CONFINDUSTRIA VICENZA
Vicenza, 14 Novembre 2008
LA GESTIONE DELLA PRIVACY IN
AZIENDA: LE RECENTI MODIFICHE
NORMATIVE.
Ipotesi di semplificazione, adempimenti
organizzativi e tecnici, situazioni e
trattamenti aziendali particolari
Prof. Avv. Alessandro del Ninno
Responsabile del Dipartimento di Information & Communication Technology
STUDIO LEGALE TONUCCI & PARTNERS
www.tonucci.it
[email protected]
Legge 6 agosto 2008, n. 133
Conversione in legge, con modificazioni, del decretolegge 25 giugno 2008, n. 112, recante disposizioni
urgenti per lo sviluppo economico, la semplificazione,
la competitività, la stabilizzazione della finanza
pubblica e la perequazione tributaria
(pubblicata nella Gazzetta Ufficiale n. 195 del 21 agosto 2008 - Suppl.
Ordinario n. 196)
ART. 29
(Trattamento dei dati personali)
SEMPLIFICAZIONI IN MATERIA DI MISURE MINIME DI
SICUREZZA
Per i soggetti che:
trattano soltanto dati personali non sensibili e che trattano come
unici dati sensibili
1) quelli costituiti dallo stato di salute o malattia dei propri
dipendenti e collaboratori anche a progetto, senza indicazione
della relativa diagnosi,
2) quelli costituiti dall'adesione ad organizzazioni sindacali o
a carattere sindacale;
la tenuta di un aggiornato documento programmatico sulla
sicurezza
E’ SOSTITUITA
dall'obbligo di autocertificazione, resa dal titolare del trattamento
ai sensi dell'articolo 47 del testo unico di cui al decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445.
CONTENUTO DELL’AUTOCERTIFICAZIONE
Il titolare del trattamento dichiara di trattare soltanto tali dati in
osservanza delle altre misure di sicurezza prescritte.
L’autocertificazione
è
un
documento
che
deve
essere conservato dall’azienda e rispetto al quale non è
richiesta alcuna data certa.
Art. 76 d.p.r.445/2000:
Chiunque rilascia dichiarazioni mendaci, forma atti falsi o ne fa
uso nei casi previsti e punito ai sensi del codice penale e delle
leggi speciali in materia.
L'esibizione di un atto contenente dati non più rispondenti a
verità equivale ad uso di atto falso.
Le dichiarazioni sostitutive sono considerate come fatte a
pubblico ufficiale.
TRATTAMENTI CHE CONFIGURANO ANCORA L’OBBLIGO DI
STESURA DEL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA: CONSIDERAZIONI GENERALI
La “semplificazione” si applica a “dipendenti” e
“collaboratori, anche a progetto”.
Pertanto il trattamento di dati relativi alla sola salute di
tali soggetti (ivi inclusi i dati sulla idoneità ex decreto
81/2008) autorizza il titolare a rilasciare la semplice
autocertificazione. Il puntuale riferimento alle due
categorie dei dipendenti e dei collaboratori – dal punto
di vista sistematico – comporta che i trattamenti di dati
relativi alla salute di lavoratori autonomi, agenti,
rappresentanti, associati, soci lavoratori ecc.,
obbligano comunque il titolare a redigere il
DPS
TRATTAMENTI CHE CONFIGURANO ANCORA L’OBBLIGO DI
STESURA DEL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA: CONSIDERAZIONI GENERALI
Nozione di salute/malattia.
La formulazione individuata dall’art. 29 del decreto è molto ampia
perché, oltre a riferirsi alla condizione di malattia del dipendente,
contiene il termine «stato di salute» che comprende una
varietà di situazioni legate ad esempio a:
a) infortunio del lavoratore;
b) malattia antitubercolare;
c) stato di handicap;
d) condizioni psicofisiche legate all’osservanza delle norme sulla
sicurezza sul lavoro oppure allo svolgimento di determinate
mansioni che richiedono l’idoneità fisica del lavoratore (ad
esempio per il possesso del porto d’armi per le guardie giurate);
TRATTAMENTI CHE CONFIGURANO ANCORA L’OBBLIGO DI
STESURA DEL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA: CONSIDERAZIONI GENERALI
e) maternità della lavoratrice;
f) fruizione di permessi per sottoporsi a terapie o cure.
In tutti i precedenti casi nei quali il dato «salute» è trattato senza
indicazione della diagnosi, cioè senza che sia indicata la
patologia specifica cui soffre il lavoratore, si può fare ricorso
all’autocertificazione, mentre nel caso contrario occorre
redigere il DPS.
Ad esempio se il datore di lavoro, a seguito di visita da parte del
medico competente, non può adibire il lavoratore a mansioni di
centralino perché quest’ultimo soffre di una malattia alle
vie
uditive,
essendo
a
conoscenza
della
diagnosi,
qualora trattasse ossia archiviasse elettronicamente tale dato,
sarebbe necessario compilare e aggiornare il DPS.
QUANDO RESTA OBBLIGATORIO REDIGERE IL
DPS IN CASO DI DI DATI SENSIBILI TRATTATI
CON STRUMENTI ELETTRONICI
1. Dati relativi allo stato di salute o malattia dei
propri dipendenti e collaboratori a progetto,
comprensivi dell’indicazione della diagnosi.
l’
a) eventuale gestione di pratiche relative a malattie
professionali od infortuni, qualora gestite mediante strumenti
informatici, e nella previsione che tra i dati trattati siano
comprese informazioni relative alla prognosi e la diagnosi,
configurano quindi il permanere dell’obbligo di stesura del
Documento Programmatico sulla Sicurezza.
E
b) gestione di pratiche di assicurazione integrativa in
caso di malattia od incidente sul lavoro che prevedano per
legge l’indicazione della diagnosi;
c) adempimenti in materia di sicurezza sul lavoro (d.lgs.
