendenti (es: colonie estive dei dipendenti, richieste di informazioni relative allo stato di salute) . QUANDO RESTA OBBLIGATORIO REDIGERE IL DPS IN CASO DI DI DATI SENSIBILI TRATTATI CON STRUMENTI ELETTRONICI 3) Dati relativi all’origine razziale od etnica (es: dati anagrafici di dipendenti extracomunitari) 4) Dati relativi alle convinzioni politiche, filosofiche, religiose o relativi all’appartenenza ad associazioni od organizzazioni a carattere politico, filosofico o religioso (es: godimento di festività religiose, indicazioni relative a particolari prescrizioni alimentari all’intero della gestione delle mense aziendali, aspettative per elettorato attivo o passivo, etc) 5) Dati relativi alle abitudini sessuali 6) Dati giudiziari (es: posizione di indagato o imputato, casellario giudiziale, certificazioni antimafia, etc). PER TUTTI QUESTI TRATTAMENTI PERMANE L’OBBLIGO DI REDAZIONE DEL DPS CONSIDERAZIONI CONCLUSIVE SU AUTOCERTIFICAZIONE Rapporto tra autocertificazione e successivi trattamenti esclusi dalla semplificazione Il datore di lavoro è esonerato dal DPS, rilascia l’autocertificazione, ma successivamente inizia a trattare altri dati sensibili esclusi dalla deroga (ad esempio, relativi all’appartenenza a organizzazioni politiche o a confessioni religiose): in questo caso viene meno la condizione di esonero e ritorna l’obbligo di redigere da subito il DPS. CONSIDERAZIONI CONCLUSIVE SU AUTOCERTIFICAZIONE Aspetti sanzionatori Va ricordato che l’art. 34 all’interno del quale il Dl n. 112/2008 ha inserito il comma 1bis, non è espressamente sanzionato dal Codice della privacy. Tuttavia, deve ritenersi che la sanzione riferita all’art. 33 del Codice includa anche l’art. 34 che obbliga il titolare dei dati a rispettare le misure minime tra cui quelle di redigere il DPS. Se ritenessimo punibile la mancata redazione del DPS per chi ne è tenuto, ma non l’omessa autocertificazione renderemmo la norma inefficace. Pertanto, anche l’omessa autocertificazione va ritenuta soggetta alla applicabilità dell’art. 169 del Codice della privacy, che prevede la sanzione dell’arresto sino a due anni o l’ammenda da diecimila euro a cinquantamila euro. LE ALTRE MISURE DI SEMPLIFICAZIONI IN MATERIA DI MISURE DI SICUREZZA In relazione: 1.ai trattamenti di dati sensibili per l’autocertificazione; i quali è prevista 2.ai (diversi) trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani; il Garante (e non più il Ministero), sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento (da adottarsi entro due mesi dalla legge di conversione), da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) del Codice della privacy in ordine all'adozione delle misure minime di sicurezza. LE ALTRE MISURE DI SEMPLIFICAZIONI IN MATERIA DI MISURE DI SICUREZZA Ne deriva che: a) il provvedimento di semplificazione che il Garante dovrà adottare, oltre ad avere una portata limitata agli ambiti disegnati dalla norma, non si concreterà in un aggiornamento formale del disciplinare tecnico (atteso che il Garante non ha il potere di modificare quanto a suo tempo stabilito con il decreto ministeriale mediante il quale venne adottato l’allegato B). Stiamo per assistere, dunque, all’ennesima stratificazione, per cui al disposto del disciplinare tecnico verrà affiancato un provvedimento sì, semplificatorio, ma di diversa natura ed adottato in una diversa sede. LE ALTRE MISURE DI SEMPLIFICAZIONI IN MATERIA DI MISURE DI SICUREZZA b) almeno per ora, alla luce di tutto ciò, non è prevista alcuna generale e formale modifica del disciplinare tecnico. Da notare, però, che il giorno in cui si deciderà di dare corso “all’adeguamento” comunque previsto dall’art. 36 del Codice della privacy, il decreto del Ministero di Giustizia dovrà esser adottato di concerto non solo con il Ministero dell’Innovazione, ma anche, in virtù della modifica dell’art. 36 del codice apportata sul punto dalla legge di conversione, anche con il Ministero della semplificazione normativa. LE SEMPLIFICAZIONI IN MATERIA DI NOTIFICAZIONE DEI TRATTAMENTI AL GARANTE Art. 29 d.l. 112/2008 (l. 133/2008) « 2. La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni: a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche' le modalità per individuare il responsabile del trattamento se designato; b) la o le finalità del trattamento; c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime; d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; e) i