ASSOCIAZIONE DEGLI INDUSTRIALI DELLA PROVINCIA DI VICENZA Vicenza, 17 Ottobre 2005 Profili attuativi del Codice della privacy in azienda: aspetti organizzativi e profili di responsabilità. Avv. Alessandro del Ninno Responsabile del Dipartimento di Information & Communication Technology STUDIO LEGALE TONUCCI www.tonucci.it [email protected] Il Codice Deontologico sul trattamento di dati nei rapporti di lavoro L’Art. 111 del Codice della privacy l’adozione di un codice deontologico relativo ai trattamenti di dati personali effettuati per finalità previdenziali o per la gestione del rapporto di lavoro, con previsione di specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione di annunci per finalità di occupazione ed alla ricezione di curricula vitae contenenti dati personali anche sensibili. Principi del Codice deontologico 1. obbligatoria informativa ai dipendenti sull’installazione di apparecchiature di controllo; 2. negli annunci di lavoro dovrà essere inserito un facsimile per l'informativa e per la prestazione del consenso, o in alternativa dovrà essere indicato un sito Internet sul quale il facsimile sia agevolmente conoscibile; 3. semplificazione per la individuazione dei dipendenti come incaricati del trattamento INFORMATIVA AGLI INTERESSATI E RICHIESTA DEL CONSENSO AL TRATTAMENTO DEI DATI PERSONALI Volendo riepilogare le principali regole operative, si ricordi che: 1. L’informativa, redatta ai sensi dell’articolo 13 del Codice della privacy, è sempre obbligatoria, anche quando non è necessario richiedere il consenso al trattamento da parte dell’interessato; 2. Il trattamento di dati ordinari da parte di soggetti privati o enti pubblici economici è ammesso solo con il consenso (espresso ed informato, anche prestato oralmente ma documentato per iscritto, mai presunto, acquisito prima dell’inizio del trattamento) dell’interessato, ad eccezione dei casi previsti dall’articolo 24 del Codice della privacy, per i quali non è necessario acquisire il consenso; 3. Il trattamento di dati “sensibili” è ammesso solo con il consenso scritto dell’interessato e previa l’autorizzazione del Garante (consenso non obbligatorio per adempimenti previsti da leggi lavoristiche); 4. Il trattamento dei dati giudiziari da parte di privati ed enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e le operazioni eseguibili dunque non serve, alla presenza di tali presupposti, il consenso dell’interessato). CASI DI DEROGA ALL’OBBLIGO DI RICHIEDERE IL CONSENSO AL TRATTAMENTO Per quanto riguarda il trattamento dei dati ordinari, non è necessario acquisire il consenso (ma è obbligatorio rendere l’informativa) tra l’altro nei seguenti casi di maggiore interesse per le imprese, e cioè quando il trattamento: 1. è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; 2. è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; 3. riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; CASI DI DEROGA ALL’OBBLIGO DI RICHIEDERE IL CONSENSO AL TRATTAMENTO Per quanto riguarda il trattamento dei dati sensibili, non è necessario acquisire il consenso scritto (ma è obbligatorio rendere l’informativa) tra l’altro nei seguenti casi di maggiore interesse per le imprese: 1. quando il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione del Garante e ferme restando le disposizioni del futuro codice di deontologia e di buona condotta in ambito lavoristico (in tal caso non è necessario richiedere il consenso, ma occorre rispettare l’Autorizzazione generale applicabile ed il codice deontologico); 2. nel caso di trattamento dei dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria (in tal caso non solo non è necessario il consenso, ma neanche conformarsi all’autorizzazione del Garante). IL TRATTAMENTO DEI DATI SENSIBILI DEI LAVORATORI Le regole operative sono contenute nella Autorizzazione Generale del Garante 1/2004 al trattamento dei dati sensibili nei rapporti di lavoro. L’autorizzazione è rilasciata alle persone fisiche e giuridiche, alle imprese, agli enti, alle associazioni e agli organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale a consulenti, liberi professionisti, agenti, rappresentanti e mandatari, soggetti che effettuano prestazioni coordinate e continuative o ad altri lavoratori autonomi in rapporto di collaborazione con i soggetti appena elencati; L’autorizzazione riguarda anche l'attività svolta dal medico competente in materia di igiene e di sicurezza del lavoro (tenuto altresì al rispetto anche dell’Autorizzazione generale 4/2004), in qualità di libero professionista o di dipendente dei soggetti di cui sopra o di strutture convenzionate e da associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire scopi determinati e legittimi individuati dagli statuti o dai contratti collettivi. IL TRATTAMENTO DEI DATI SENSIBILI DEI LAVORATORI Finalità del trattamento Il trattamento dei dati sensibili deve essere indispensabile: a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica; b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori; c) per perseguire finalità di salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo; d) per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia; f) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell'attività lavorativa o professionale; g) per garantire le pari opportunità; h) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni, etc. b) nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali (sempre che il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali), ovvero l'organizzazione di pubbliche iniziative, nonché i dati inerenti alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali; c) nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti e ulteriormente trattati in riferimento a invalidità, infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all'idoneità psicofisica a svolgere determinate mansioni, all'appartenenza a determinate categorie protette, nonché i dati contenuti nella certificazione sanitaria attestante lo stato di malattia, anche professionale dell'interessato, o comunque relativi anche all'indicazione della malattia come specifica causa di assenza del lavoratore. IL TRATTAMENTO DEI DATI SENSIBILI DEI LAVORATORI Modalità del trattamento Fermi restando gli obblighi previsti dagli articoli 11, 14 e 31 e ss. del Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità. I dati sono raccolti, di regola, presso l'interessato. La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto previsto dall'art. 84, comma 1, del Codice per la comunicazione all’interessato dei suoi dati inerenti a rivelare lo stato di salute, che possono essere comunicati solo per il tramite di un medico designato dal titolare o dall’interessato), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia. Restano inoltre fermi gli obblighi di informare l'interessato e, ove necessario, di acquisirne il consenso scritto, in conformità a quanto previsto dagli articoli 13, 23 e 26 del Codice. IL TRATTAMENTO DEI DATI SENSIBILI DEI LAVORATORI Comunicazione e diffusione dei dati I dati sensibili possono essere comunicati e, ove necessario diffusi, nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità del trattamento, a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento di dati e familiari dell'interessato. Tra i dati sensibili, quelli idonei a rivelare lo stato di salute non possono mai essere diffusi. CONCLUSIONI: RAPPORTI TRA L’AUTORIZZAZIONE 1/2004 E LE ALTRE NORMATIVE LAVORISTICHE APPLICABILI Restano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute: a) nell'art. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoro ai fini dell'assunzione e nello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore; b) nell'art. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare, nei dipendenti o in persone prese in considerazione per l'instaurazione di un rapporto di lavoro, l'esistenza di uno stato di sieropositività; IL CASO PARTICOLARE DEL TRATTAMENTO DI DATI SENSIBILI PER ATTIVITA’ DI SELEZIONE DEL PERSONALE (GESTIONE CURRICULA VITAE) Le regole operative sono contenute sia nell’Autorizzazione Generale 5/2004 che nel Provvedimento 10 gennaio 2002 “Informativa negli annunci relativi ad offerte di lavoro”. Con riferimento al Provvedimento 10.1.2002, il Garante segnala: 1. gli annunci di lavoro devono contenere una chiara informativa, che evidenzi l'insieme degli elementi necessari per un conferimento consapevole dei dati da parte del candidato e, ove necessario, per l'acquisizione di un consenso informato e specifico (consenso che è peraltro superfluo ove i dati da inserire nel curriculum non abbiano natura sensibile o non siano comunicati a terzi) 2. L’informativa può essere fornita anche attraverso messaggi brevi e in stile colloquiale (omettendo superflue "assicurazioni" circa il rispetto della normativa sulla privacy), che permettano ai candidati interessati di comprendere i seguenti aspetti: A) l'identità del/i titolare/i del trattamento dei dati riportati nei curricula e le finalità e modalità del medesimo trattamento, specificando se vi siano ulteriori finalità oltre quelle connesse alla specifica ricerca di personale, o particolari modalità di organizzazione, di raffronto o di elaborazione dei dati. Devono essere indicati altresì i tempi della conservazione (anche per permettere agli interessati di poter eventualmente