81/2008) che prevedano l’obbligatoria indicazione della
diagnosi.
QUANDO RESTA OBBLIGATORIO REDIGERE IL DPS
IN CASO DI DI DATI SENSIBILI TRATTATI CON
STRUMENTI ELETTRONICI
2. Dati relativi allo stato di salute o malattia di
soggetti diversi da dipendenti e collaboratori,
anche se non comprensivi dell’indicazione della
diagnosi
a) dati relativi a professionisti che operano in azienda
mediante un rapporto regolato da fattura
b) dati relativi a clienti, fornitori od altri soggetti
esterni all’azienda (es: incidenti sul luogo di lavoro)
c) dati relativi allo stato di salute di parenti di
dipendenti (es: colonie estive dei dipendenti, richieste
di informazioni relative allo stato di salute) .
QUANDO RESTA OBBLIGATORIO REDIGERE IL DPS
IN CASO DI DI DATI SENSIBILI TRATTATI CON
STRUMENTI ELETTRONICI
3) Dati relativi all’origine razziale od etnica (es: dati anagrafici di
dipendenti extracomunitari)
4) Dati relativi alle convinzioni politiche, filosofiche, religiose o
relativi all’appartenenza ad associazioni od organizzazioni a
carattere politico, filosofico o religioso (es: godimento di
festività religiose, indicazioni relative a particolari
prescrizioni alimentari all’intero della gestione delle mense
aziendali, aspettative per elettorato attivo o passivo, etc)
5)
Dati relativi alle abitudini sessuali
6) Dati giudiziari (es:
posizione di indagato o imputato,
casellario giudiziale, certificazioni antimafia, etc).
PER TUTTI QUESTI TRATTAMENTI PERMANE L’OBBLIGO DI
REDAZIONE DEL DPS
CONSIDERAZIONI CONCLUSIVE SU
AUTOCERTIFICAZIONE
Rapporto tra autocertificazione e successivi trattamenti esclusi
dalla semplificazione
Il datore di lavoro è esonerato dal DPS,
rilascia l’autocertificazione, ma successivamente
inizia a trattare altri dati sensibili esclusi dalla deroga
(ad
esempio,
relativi
all’appartenenza
a
organizzazioni politiche o a confessioni religiose): in
questo caso viene meno la condizione di esonero e
ritorna l’obbligo di redigere da subito il DPS.
CONSIDERAZIONI CONCLUSIVE SU AUTOCERTIFICAZIONE
Aspetti sanzionatori
Va ricordato che l’art. 34 all’interno del quale il Dl n.
112/2008 ha inserito il comma 1bis, non è espressamente
sanzionato dal Codice della privacy.
Tuttavia, deve
ritenersi che la sanzione riferita all’art. 33 del Codice
includa anche l’art. 34 che obbliga il titolare dei dati
a rispettare le misure minime tra cui quelle di redigere il
DPS. Se ritenessimo punibile la mancata redazione del
DPS
per
chi
ne
è
tenuto,
ma
non
l’omessa autocertificazione renderemmo la norma
inefficace. Pertanto, anche l’omessa autocertificazione va
ritenuta soggetta alla applicabilità dell’art. 169 del Codice
della privacy, che prevede la sanzione dell’arresto sino a
due anni o l’ammenda da diecimila euro a cinquantamila
euro.
LE ALTRE MISURE DI SEMPLIFICAZIONI IN MATERIA DI MISURE
DI SICUREZZA
In relazione:
1.ai trattamenti di dati sensibili per
l’autocertificazione;
i quali
è
prevista
2.ai (diversi) trattamenti comunque effettuati per correnti finalità
amministrative e contabili, in particolare presso piccole e medie
imprese, liberi professionisti e artigiani;
il Garante (e non più il Ministero), sentito il Ministro per la
semplificazione normativa, individua con proprio provvedimento
(da adottarsi entro due mesi dalla legge di conversione), da
aggiornare periodicamente, modalità semplificate di applicazione
del disciplinare tecnico di cui all'Allegato B) del Codice della
privacy in ordine all'adozione delle misure minime di sicurezza.
LE ALTRE MISURE DI SEMPLIFICAZIONI IN MATERIA DI MISURE
DI SICUREZZA
Ne deriva che:
a) il provvedimento di semplificazione che il Garante dovrà
adottare, oltre ad avere una portata limitata agli ambiti disegnati
dalla norma, non si concreterà in un aggiornamento formale del
disciplinare tecnico (atteso che il Garante non ha il potere di
modificare quanto a suo tempo stabilito con il decreto
ministeriale mediante il quale venne adottato l’allegato B).
Stiamo per assistere, dunque, all’ennesima stratificazione, per
cui al disposto del disciplinare tecnico verrà affiancato un
provvedimento sì, semplificatorio, ma di diversa natura ed
adottato in una diversa sede.
LE ALTRE MISURE DI SEMPLIFICAZIONI IN MATERIA DI MISURE
DI SICUREZZA
b) almeno per ora, alla luce di tutto ciò, non è prevista alcuna
generale e formale modifica del disciplinare tecnico.
Da notare, però, che il giorno in cui si deciderà di dare corso
“all’adeguamento” comunque previsto dall’art. 36 del Codice
della privacy, il decreto del Ministero di Giustizia dovrà esser
adottato di concerto non solo con il Ministero dell’Innovazione,
ma anche, in virtù della modifica dell’art. 36 del codice apportata
sul punto dalla legge di conversione, anche con il Ministero della
semplificazione normativa.