trasferimenti di dati previsti verso Paesi terzi; f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.». LE SEMPLIFICAZIONI IN MATERIA DI NOTIFICAZIONE DEI TRATTAMENTI AL GARANTE La semplificazione relativa alla nuova notifica (nei casi in cui essa sia obbligatoria ai sensi dell’art. 37 del Codice della privacy e dei provvedimenti esplicativi del Garante del 31 Marzo 2004, 23 Aprile 2004 e 26 Aprile 2004) riguardano: a) il superamento dell’uso della firma digitale; b) l’adozione (entro due mesi dalla legge di conversione) di un nuovo formato del modello di notifica semplificato (attesa l’emanazione da parte dell’Autorità Garante) ; c) Il chiarimento che nel nuovo modello non dovrà necessariamente (come sembrava esser previsto in precedenza) esser indicato il responsabile del trattamento, essendo possibile limitarsi ad indicare “le modalità per individuare il responsabile del trattamento, se designato”. LE SEMPLIFICAZIONI IN MATERIA DI TRASFERIMENTO ALL’ESTERO DEI DATI Codice della privacy Art. 44. (Altri trasferimenti consentiti) 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato: a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime; b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti. LE SEMPLIFICAZIONI IN MATERIA DI TRASFERIMENTO ALL’ESTERO DEI DATI L’art. 29 ha introdotto una nuova, importante ipotesi intesa a legittimare il trasferimento di dati personali nei paesi extra UE: oltre agli altri casi già previsti dagli artt. 43 e 44 del Codice della privacy, e sull’onda delle esigenze più volte rappresentate da molte multinazionali (e di quanto va accadendo in altri paesi, ove il tema è stato già affrontato), è stata infatti introdotta un ulteriore ipotesi di autorizzazione da parte del Garante intesa a legittimare la circolazione transfrontaliera dei dati, consistente nella previa verifica della corretta adozione di “regole di condotta esistenti nell’ambito di società appartenenti ad un medesimo gruppo”: sarà quindi sufficiente la articolazione di corrette corporate rules relativamente al trattamento dei dati da parte di tutte le società facenti parte del medesimo gruppo imprenditoriale, per consentire la libera circolazione infra-gruppo dei predetti dati, anche con riguardo a unità operanti in paesi non aderenti all’Unione europea. Tutto ciò, fermo il diritto dell’interessato di “far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine alla inosservanza delle garanzie medesime”. SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO 2008 INFORMATIVA Tutti i titolari del trattamento in ambito privato e pubblico, in particolare le piccole e medie imprese, liberi professionisti, artigiani, possono fruire delle seguenti indicazioni per semplificare l'informativa rispetto allo svolgimento di correnti finalità amministrative e contabili, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono: a) fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati; b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente; c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza; d) redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO 2008 INFORMATIVA In linea di massima l'informativa breve, quando è scritta, può avere la seguente formulazione: "I SUOI DATI PERSONALI Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su..."; e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili; SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO 2008 INFORMATIVA f) l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Anche questa più ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo aggiornamento; SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO 2008 INFORMATIVA g) è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato. E' opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l'informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l'organismo o soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l'informativa può non essere fornita quando vi è un obbligo normativo di trattarli; SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO 2008 INFORMATIVA h) è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento; i) è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO 2008 CONSENSO Tutti i titolari del trattamento pubblici e privati non devono chiedere il consenso degli interessati quando il trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO 2008 CONSENSO I titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli interessati, a condizione che: SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO 2008 CONSENSO a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita; b) l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento; c) l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni. USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE PRESENZE NEI LUOGHI DI LAVORO I dati biometrici sono informazioni ricavate dalle caratteristiche fisiche di interessati che si vorrebbero identificare in modo univoco, mediante un modello di riferimento (template). Quest'ultimo consiste nell'insieme di valori numerici ricavati, attraverso funzioni matematiche, dalle caratteristiche individuali sopra indicate, preordinati all'identificazione personale attraverso opportune operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto. Sia le impronte dattiloscopiche sia i codici numerici successivamente utilizzati per le descritte operazioni di confronto, in quanto informazioni riferibili ai singoli lavoratori, sono dati personali. USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE PRESENZE NEI LUOGHI DI LAVORO Non può ritenersi lecito un uso generalizzato e incontrollato dei medesimi dati, specie se si tratta di impronte digitali per le quali occorre anche prevenire eventuali utilizzi impropri e possibili abusi. Considerata l'utilizzabilità di idonee modalità alternative per un accertamento parimenti rigoroso dell'identità personale, ma meno problematiche per la dignità stessa dei lavoratori interessati, l’utilizzo di sistemi biometrici per il computo dell'orario di lavoro non risulta lecito in presenza di modalità alternative. Il titolare del trattamento, per verificare la puntuale osservanza dell'orario di lavoro da parte dei lavoratori, impedendo in pari tempo condotte abusive dei medesimi, può disporre di altri sistemi meno invasivi della sfera personale, della libertà individuale e che non coinvolgano il corpo del lavoratore. USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE PRESENZE NEI LUOGHI DI LAVORO I sistemi di rilevazione di dati biometrici dei lavoratori a fini di controllo della presenza e di computo dell’orario di lavoro sono dunque in generale vietati, ad eccezione di circostanze eccezionali: l'utilizzo di tali dati in luoghi di lavoro può essere giustificato in casi particolari, in relazione alle finalità e al contesto in cui essi sono trattati (ad esempio, accessi a particolari aree dell'azienda per le quali debbano essere adottati livelli di sicurezza particolarmente elevati in ragione di specifiche circostanze o attività ivi svolte), oppure per finalità di sicurezza del trattamento di dati personali. In ogni caso, i sistemi di rilevazione e registrazione dei dati biometrici dei lavoratori, quando eccezionalmente ammessi, devono basarsi sui seguenti presupposti. USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE PRESENZE NEI LUOGHI DI LAVORO A. essere sempre ed obbligatoriamente sottoposti alla verifica preliminare del Garante; B. offrire una rigorosa garanzia di affidabilità ed integrità dei dati, anche sulla base di certificazioni od omologazioni dei dispositivi che tengano eventualmente conto delle valutazioni di comitati tecnici indipendenti; C. essere basati su adeguate misure di sicurezza predisposte a protezione della rete di comunicazione elettronica sulla quale i dati biometrici sono trasmessi dai singoli lettori al sistema centralizzato di acquisizione dati (es: utilizzo di chiavi di cifratura dei dati biometrici, indicato anche a livello europeo); USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE PRESENZE NEI LUOGHI DI LAVORO D. prevedere una idonea e completa informativa, adeguata rispetto al trattamento che si intende porre in essere; l’informativa deve contenere altresì ogni utile riferimento a tecniche alternative per la rilevazione delle presenze; E. basarsi sui principi di necessità, proporzionalità, finalità e correttezza, nonché di qualità dei dati. USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE PRESENZE NEI LUOGHI DI LAVORO Infine, il trattamento può risultare sproporzionato anche in considerazione delle modalità tecniche prefigurate (centralizzazione dei codici identificativi derivati dall'esame del dato biometrico), ben potendosi adottare, anche da questo punto di vista, misure tecnologiche meno invasive. Infatti, anche a mente