aggiornare ed integrare i dati), i quali devono risultare brevi e proporzionati rispetto alle finalità e modalità del trattamento; B) l'eventualità che i dati siano divulgati a terzi, individuati almeno per categorie; C) la circostanza che il conferimento dei dati è facoltativo e che la mancata indicazione di alcuni di essi può avere determinate conseguenze, invitando ad omettere dati non pertinenti in relazione all'offerta di lavoro e a manifestare per scritto il consenso al trattamento di dati sensibili (ad esempio, per quanto riguarda l'appartenenza a particolari categorie protette); D) una descrizione dei diritti riconosciuti al candidato interessato ai sensi dell'art. 7 del Codice della Privacy; E) i dati identificativi di almeno un responsabile del trattamento, ove questi sia designato (preferibilmente indicato nel soggetto preposto ai rapporti con gli interessati ai sensi dell'art. 7 del Codice della privacy). INDICAZIONI OPERATIVE DEL GARANTE SUL MODELLO DI INFORMATIVA PER LA RACCOLTA DI CV Si potrebbero poi inserire altre formule-tipo eventualmente necessarie del tipo: "Si prega di non indicare dati sensibili (relativi, in particolare, a salute, convinzioni religiose e opinioni politiche)". "Eventuali dati sensibili indicati (relativi, in particolare, a salute, convinzioni religiose e opinioni politiche) saranno immediatamente cancellati in mancanza di una dichiarazione scritta di consenso dell'interessato al loro trattamento da parte della nostra società (e dell'azienda nostra cliente)". CURRICULA INVIATI SPONTANEMANTE Risulta in parte diversa l'ipotesi dei curricula che i soggetti in cerca di occupazione inviano spontaneamente ad aziende senza rispondere ad annunci o ad avvisi. In questa ipotesi, la raccolta dei dati conseguente alla ricezione del curriculum non avviene su iniziativa del titolare del trattamento, che, in questo caso, si trova nell'impossibilità di fornire una previa informativa, né può acquisire in anticipo il consenso eventualmente necessario alla luce dell'inclusione nel curriculum di alcuni dati sensibili (come, ad esempio, l'appartenenza a particolari categorie protette). Per i casi in cui l'interessato provvede all'invio del curriculum di propria iniziativa, il problema potrà essere risolto anche attraverso le specifiche disposizioni del codice di deontologia relativo al trattamento dei dati necessari per finalità previdenziali o per la gestione del rapporto di lavoro. In questa prospettiva, tuttavia, il Garante ha indicato agli operatori interessati la necessità di adempiere comunque, senza ritardo, agli obblighi dell'informativa — e di richiesta dell'eventuale consenso — in caso di successivo trattamento dei dati contenuti nei curricula ricevuti. IL CASO PARTICOLARE DEL TRATTAMENTO DI DATI SENSIBILI PER ATTIVITA’ DI SELEZIONE DEL PERSONALE (GESTIONE CURRICULA VITAE) Trattamento dei dati sensibili tramite raccolta di curricula vitae Il trattamento dei dati idonei a rivelare lo stato di salute dei familiari o dei conviventi dei candidati è consentito con il consenso scritto degli interessati e qualora sia finalizzato al riconoscimento di uno specifico beneficio in favore dei candidati, in particolare ai fini di un'assunzione obbligatoria o del riconoscimento di un titolo derivante da invalidità o infermità, da eventi bellici o da ragioni di servizio. Qualora il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi specificamente a ciascuno di essi. Il trattamento deve riguardare le sole informazioni strettamente pertinenti a tale finalità, sia in caso di risposta a questionari inviati anche per via telematica, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l'invio di curricula. IL CASO PARTICOLARE DEL TRATTAMENTO DI DATI SENSIBILI PER ATTIVITA’ DI SELEZIONE DEL PERSONALE (GESTIONE CURRICULA VITAE) Trattamento dei dati sensibili tramite raccolta di curricula vitae Non è consentito il trattamento dei dati: a) idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni a carattere religioso, filosofico, politico o sindacale, l'origine razziale ed etnica, e la vita sessuale; b) inerenti a fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore; c) in violazione delle norme in materia di pari opportunità o volte a prevenire discriminazioni. I dati idonei a rivelare lo stato di salute e l'origine razziale ed etnica possono essere comunicati nei limiti strettamente pertinenti al perseguimento delle finalità descritte, a soggetti pubblici o privati che siano specificamente menzionati nella dichiarazione di consenso dell'interessato. I dati sensibili non possono essere diffusi. ASPETTI ORGANIZZATIVI: ORGANIGRAMMA E DELEGHE PRIVACY ALL’INTERNO DELL’AZIENDA Art. 29 - Responsabile del trattamento Il responsabile è designato dal titolare facoltativamente. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni in materia di trattamento e delle proprie istruzioni ASPETTI ORGANIZZATIVI: ORGANIGRAMMA E DELEGHE PRIVACY ALL’INTERNO DELL’AZIENDA Art. 29 - Responsabile del trattamento Rapporti tra titolare e responsabile del trattamento: 1. sul piano organizzativo interno (es: ripartizione funzioni controllo incaricati) 2. sul piano della ripartizione delle responsabilità verso terzi (art. 2049 c.c., art 15 del Codice della privacy) 3. sul piano dei rapporti lavoristici (in caso di responsabile interno all’azienda) 4. sul piano dei rapporti contrattuali (in caso di outsourcing) ASPETTI ORGANIZZATIVI: ORGANIGRAMMA E DELEGHE PRIVACY ALL’INTERNO DELL’AZIENDA Responsabile del trattamento esterno all’azienda Aspetti fondamentali da considerare: 1. Particolare attenzione nella stesura di accordi contrattuali: (definizione ambito del trattamento, istruzioni, verifiche, chiara definizione delle responsabilità generali e privacy, assolvimento obblighi informativa tra le parti, previsione contrattuale della destinazione dei dati forniti alla cessazione dell’incarico, etc). 2. Misure di sicurezza: verifica preliminare delle misure di sicurezza adottate dal responsabile esterno (es: farsi consegnare DPS, ove esistente) ASPETTI ORGANIZZATIVI: ORGANIGRAMMA E DELEGHE PRIVACY ALL’INTERNO DELL’AZIENDA Responsabile del trattamento esterno all’azienda: l’appalto all’esterno di particolari servizi Servizio di sicurezza (vigilanza privata, videosorveglianza, controllo accessi dei lavoratori) Aspetti fondamentali da considerare: 1. Rispetto da parte del responsabile del Provvedimento Generale del Garante sulla Videosorveglianza del 29 Aprile 2004. 2. Rispetto del Provvedimento Generale del Garante su uso delle impronte digitali per i sistemi di rilevamento delle presenze nei luoghi di lavoro ASPETTI ORGANIZZATIVI: ORGANIGRAMMA E DELEGHE PRIVACY ALL’INTERNO DELL’AZIENDA Responsabile del trattamento esterno all’azienda: l’appalto all’esterno di particolari servizi Implementazione misure minime di sicurezza DICHIARAZIONE DI CONFORMITA’ Punto 25 del Disciplinare Tecnico in materia di misure minime di sicurezza - Allegato B al Codice della privacy Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico. Aspetti di responsabilità contrattuale. ASPETTI ORGANIZZATIVI: ORGANIGRAMMA E DELEGHE PRIVACY ALL’INTERNO DELL’AZIENDA Responsabile del trattamento esterno all’azienda: l’appalto all’esterno di particolari servizi Trattamento dei dati personali e ruolo consulenti (studi legali, commercialisti, etc) E’ sempre opportuno disciplinare le consulenze esterne nominando responsabili del trattamento quei soggetti cui vengono affidate prestazioni professionali, soprattutto nelle ipotesi di banche dati contenenti informazioni dell’azienda (fatturazioni, buste paga, contenziosi, dati di lavoratori e fornitori, etc) ubicate direttamente presso le sedi del consulente. Importante: nella informativa agli interessati ricordarsi di prevedere l’ipotesi di comunicazione dei dati a consulenti esterni, acquisendo il consenso specifico quando obbligatorio. ASPETTI ORGANIZZATIVI: ORGANIGRAMMA E DELEGHE PRIVACY ALL’INTERNO DELL’AZIENDA Art. 30 - Incaricati del trattamento Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del Titolare o del Responsabile (art. 2049 c.c.), attenendosi alle istruzioni impartite. La designazione è effettuata e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato per iscritto l’ambito del trattamento consentito agli addetti all’unità medesima. per iscritto Contratto di lavoro: clausole privacy Rapporto tra mansionario e privacy Responsabilità del dipendente per violazioni privacy=responsabilità lavoristica=sanzioni disciplinari IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA Art. 140 del Codice della privacy Il Garante promuove la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell'interessato, forme semplificate per manifestare e rendere meglio conoscibile l'eventuale dichiarazione di non voler ricevere determinate comunicazioni. IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA Opposizione del Cliente al trattamento dei dati personali per finalità di marketing (art. 7, co. 4 del Codice della privacy) L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING Aspetti fondamentali da considerare: 1. e-mail è dato personale (vedi art. 4, co. 3. lett. m del Codice della privacy) 2. rapporto tra art. 130 del Codice della privacy (Comunicazioni indesiderate) e il nuovo d.lgs. recante il Codice del Consumo; 3. uso della e-mail per finalità di marketing nei rapporti B2B e decreto legislativo 70/2003 4. il Provvedimento Generale 9 Settembre 2003 del Garante su “E-mail spamming”. 