LE SEMPLIFICAZIONI IN MATERIA DI NOTIFICAZIONE DEI
TRATTAMENTI AL GARANTE
Art. 29 d.l. 112/2008 (l. 133/2008)
« 2. La notificazione e' validamente effettuata solo se e' trasmessa
attraverso il sito del Garante, utilizzando l'apposito modello, che
contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del trattamento e,
eventualmente, del suo rappresentante, nonche' le modalità per
individuare il responsabile del trattamento se designato;
b) la o le finalità del trattamento;
c) una descrizione della o delle categorie di persone interessate e
dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere
comunicati;
e) i trasferimenti di dati previsti
verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare
l'adeguatezza delle misure adottate per garantire la sicurezza del
trattamento.».
LE SEMPLIFICAZIONI IN MATERIA DI NOTIFICAZIONE DEI
TRATTAMENTI AL GARANTE
La semplificazione relativa alla nuova notifica (nei casi in cui
essa sia obbligatoria ai sensi dell’art. 37 del Codice della privacy
e dei provvedimenti esplicativi del Garante del 31 Marzo 2004, 23
Aprile 2004 e 26 Aprile 2004) riguardano:
a) il superamento dell’uso della firma digitale;
b) l’adozione (entro due mesi dalla legge di conversione) di un
nuovo formato del modello di notifica semplificato (attesa
l’emanazione da parte dell’Autorità Garante) ;
c) Il chiarimento che nel nuovo modello non dovrà
necessariamente (come sembrava esser previsto in precedenza)
esser indicato il responsabile del trattamento, essendo possibile
limitarsi ad indicare “le modalità per individuare il responsabile
del trattamento, se designato”.
LE SEMPLIFICAZIONI IN MATERIA DI TRASFERIMENTO
ALL’ESTERO DEI DATI
Codice della privacy Art. 44. (Altri trasferimenti consentiti)
1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un
Paese non appartenente all'Unione europea, è altresì consentito quando è
autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato:
a) individuate dal Garante anche in relazione a garanzie prestate con un
contratto o mediante regole di condotta esistenti nell'ambito di società
appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti
nel territorio dello Stato, in base al presente codice, anche in ordine
all'inosservanza delle garanzie medesime;
b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26,
paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio,
del 24 ottobre 1995, con le quali la Commissione europea constata che un
Paese non appartenente all'Unione europea garantisce un livello di
protezione adeguato o che alcune clausole contrattuali offrono garanzie
sufficienti.
LE SEMPLIFICAZIONI IN MATERIA DI TRASFERIMENTO
ALL’ESTERO DEI DATI
L’art. 29 ha introdotto una nuova, importante ipotesi intesa a legittimare
il trasferimento di dati personali nei paesi extra UE: oltre agli altri casi
già previsti dagli artt. 43 e 44 del Codice della privacy, e sull’onda delle
esigenze più volte rappresentate da molte multinazionali (e di quanto va
accadendo in altri paesi, ove il tema è stato già affrontato), è stata infatti
introdotta un ulteriore ipotesi di autorizzazione da parte del Garante
intesa a legittimare la circolazione transfrontaliera dei dati, consistente
nella previa verifica della corretta adozione di “regole di condotta
esistenti nell’ambito di società appartenenti ad un medesimo gruppo”:
sarà quindi sufficiente la articolazione di corrette corporate rules
relativamente al trattamento dei dati da parte di tutte le società facenti
parte del medesimo gruppo imprenditoriale, per consentire la libera
circolazione infra-gruppo dei predetti dati, anche con riguardo a unità
operanti in paesi non aderenti all’Unione europea. Tutto ciò, fermo il
diritto dell’interessato di “far valere i propri diritti nel territorio dello
Stato, in base al presente codice, anche in ordine alla inosservanza
delle garanzie medesime”.
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
Tutti i titolari del trattamento in ambito privato e pubblico, in particolare le
piccole e medie imprese, liberi professionisti, artigiani, possono fruire delle
seguenti indicazioni per semplificare l'informativa rispetto allo svolgimento di
correnti finalità amministrative e contabili, anche in relazione all'adempimento di
obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono:
a) fornire un'unica informativa per il complesso dei trattamenti, anziché per
singoli aspetti del rapporto con gli interessati;
b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con
linguaggio semplice, senza frammentarla o reiterarla inutilmente;
c) indicare le informazioni essenziali in un quadro adeguato di lealtà e
correttezza;
d) redigere, per quanto possibile, una prima informativa breve. All'interessato,
anche oralmente, andrebbero indicate sinteticamente alcune prime notizie
chiarendo subito, con immediatezza, le principali caratteristiche del trattamento.
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
In linea di massima l'informativa breve, quando è scritta, può avere la
seguente formulazione:
"I SUOI DATI PERSONALI
Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano
esclusivamente per nostre finalità amministrative e contabili, anche quando li
comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di
accesso e agli altri suoi diritti, sono riportate su...";
e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili
nel materiale cartaceo e nella corrispondenza che si impiegano già,
ordinariamente, per finalità amministrative e contabili;
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
f) l'informativa breve può rinviare a un testo più articolato, disponibile
agevolmente senza oneri per gli interessati, in luoghi e con modalità
facilmente accessibili anche con strumenti informatici e telematici (in
particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali,
avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili
digitando un numero telefonico gratuito).
Anche questa più ampia informativa deve essere improntata a correttezza,
tenendo conto di possibili modifiche del trattamento, ed essere basata su
espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge
(art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo
aggiornamento;
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
g) è possibile non inserire nell'informativa più articolata gli elementi noti
all'interessato. E' opportuno omettere riferimenti meramente burocratici o
circostanze ovvie, per esempio quando alcune informazioni, compresi gli
estremi identificativi del titolare, risultano da altre parti del documento in cui è
presente l'informativa. Vanno utilizzate espressioni efficaci, anche se
sintetiche, anche per quanto riguarda i diritti degli interessati e l'organismo o
soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati
presso terzi è possibile formulare una sola informativa per i dati forniti
direttamente dall'interessato e per quelli che saranno acquisiti presso terzi.