della disposizione contenuta nell'art. 3 del Codice, è da ritenere comunque preferibile, laddove sia ammesso il ricorso a dati biometrici, la memorizzazione del codice identificativo su un supporto che resti nell'esclusiva disponibilità dell'interessato (una volta completato il c.d. enrollment), piuttosto che la registrazione dello stesso a livello centralizzato nel sistema informativo aziendale (con conseguenti più gravi ripercussioni per i diritti individuali in caso di violazione delle misure di sicurezza, di accessi di persone non autorizzate o, comunque, di abuso delle informazioni memorizzate, anche ad opera di terzi). LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET I datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali. Spetta al datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali. LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda. LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET Le Linee Guida raccomandano l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica. Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio: A) individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa; B) utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali. LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET Per quanto riguarda la posta elettronica, è opportuno che l'azienda: A) renda disponibili anche indirizzi condivisi tra più lavoratori ([email protected]; [email protected]; [email protected]), rendendo così chiara la natura non privata della corrispondenza; B) valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale; C) preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET D) metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa. Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si effettueranno verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale. LE REGOLE PER LA VIDEOSORVEGLIANZA L’acquisizione di immagini effettuata con l’ausilio di sistemi di videosorveglianza, rientra nell’ambito di applicazione della normativa a tutela della privacy nella misura in cui tali immagini, consentendo direttamente o indirettamente l’individuazione dei soggetti interessati, si configurino quali dati personali a tutti gli effetti. L’utilizzo di sistemi di videosorveglianza aziendali per ragioni di prevenzione e tutela della sicurezza è regolato dall’articolo 134 del Codice della Privacy (che si limita a rinviare all’adozione di un futuro codice di deontologia e buona condotta) e soprattutto dalle indicazioni operative contenute nel recente Provvedimento Generale sulla Videosorveglianza emanato dall’Autorità Garante il 29 Aprile 2004 (in aggiornamento del precedente Decalogo sulla Videosorveglianza del 29.11.2000). LE REGOLE PER LA VIDEOSORVEGLIANZA Assenza dell’obbligo di richiedere il consenso e rispetto del principio di necessità Il Garante, nel Provvedimento citato, ha svincolato dal presupposto del consenso preventivo dell’interessato l’acquisizione di immagini a mezzo di sistemi di videosorveglianza quando chi intende rilevare le immagini persegue un interesse legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro. La prima regola operativa è quella del cosiddetto “principio di necessità”, inteso come prerequisito essenziale, nel senso che l'acquisizione attraverso sistemi di videosorveglianza di immagini che rendano identificabile la persona interessata è lecita laddove le finalità perseguite mediante tale trattamento non possano essere realizzate con l'impiego di dati anonimi od altri sistemi meno invasivi. LE REGOLE PER LA VIDEOSORVEGLIANZA Distinzione tra sistemi di rilevazione e sistemi di registrazione delle immagini Altra importante regola pratica da seguire fa riferimento alla distinzione tra impianti di registrazione delle immagini ed impianti di rilevazione delle immagini. A fronte della maggiore invasività dei dispositivi di registrazione delle immagini rispetto a quelli di semplice rilevazione, il Garante ha segnalato che le vere e proprie registrazioni effettuate a tutela della proprietà e del patrimonio aziendale sono legittime soltanto in presenza di concrete ed effettive situazioni di rischio. Dunque, in assenza di tali concrete situazioni di rischio (comprovate ad esempio da furti od atti lesivi della proprietà in passato subiti dal Titolare oppure dalla vicinanza a zone urbane ritenute “pericolose”), un sistema di videosorveglianza dovrebbe essere tarato in modo tale da non consentire la registrazione e conservazione delle immagini. LE REGOLE PER LA VIDEOSORVEGLIANZA Dislocazione delle videocamere e modalità di ripresa in base al principio di proporzionalità. Il Garante ha ritenuto lecita l’installazione di apparati di videosorveglianza laddove l’adozione di altre misure di sicurezza si riveli insufficiente o inattuabile (il che rappresenta un ulteriore prerequisito di liceità dell’attivazione di impianti di videosorveglianza, nel senso che detta attivazione deve seguire una specifica analisi in base alla quale si sia verificato che altri sistemi di sicurezza sono in concreto – per la situazione specifica della sicurezza aziendale – insufficienti), ma ha dichiarato l’illegittimità dell’acquisizione di immagini in aree per le quali non ricorre un’effettiva esigenza di deterrenza in quanto non soggette a concreti pericoli. In tal senso, nella generale politica della sicurezza adottata dal Titolare del trattamento, si deve tenere conto non solo delle effettive situazioni di rischio, ma a seguito della relativa analisi ne deve discendere una conseguente dislocazione dei sistemi di ripresa (non installati in via generale all’interno o all’esterno dei locali aziendali, ma semmai esclusivamente nelle aree dove gli stessi siano realmente necessari e proporzionati alle esigenze di sicurezza preventiva). Una volta dislocati i sistemi di ripresa in base alle considerazioni appena sopra formulate, il titolare dovrà altresì curare che l’angolo visuale delle riprese e la tipologia fissa o mobile dei dispositivi per l’acquisizione di immagini siano tali da evitare indebite interferenze nell’altrui sfera di riservatezza. In ogni caso, nell’uso delle apparecchiature volte a riprendere, per i legittimi interessi indicati, aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), il trattamento deve essere effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando la ripresa di luoghi circostanti e di particolari non rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.). LE REGOLE PER LA VIDEOSORVEGLIANZA Adempimenti nei confronti dei terzi (visitatori e addetti). Le finalità perseguite dal titolare del trattamento mediante l’apparato di videosorveglianza devono essere esplicitate e rese conoscibili al pubblico. Per tale motivo doverosa è l’indicazione di tali finalità nell’informativa che deve essere resa a quanti accedono o si trovano all’interno di un area videosorvegliata . E’ possibile utilizzare una informativa estremamente semplificata, redatta dalla stessa Autorità Garante. Tale informativa semplificata può essere utilizzata nelle aree esterne e deve essere collocata nelle immediate vicinanze dei luoghi ripresi. Il supporto recante l’informativa, inoltre, deve essere chiaramente visibile per formato e posizionamento. Per gli apparati di videosorveglianza collocati in luoghi diversi dalle aree esterne il Garante prescrive l’adozione di un’informativa più circostanziata recante le indicazioni di cui all’art. 13 del Codice della Privacy. Tale diversa informativa tiene conto del fatto che i sistemi di ripresa potrebbero rilevare immagini non di visitatori occasionali ma di lavoratori ed impiegati del Titolare del trattamento. Tale seconda, diversa informativa è da collocarsi nelle aree interne in prossimità delle telecamere, anch’essa con formato e posizionamento tale da essere chiaramente visibile. Sempre con riferimento a riprese interne che implichino eventualmente rilevazione o registrazione di immagini relative a dipendenti o allo svolgimento di attività lavorative, va tenuto presente che nelle attività di sorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa. Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza è impiegata per esigenze organizzative e dei processi produttivi, ovvero è richiesta per la sicurezza del lavoro (art. 4 legge n. 300/1970; art. 2 d.lgs. n. 165/2001). Queste garanzie vanno osservate sia all’interno degli edifici, sia in altri luoghi di prestazione di lavoro. E’ inammissibile l’installazione di sistemi di videosorveglianza in luoghi riservati esclusivamente ai lavoratori o non destinati all’attività lavorativa (ad es. bagni, spogliatoi, docce, armadietti e luoghi ricreativi). Eventuali riprese televisive sui luoghi di lavoro per documentare attività od operazioni solo per scopi divulgativi o di comunicazione istituzionale o aziendale, e che vedano coinvolto