Per questi ultimi dati, l'informativa può non essere fornita quando vi è un
obbligo normativo di trattarli;
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
h) è opportuno che l'informativa più articolata sia basata su uno schema
tendenzialmente uniforme per il settore di attività del titolare del trattamento;
i) è invece necessario fornire un'informativa specifica o ad hoc quando il
trattamento ha caratteristiche del tutto particolari perché coinvolge, ad
esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di
utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze
amministrative e contabili, o può comportare rischi specifici per gli interessati
(ad esempio, rispetto a determinate forme di uso di dati biometrici o di
controllo delle attività dei lavoratori).
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
CONSENSO
Tutti i titolari del trattamento pubblici e privati non devono
chiedere il consenso degli interessati quando il trattamento dei
dati è svolto, anche in relazione all'adempimento di obblighi
contrattuali, precontrattuali o normativi, esclusivamente per
correnti finalità amministrative e contabili, nonché quando i dati
provengono da pubblici registri ed elenchi pubblici conoscibili
da chiunque, o sono relativi allo svolgimento di attività
economiche o sono trattati da un soggetto pubblico
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
CONSENSO
I titolari del trattamento in ambito privato che hanno venduto un
prodotto o prestato un servizio, nel quadro del perseguimento di
ordinarie finalità amministrative e contabili, possono utilizzare
senza il consenso i recapiti (oltre che di posta elettronica come
già previsto per legge) di posta cartacea forniti dall'interessato,
ai fini dell'invio diretto di proprio materiale pubblicitario o di
propria vendita diretta o per il compimento di proprie ricerche di
mercato o di comunicazione commerciale. Ciò, rispettando
anche le garanzie previste per le attività di profilazione degli
interessati, a condizione che:
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
CONSENSO
a) tale attività promozionale riguardi beni e servizi del medesimo
titolare e analoghi a quelli oggetto della vendita;
b) l'interessato, al momento della raccolta e in occasione dell'invio
di ogni comunicazione effettuata per le menzionate finalità, sia
informato della possibilità di opporsi in ogni momento al
trattamento, in maniera agevole e gratuitamente, anche mediante
l'utilizzo della posta elettronica o del fax o del telefono e di ottenere
un immediato riscontro che confermi l'interruzione di tale
trattamento;
c) l'interessato medesimo, così adeguatamente informato già prima
dell'instaurazione del rapporto, non si opponga a tale uso,
inizialmente o in occasione di successive comunicazioni.
USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI
BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE
PRESENZE NEI LUOGHI DI LAVORO
I dati biometrici sono informazioni ricavate dalle caratteristiche
fisiche di interessati che si vorrebbero identificare in modo
univoco, mediante un modello di riferimento (template).
Quest'ultimo consiste nell'insieme di valori numerici ricavati,
attraverso funzioni matematiche, dalle caratteristiche individuali
sopra
indicate,
preordinati
all'identificazione
personale
attraverso opportune operazioni di confronto tra il codice
numerico ricavato ad ogni accesso e quello originariamente
raccolto.
Sia le impronte dattiloscopiche sia i codici numerici
successivamente utilizzati per le descritte operazioni di
confronto, in quanto informazioni riferibili ai singoli lavoratori,
sono dati personali.
USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI
BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE
PRESENZE NEI LUOGHI DI LAVORO
Non può ritenersi lecito un uso generalizzato e incontrollato dei
medesimi dati, specie se si tratta di impronte digitali per le quali
occorre anche prevenire eventuali utilizzi impropri e possibili
abusi.
Considerata l'utilizzabilità di idonee modalità alternative per un
accertamento parimenti rigoroso dell'identità personale, ma
meno problematiche per la dignità stessa dei lavoratori
interessati, l’utilizzo di sistemi biometrici per il computo
dell'orario di lavoro non risulta lecito in presenza di modalità
alternative.
Il titolare del trattamento, per verificare la puntuale osservanza
dell'orario di lavoro da parte dei lavoratori, impedendo in pari
tempo condotte abusive dei medesimi, può disporre di altri
sistemi meno invasivi della sfera personale, della libertà
individuale e che non coinvolgano il corpo del lavoratore.
USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI
BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE
PRESENZE NEI LUOGHI DI LAVORO
I sistemi di rilevazione di dati biometrici dei lavoratori a fini di
controllo della presenza e di computo dell’orario di lavoro sono
dunque in generale vietati, ad eccezione di circostanze
eccezionali: l'utilizzo di tali dati in luoghi di lavoro può essere
giustificato in casi particolari, in relazione alle finalità e al
contesto in cui essi sono trattati (ad esempio, accessi a
particolari aree dell'azienda per le quali debbano essere adottati
livelli di sicurezza particolarmente elevati in ragione di specifiche
circostanze o attività ivi svolte), oppure per finalità di sicurezza
del trattamento di dati personali.
In ogni caso, i sistemi di rilevazione e registrazione dei dati
biometrici dei lavoratori, quando eccezionalmente ammessi,
devono basarsi sui seguenti presupposti.
USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI
BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE
PRESENZE NEI LUOGHI DI LAVORO
A. essere sempre ed obbligatoriamente sottoposti alla verifica
preliminare del Garante;
B. offrire una rigorosa garanzia di affidabilità ed integrità dei
dati, anche sulla base di certificazioni od omologazioni dei
dispositivi che tengano eventualmente conto delle valutazioni di
comitati tecnici indipendenti;
C. essere basati su adeguate misure di sicurezza predisposte a
protezione della rete di comunicazione elettronica sulla quale i
dati biometrici sono trasmessi dai singoli lettori al sistema
centralizzato di acquisizione dati (es: utilizzo di chiavi di
cifratura dei dati biometrici, indicato anche a livello europeo);
USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI
BIOMETRICI PER I SISTEMI DI RILEVAMENTO DELLE
PRESENZE NEI LUOGHI DI LAVORO
D.
prevedere una idonea e completa informativa, adeguata
rispetto al trattamento che si intende porre in essere;
l’informativa deve contenere altresì ogni utile riferimento a
tecniche alternative per la rilevazione delle presenze;
E.
basarsi sui principi di necessità, proporzionalità, finalità e
correttezza, nonché di qualità dei dati.
USO DELLE IMPRONTE DIGITALI O DI ALTRI DATI BIOMETRICI
PER I SISTEMI DI RILEVAMENTO DELLE PRESENZE
NEI LUOGHI DI LAVORO
Infine, il trattamento può risultare sproporzionato anche in
considerazione
delle
modalità
tecniche
prefigurate
(centralizzazione dei codici identificativi derivati dall'esame del
dato biometrico), ben potendosi adottare, anche da questo punto
di vista, misure tecnologiche meno invasive. Infatti, anche a
mente della disposizione contenuta nell'art. 3 del Codice, è da
ritenere comunque preferibile, laddove sia ammesso il ricorso a
dati biometrici, la memorizzazione del codice identificativo su un
supporto che resti nell'esclusiva disponibilità dell'interessato
(una volta completato il c.d. enrollment), piuttosto che la
registrazione dello stesso a livello centralizzato nel sistema
informativo aziendale (con conseguenti più gravi ripercussioni
per i diritti individuali in caso di violazione delle misure di
sicurezza, di accessi di persone non autorizzate o, comunque, di
abuso delle informazioni memorizzate, anche ad opera di terzi).
LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET
I datori di lavoro pubblici e privati non possono controllare la
posta elettronica e la navigazione in Internet dei dipendenti, se
non in casi eccezionali. Spetta al datore di lavoro definire le
modalità d'uso di tali strumenti ma tenendo conto dei diritti dei
lavoratori e della disciplina in tema di relazioni sindacali.
LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET
L'Autorità prescrive innanzitutto ai datori di lavoro di informare
con chiarezza e in modo dettagliato i lavoratori sulle modalità di
utilizzo di Internet e della posta elettronica e sulla possibilità
che vengano effettuati controlli. Il Garante vieta poi la lettura e
la registrazione sistematica delle e-mail così come il
monitoraggio sistematico delle pagine web visualizzate dal
lavoratore, perché ciò realizzerebbe un controllo a distanza
dell'attività lavorativa vietato dallo Statuto dei lavoratori. Viene
inoltre indicata tutta una serie di misure tecnologiche e
organizzative per prevenire la possibilità, prevista solo in casi
limitatissimi, dell'analisi del contenuto della navigazione in
Internet e dell'apertura di alcuni messaggi di posta elettronica
contenenti dati necessari all'azienda.
LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET
Le Linee Guida raccomandano l'adozione da parte delle aziende
di un disciplinare interno, definito coinvolgendo anche le
rappresentanze sindacali, nel quale siano chiaramente indicate
le regole per l'uso di Internet e della posta elettronica.
Il datore di lavoro è inoltre chiamato ad adottare ogni misura in
grado di prevenire il rischio di utilizzi impropri, così da ridurre
controlli successivi sui lavoratori. Per quanto riguarda Internet
è opportuno ad esempio:
A) individuare preventivamente i siti considerati correlati o
meno con la prestazione lavorativa;
B) utilizzare filtri che prevengano determinate operazioni, quali
l'accesso a siti inseriti in una sorta di black list o il download di
file musicali o multimediali.
LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET
Per quanto riguarda la posta elettronica, è opportuno che
l'azienda:
A) renda disponibili anche indirizzi condivisi tra più lavoratori
([email protected]; [email protected]; [email protected]), rendendo
così chiara la natura non privata della corrispondenza;
B) valuti la possibilità di attribuire al lavoratore un altro
indirizzo (oltre quello di lavoro), destinato ad un uso personale;
C) preveda, in caso di assenza del lavoratore, messaggi di
risposta automatica con le coordinate di altri lavoratori cui
rivolgersi;
LE LINEE GUIDA DEL GARANTE SU EMAIL E INTERNET
D) metta in grado il dipendente di delegare un altro lavoratore
(fiduciario) a verificare
il contenuto dei messaggi a lui
indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per
l'ufficio, ciò in caso di assenza prolungata o non prevista del
lavoratore interessato e di improrogabili necessità legate
all'attività lavorativa.
Qualora queste misure preventive non fossero sufficienti a
evitare comportamenti anomali, gli eventuali controlli da parte
del datore di lavoro devono essere effettuati con gradualità. In
prima battuta si effettueranno verifiche di reparto, di ufficio, di
gruppo di lavoro, in modo da individuare l'area da richiamare
all'osservanza delle regole. Solo successivamente, ripetendosi
l'anomalia, si potrebbe passare a controlli su base individuale.
LE REGOLE PER LA VIDEOSORVEGLIANZA
L’acquisizione di immagini effettuata con l’ausilio di sistemi di videosorveglianza,
rientra nell’ambito di applicazione della normativa a tutela della privacy nella misura
in cui tali immagini, consentendo direttamente o indirettamente l’individuazione dei
soggetti interessati, si configurino quali dati personali a tutti gli effetti.