il personale dipendente, possono essere assimilati ai trattamenti temporanei finalizzati alla pubblicazione occasionale di articoli, saggi ed altre manifestazioni del pensiero. In tal caso, alle stesse si applicano le disposizioni sull’attività giornalistica contenute nel Codice, fermi restando, comunque, i limiti al diritto di cronaca posti a tutela della riservatezza, nonché l’osservanza del codice deontologico per l’attività giornalistica ed il diritto del lavoratore a tutelare la propria immagine opponendosi anche, per motivi legittimi, alla sua diffusione. LE REGOLE PER LA VIDEOSORVEGLIANZA Conservazione delle immagini registrate. Oltre alla distinzione più sopra rilevata tra registrazione e rilevazione delle immagini va osservato che nel caso in cui il titolare del trattamento abbia preliminarmente verificato l’esistenza di concrete ed effettive situazioni di rischio (che in sostanza autorizzano non solo la rilevazione ma anche la registrazione delle immagini), in ogni caso, in applicazione del principio di proporzionalità, il tempo di conservazione delle immagini acquisite non deve eccedere quello strettamente necessario al raggiungimento della finalità perseguita dal titolare del trattamento mediante l’adozione dell’apparato di videosorveglianza. In tal senso, il Garante limita il tempo massimo di conservazione delle immagini acquisite alle ventiquattro ore successive alla rilevazione. Un tempo di conservazione più ampio, comunque non superiore ad una settimana dalla rilevazione, viene ammesso a fronte di peculiari esigenze tecniche o della particolare rischiosità dell’attività svolta dal titolare del trattamento. Un eventuale allungamento dei tempi di conservazione deve essere valutato come eccezionale e comunque in relazione alla necessità derivante da un evento già accaduto o realmente incombente, oppure alla necessità di custodire o consegnare una copia specificamente richiesta dall’autorità giudiziaria o di polizia giudiziaria in relazione ad un’attività investigativa in corso. Il sistema impiegato deve essere programmato in modo da operare al momento prefissato - ove tecnicamente possibile - la cancellazione automatica da ogni supporto, anche mediante sovra-registrazione, con modalità tali da rendere non riutilizzabili i dati cancellati. LE REGOLE PER LA VIDEOSORVEGLIANZA Soggetti incaricati del trattamento e misure di sicurezza. Le persone fisiche incaricate del trattamento (cioè, ai sensi dell’articolo 30 del Codice della Privacy e, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite), cioè gli addetti del Titolare del trattamento autorizzati ad utilizzare e gestire gli impianti di videosorveglianza e a visionare le immagini acquisite nei casi in cui ciò sia indispensabile, devono essere designate per iscritto (oppure deve essere preliminarmente definito per iscritto l’ambito dei trattamenti consentiti all’Unità Produttiva cui sono addetti gli Incaricati). Deve trattarsi di un numero molto ristretto di soggetti, in particolare quando ci si avvale di una collaborazione esterna (ad esempio, servizi esterni di sicurezza, eventualmente da nominare Responsabili del trattamento). In materia di misure di sicurezza il Provvedimento prescrive la regolamentazione dell’accessibilità alle immagini acquisite al fine di ridurre al minimo i rischi di perdita, deterioramento, distruzione, accesso non autorizzato e trattamento non consentito delle immagini medesime. A tal proposito, adeguata e conforme a tale prescrizione appare la custodia delle apparecchiature di videoregistrazione all’interno di locali chiusi e la limitazione dell’accesso ai suddetti locali ai soli incaricati del trattamento. Parimenti adeguata e doverosa deve ritenersi la conservazione dei supporti contenenti le immagini registrate all’interno di appositi archivi chiusi a chiave ed anch’essi accessibili esclusivamente agli incaricati del trattamento. Quando i dati vengono conservati - naturalmente per un tempo limitato in applicazione del principio di proporzionalità - devono essere previsti diversi livelli di accesso al sistema e di utilizzo delle informazioni, avendo riguardo anche ad eventuali interventi per esigenze di manutenzione. Occorre infine: 1. prevenire possibili abusi attraverso opportune misure di sicurezza basate in particolare su una “doppia chiave” fisica o logica che consentano una immediata ed integrale visione delle immagini solo in caso di necessità (da parte di addetti alla manutenzione o per l’estrazione dei dati ai fini della difesa di un diritto o del riscontro ad una istanza di accesso, oppure per assistere la competente autorità giudiziaria o di polizia giudiziaria). Va infatti tenuto conto che l’accessibilità regolamentata alle immagini registrate da parte degli addetti è fattore di sicurezza; 2. subordinare la visione delle immagini registrate alla sussistenza della sola ipotesi di svolgimento di indagini da parte dell’autorità giudiziaria e comunque previa autorizzazione del responsabile del servizio logistico, contemperando tale procedura con il legittimo esercizio del diritto di accesso ai dati che li riguardano attribuito dall’art. 7 del Codice ai soggetti identificabili attraverso le immagini registrate quali diretti interessati al trattamento. 3. Organizzare iniziative periodiche di formazione degli incaricati sui doveri, sulle garanzie e sulle responsabilità, sia all’atto dell’introduzione del sistema di videosorveglianza, sia in sede di modifiche delle modalità di utilizzo. CONCLUSIONI SULLA VIDEOSORVEGLIANZA Documento interno del Titolare del trattamento sulle scelte relative al sistema di videosorveglianza. Le ragioni delle scelte relative alla attivazione ed implementazione del sistema di videosorveglianza interna del Titolare del trattamento devono essere adeguatamente documentate in un atto autonomo conservato presso la sede aziendale a cura del titolare o del responsabile del trattamento, e ciò anche ai fini dell’eventuale esibizione in occasione di visite ispettive, oppure dell’esercizio dei diritti dell’interessato o di contenzioso. IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA Art. 140 del Codice della privacy Il Garante promuove la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell'interessato, forme semplificate per manifestare e rendere meglio conoscibile l'eventuale dichiarazione di non voler ricevere determinate comunicazioni. IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA Opposizione del Cliente al trattamento dei dati personali per finalità di marketing (art. 7, co. 4 del Codice della privacy) L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING Aspetti fondamentali da considerare: 1. e-mail è dato personale (vedi art. 4, co. 3. lett. m del Codice della privacy) 2. rapporto tra art. 130 del Codice della privacy (Comunicazioni indesiderate) e il nuovo d.lgs. recante il Codice del Consumo; 3. uso della e-mail per finalità di marketing nei rapporti B2B e decreto legislativo 70/2003 4. il Provvedimento Generale 9 Settembre 2003 del Garante su “E-mail spamming”. 5. responsabilità penali: reclusione da sei a diciotto mesi o da sei a ventiquattro mesi per spamming. IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING: REGOLE PARTICOLARI L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore (non solo e-mail ma anche telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo) per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato (opt-in). IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING: REGOLE PARTICOLARI Al di fuori di questi casi, ulteriori comunicazioni per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24 del Codice della privacy (dunque o richiesta di consenso preventiva o assenza dell’obbligo di richiedere il consenso ai sensi dell’art. 24, ad esempio: per adempiere ad obblighi contrattuali, per rispondere a specifiche richieste dell’interessato, per trattamenti di dati riguardanti lo svolgimento di attività economiche, per perseguire un legittimo interesse del titolare o di un terzo, per elaborazioni statistiche). IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING: REGOLE PARTICOLARI Fatto salvo quanto abbiamo appena visto se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per finalità commerciali, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente. IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING: REGOLE PARTICOLARI E' vietato in ogni caso l'invio di comunicazioni elettroniche a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7 del Codice. In caso di reiterata violazione il Garante può altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni. Prof. Avv. Alessandro del Ninno Responsabile del Dipartimento di Information & Communication Technology Studio Legale Tonucci & Partners Via Principessa Clotilde n. 7 00196 Roma e-mail: [email protected]