L’utilizzo di sistemi di videosorveglianza aziendali per ragioni di prevenzione e tutela
della sicurezza è regolato dall’articolo 134 del Codice della Privacy (che si limita a
rinviare all’adozione di un futuro codice di deontologia e buona condotta) e
soprattutto dalle indicazioni operative contenute nel recente Provvedimento
Generale sulla Videosorveglianza emanato dall’Autorità Garante il 29 Aprile 2004 (in
aggiornamento del precedente Decalogo sulla Videosorveglianza del 29.11.2000).
LE REGOLE PER LA VIDEOSORVEGLIANZA
Assenza dell’obbligo di richiedere il consenso e rispetto del
principio di necessità
Il Garante, nel Provvedimento citato, ha svincolato dal presupposto del consenso
preventivo dell’interessato l’acquisizione di immagini a mezzo di sistemi di
videosorveglianza quando chi intende rilevare le immagini persegue un interesse
legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine,
danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro.
La prima regola operativa è quella del cosiddetto “principio di necessità”, inteso
come prerequisito essenziale, nel senso che l'acquisizione attraverso sistemi di
videosorveglianza di immagini che rendano identificabile la persona interessata è
lecita laddove le finalità perseguite mediante tale trattamento non possano essere
realizzate con l'impiego di dati anonimi od altri sistemi meno invasivi.
LE REGOLE PER LA VIDEOSORVEGLIANZA
Distinzione tra sistemi di rilevazione e sistemi di registrazione
delle immagini
Altra importante regola pratica da seguire fa riferimento alla distinzione tra
impianti di registrazione delle immagini ed impianti di rilevazione delle
immagini. A fronte della maggiore invasività dei dispositivi di registrazione delle
immagini rispetto a quelli di semplice rilevazione, il Garante ha segnalato che le
vere e proprie registrazioni effettuate a tutela della proprietà e del patrimonio
aziendale sono legittime soltanto in presenza di concrete ed effettive situazioni di
rischio. Dunque, in assenza di tali concrete situazioni di rischio (comprovate ad
esempio da furti od atti lesivi della proprietà in passato subiti dal Titolare oppure
dalla vicinanza a zone urbane ritenute “pericolose”), un sistema di
videosorveglianza dovrebbe essere tarato in modo tale da non consentire la
registrazione e conservazione delle immagini.
LE REGOLE PER LA VIDEOSORVEGLIANZA
Dislocazione delle videocamere e modalità di ripresa in base al
principio di proporzionalità.
Il Garante ha ritenuto lecita l’installazione di apparati di videosorveglianza laddove
l’adozione di altre misure di sicurezza si riveli insufficiente o inattuabile (il che
rappresenta un ulteriore prerequisito di liceità dell’attivazione di impianti di
videosorveglianza, nel senso che detta attivazione deve seguire una specifica
analisi in base alla quale si sia verificato che altri sistemi di sicurezza sono in
concreto – per la situazione specifica della sicurezza aziendale – insufficienti), ma
ha dichiarato l’illegittimità dell’acquisizione di immagini in aree per le quali
non ricorre un’effettiva esigenza di deterrenza in quanto non soggette a
concreti pericoli.
In tal senso, nella generale politica della sicurezza adottata dal Titolare del
trattamento, si deve tenere conto non solo delle effettive situazioni di rischio, ma a
seguito della relativa analisi ne deve discendere una conseguente dislocazione dei
sistemi di ripresa (non installati in via generale all’interno o all’esterno dei locali
aziendali, ma semmai esclusivamente nelle aree dove gli stessi siano realmente
necessari e proporzionati alle esigenze di sicurezza preventiva). Una volta dislocati i
sistemi di ripresa in base alle considerazioni appena sopra formulate, il titolare
dovrà altresì curare che l’angolo visuale delle riprese e la tipologia fissa o
mobile dei dispositivi per l’acquisizione di immagini siano tali da evitare
indebite interferenze nell’altrui sfera di riservatezza.
In ogni caso, nell’uso delle apparecchiature volte a riprendere, per i legittimi
interessi indicati, aree esterne ad edifici e immobili (perimetrali, adibite a
parcheggi o a carico/scarico merci, accessi, uscite di emergenza), il
trattamento deve essere effettuato con modalità tali da limitare l’angolo visuale
all’area effettivamente da proteggere, evitando la ripresa di luoghi circostanti
e di particolari non rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.).
LE REGOLE PER LA VIDEOSORVEGLIANZA
Adempimenti nei confronti dei terzi (visitatori e addetti).
Le finalità perseguite dal titolare del trattamento mediante l’apparato di
videosorveglianza devono essere esplicitate e rese conoscibili al pubblico. Per tale
motivo doverosa è l’indicazione di tali finalità nell’informativa che deve essere resa a
quanti accedono o si trovano all’interno di un area videosorvegliata . E’ possibile
utilizzare una informativa estremamente semplificata, redatta dalla stessa Autorità
Garante. Tale informativa semplificata può essere utilizzata nelle aree esterne e
deve essere collocata nelle immediate vicinanze dei luoghi ripresi. Il supporto
recante l’informativa, inoltre, deve essere chiaramente visibile per formato e
posizionamento.
Per gli apparati di videosorveglianza collocati in luoghi diversi dalle aree esterne il
Garante prescrive l’adozione di un’informativa più circostanziata recante le
indicazioni di cui all’art. 13 del Codice della Privacy. Tale diversa informativa tiene
conto del fatto che i sistemi di ripresa potrebbero rilevare immagini non di visitatori
occasionali ma di lavoratori ed impiegati del Titolare del trattamento. Tale seconda,
diversa informativa è da collocarsi nelle aree interne in prossimità delle telecamere,
anch’essa con formato e posizionamento tale da essere chiaramente visibile.
Sempre con riferimento a riprese interne che implichino eventualmente rilevazione o
registrazione di immagini relative a dipendenti o allo svolgimento di attività
lavorative, va tenuto presente che nelle attività di sorveglianza occorre
rispettare il divieto di controllo a distanza dell’attività lavorativa. Vanno poi
osservate le garanzie previste in materia di lavoro quando la videosorveglianza è
impiegata per esigenze organizzative e dei processi produttivi, ovvero è richiesta
per la sicurezza del lavoro (art. 4 legge n. 300/1970; art. 2 d.lgs. n. 165/2001).
Queste garanzie vanno osservate sia all’interno degli edifici, sia in altri luoghi di
prestazione di lavoro. E’ inammissibile l’installazione di sistemi di
videosorveglianza in luoghi riservati esclusivamente ai lavoratori o non
destinati all’attività lavorativa (ad es. bagni, spogliatoi, docce, armadietti e
luoghi ricreativi).
Eventuali riprese televisive sui luoghi di lavoro per documentare attività od
operazioni solo per scopi divulgativi o di comunicazione istituzionale o aziendale, e
che vedano coinvolto il personale dipendente, possono essere assimilati ai
trattamenti temporanei finalizzati alla pubblicazione occasionale di articoli, saggi ed
altre manifestazioni del pensiero. In tal caso, alle stesse si applicano le disposizioni
sull’attività giornalistica contenute nel Codice, fermi restando, comunque, i limiti al
diritto di cronaca posti a tutela della riservatezza, nonché l’osservanza del codice
deontologico per l’attività giornalistica ed il diritto del lavoratore a tutelare la propria
immagine opponendosi anche, per motivi legittimi, alla sua diffusione.
LE REGOLE PER LA VIDEOSORVEGLIANZA
Conservazione delle immagini registrate.
Oltre alla distinzione più sopra rilevata tra registrazione e rilevazione delle immagini
va osservato che nel caso in cui il titolare del trattamento abbia preliminarmente
verificato l’esistenza di concrete ed effettive situazioni di rischio (che in
sostanza autorizzano non solo la rilevazione ma anche la registrazione delle
immagini), in ogni caso, in applicazione del principio di proporzionalità, il tempo di
conservazione delle immagini acquisite non deve eccedere quello strettamente
necessario al raggiungimento della finalità perseguita dal titolare del trattamento
mediante l’adozione dell’apparato di videosorveglianza. In tal senso, il Garante
limita il tempo massimo di conservazione delle immagini acquisite alle
ventiquattro ore successive alla rilevazione.
Un tempo di conservazione più ampio, comunque non superiore ad una
settimana dalla rilevazione, viene ammesso a fronte di peculiari esigenze tecniche
o della particolare rischiosità dell’attività svolta dal titolare del trattamento.
Un eventuale allungamento dei tempi di conservazione deve essere valutato come
eccezionale e comunque in relazione alla necessità derivante da un evento già
accaduto o realmente incombente, oppure alla necessità di custodire o consegnare
una copia specificamente richiesta dall’autorità giudiziaria o di polizia giudiziaria in
relazione ad un’attività investigativa in corso.
Il sistema impiegato deve essere programmato in modo da operare al momento
prefissato - ove tecnicamente possibile - la cancellazione automatica da ogni
supporto, anche mediante sovra-registrazione, con modalità tali da rendere
non riutilizzabili i dati cancellati.
LE REGOLE PER LA VIDEOSORVEGLIANZA
Soggetti incaricati del trattamento e misure di sicurezza.
Le persone fisiche incaricate del trattamento (cioè, ai sensi dell’articolo 30
del Codice della Privacy e, le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile che operano sotto
la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni
impartite), cioè gli addetti del Titolare del trattamento autorizzati ad
utilizzare e gestire gli impianti di videosorveglianza e a visionare le
immagini acquisite nei casi in cui ciò sia indispensabile, devono essere
designate per iscritto (oppure deve essere preliminarmente definito per
iscritto l’ambito dei trattamenti consentiti all’Unità Produttiva cui sono
addetti gli Incaricati).
Deve trattarsi di un numero molto ristretto di soggetti, in particolare quando
ci si avvale di una collaborazione esterna (ad esempio, servizi esterni di
sicurezza, eventualmente da nominare Responsabili del trattamento).
In materia di misure di sicurezza il Provvedimento prescrive la regolamentazione
dell’accessibilità alle immagini acquisite al fine di ridurre al minimo i rischi di perdita,
deterioramento, distruzione, accesso non autorizzato e trattamento non consentito
delle immagini medesime.
A tal proposito, adeguata e conforme a tale prescrizione appare la custodia delle
apparecchiature di videoregistrazione all’interno di locali chiusi e la limitazione
dell’accesso ai suddetti locali ai soli incaricati del trattamento. Parimenti adeguata e
doverosa deve ritenersi la conservazione dei supporti contenenti le immagini
registrate all’interno di appositi archivi chiusi a chiave ed anch’essi accessibili
esclusivamente agli incaricati del trattamento.
Quando i dati vengono conservati - naturalmente per un tempo limitato in
applicazione del principio di proporzionalità - devono essere previsti diversi livelli
di accesso al sistema e di utilizzo delle informazioni, avendo riguardo anche
ad eventuali interventi per esigenze di manutenzione.
Occorre infine:
1. prevenire possibili abusi attraverso opportune misure di sicurezza basate in
particolare su una “doppia chiave” fisica o logica che consentano una immediata ed
integrale visione delle immagini solo in caso di necessità (da parte di addetti alla
manutenzione o per l’estrazione dei dati ai fini della difesa di un diritto o del riscontro
ad una istanza di accesso, oppure per assistere la competente autorità giudiziaria o
di polizia giudiziaria). Va infatti tenuto conto che l’accessibilità regolamentata alle
immagini registrate da parte degli addetti è fattore di sicurezza;
2. subordinare la visione delle immagini registrate alla sussistenza della sola ipotesi
di svolgimento di indagini da parte dell’autorità giudiziaria e comunque previa
autorizzazione del responsabile del servizio logistico, contemperando tale procedura
con il legittimo esercizio del diritto di accesso ai dati che li riguardano attribuito
dall’art. 7 del Codice ai soggetti identificabili attraverso le immagini registrate quali
diretti interessati al trattamento.
3. Organizzare iniziative periodiche di formazione degli incaricati sui doveri, sulle
garanzie e sulle responsabilità, sia all’atto dell’introduzione del sistema di
videosorveglianza, sia in sede di modifiche delle modalità di utilizzo.
CONCLUSIONI SULLA VIDEOSORVEGLIANZA
Documento interno del Titolare del trattamento sulle scelte
relative al sistema di videosorveglianza.
Le ragioni delle scelte relative alla attivazione ed implementazione del
sistema di videosorveglianza interna del Titolare del trattamento
devono essere adeguatamente documentate in un atto autonomo
conservato presso la sede aziendale a cura del titolare o del
responsabile del trattamento, e ciò anche ai fini dell’eventuale
esibizione in occasione di visite ispettive, oppure dell’esercizio dei
diritti dell’interessato o di contenzioso.
IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE
COMMERCIALE DELL’AZIENDA
Art. 140 del Codice della privacy
Il Garante promuove la sottoscrizione di un codice di deontologia e di
buona condotta per il trattamento dei dati personali effettuato a fini di
invio di materiale pubblicitario o di vendita diretta, ovvero per il
compimento di ricerche di mercato o di comunicazione commerciale,
prevedendo anche, per i casi in cui il trattamento non presuppone il
consenso dell'interessato, forme semplificate per manifestare e
rendere meglio conoscibile l'eventuale dichiarazione di non voler
ricevere determinate comunicazioni.
IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE
COMMERCIALE DELL’AZIENDA
Opposizione del Cliente al trattamento dei dati personali per finalità
di marketing (art. 7, co. 4 del Codice della privacy)
L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano,
ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di
materiale pubblicitario o di vendita diretta o per il compimento di ricerche di
mercato o di comunicazione commerciale.
IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE
COMMERCIALE DELL’AZIENDA
E-MAIL MARKETING
Aspetti fondamentali da considerare:
1. e-mail è dato personale (vedi art. 4, co. 3. lett. m del Codice della
privacy)
2. rapporto tra art. 130 del Codice della privacy (Comunicazioni
indesiderate) e il nuovo d.lgs. recante il Codice del Consumo;
3. uso della e-mail per finalità di marketing nei rapporti B2B e decreto
legislativo 70/2003
4. il Provvedimento Generale 9 Settembre 2003 del Garante su “E-mail
spamming”.
5. responsabilità penali: reclusione da sei a diciotto mesi o da sei a
ventiquattro mesi per spamming.
IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE
COMMERCIALE DELL’AZIENDA
E-MAIL MARKETING: REGOLE PARTICOLARI
L'uso di sistemi automatizzati di chiamata senza l'intervento di un
operatore (non solo e-mail ma anche telefax, messaggi del tipo Mms
(Multimedia Messaging Service) o Sms (Short Message Service) o di altro
tipo) per l'invio di materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione commerciale è
consentito con il consenso dell'interessato (opt-in).
IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE
COMMERCIALE DELL’AZIENDA
E-MAIL MARKETING: REGOLE PARTICOLARI
Al di fuori di questi casi, ulteriori comunicazioni per l'invio di
materiale pubblicitario o di vendita diretta o per il compimento di
ricerche di mercato o di comunicazione commerciale effettuate con
mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli
articoli 23 e 24 del Codice della privacy (dunque o richiesta di
consenso preventiva o assenza dell’obbligo di richiedere il consenso
ai sensi dell’art. 24, ad esempio: per adempiere ad obblighi
contrattuali, per rispondere a specifiche richieste dell’interessato, per
trattamenti di dati riguardanti lo svolgimento di attività economiche,
per perseguire un legittimo interesse del titolare o di un terzo, per
elaborazioni statistiche).
IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE
COMMERCIALE DELL’AZIENDA
E-MAIL MARKETING: REGOLE PARTICOLARI
Fatto salvo quanto abbiamo appena visto se il titolare del trattamento
utilizza, a fini di vendita diretta di propri prodotti o servizi, le
coordinate di posta elettronica fornite dall'interessato nel contesto
della vendita di un prodotto o di un servizio, può non richiedere il
consenso dell'interessato, sempre che si tratti di servizi
analoghi a quelli oggetto della vendita e l'interessato,
adeguatamente informato, non rifiuti tale uso, inizialmente o in
occasione di successive comunicazioni. L'interessato, al momento
della raccolta e in occasione dell'invio di ogni comunicazione
effettuata per finalità commerciali, è informato della possibilità di
opporsi in ogni momento al trattamento, in maniera agevole e
gratuitamente.
IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE
COMMERCIALE DELL’AZIENDA
E-MAIL MARKETING: REGOLE PARTICOLARI
E' vietato in ogni caso l'invio di comunicazioni elettroniche a scopo
promozionale, effettuato camuffando o celando l'identità del mittente
o senza fornire un idoneo recapito presso il quale l'interessato possa
esercitare i diritti di cui all'articolo 7 del Codice.
In caso di reiterata violazione il Garante può altresì prescrivere a fornitori
di servizi di comunicazione elettronica di adottare procedure di filtraggio o
altre misure praticabili relativamente alle coordinate di posta elettronica da
cui sono stati inviate le comunicazioni.
Prof. Avv. Alessandro del Ninno
Responsabile del Dipartimento di Information
& Communication Technology
Studio Legale Tonucci & Partners
Via Principessa Clotilde n. 7 00196 Roma
e-mail: [email protected]