5. responsabilità penali: reclusione da sei a diciotto mesi o da sei a ventiquattro mesi per spamming. IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING: REGOLE PARTICOLARI L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore (non solo e-mail ma anche telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo) per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato (opt-in). IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING: REGOLE PARTICOLARI Al di fuori di questi casi, ulteriori comunicazioni per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24 del Codice della privacy (dunque o richiesta di consenso preventiva o assenza dell’obbligo di richiedere il consenso ai sensi dell’art. 24, ad esempio: per adempiere ad obblighi contrattuali, per rispondere a specifiche richieste dell’interessato, per trattamenti di dati riguardanti lo svolgimento di attività economiche, per perseguire un legittimo interesse del titolare o di un terzo, per elaborazioni statistiche). IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING: REGOLE PARTICOLARI Fatto salvo quanto abbiamo appena visto se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per finalità commerciali, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente. IL TRATTAMENTO DEI DATI PER FINALITA’ DI PROMOZIONE COMMERCIALE DELL’AZIENDA E-MAIL MARKETING: REGOLE PARTICOLARI E' vietato in ogni caso l'invio di comunicazioni elettroniche a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7 del Codice. In caso di reiterata violazione il Garante può altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni. L’IMPIANTO SANZIONATORIO DEL CODICE DELLA PRIVACY: LE VIOLAZIONI SANZIONATE IN VIA AMMINISTRATIVA Art. 161 - Omessa o inidonea informativa all’interessato La violazione delle disposizioni che obbligano il Titolare del trattamento a rendere agli interessati idonea e preventiva Informativa (art. 13 del Codice) è punita con la sanzione amministrativa del pagamento di una somma: da tremila euro a diciottomila euro se il trattamento su cui non è stata resa o è stata resa in maniera inidonea l’Informativa riguarda dati personali comuni; da cinquemila euro a trentamila euro se il trattamento su cui non è stata resa o è stata resa in maniera inidonea l’Informativa riguarda: 1. dati sensibili o giudiziari; 2. è un trattamento di dati diversi da quelli sensibili e giudiziari che, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, presenta rischi specifici o, comunque, di maggiore rilevanza del pregiudizio per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. Art. 162 Violazione delle norme sulla cessione dei dati L’articolo 16 del Codice della Privacy prevede che in caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: a) distrutti; b) ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da cinque mila euro a trentamila euro. Art. 163 Omessa o incompleta notificazione Chiunque, essendovi tenuto: a) non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38 del Codice della Privacy; b) ovvero indica in essa notizie incomplete; è punito con: 1) la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro 2) la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. Art. 164 Omessa informazione o esibizione al Garante Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante: 1) in occasione della discussione di un ricorso davanti al Garante; 2) in occasione delle ordinarie attività di accertamento, ispezione e controllo del Garante; è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattro mila euro. L’IMPIANTO SANZIONATORIO DEL CODICE DELLA PRIVACY: GLI ILLECITI PENALI Art. 167 Trattamento illecito di dati Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione: A) delle norme del Codice (artt. 18 e 19) in materia di rispetto da parte dei soggetti pubblici dei principi di liceità generale dei trattamenti di dati comuni); B) delle norme del Codice in materia di acquisizione del consenso (art. 23); C) delle norme in materia di trattam,ento di dati nell’ambito di servizi di comunicazione elettronica, con particolare riferimento a: Art. 167 Trattamento illecito di dati C.1) trattamento di dati relativi al traffico (art. 123); C.2) trattamento dei dati relativi all’ubicazione (art. 126); C.3) trattamento dei dati nell’ambito di elenchi di abbonati (art. 129); C.4) trattamento dei dati a fini di comunicazioni elettroniche non sollecitate (art. 130); è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione: A) delle norme del Codice in materia di trattamenti che presentano particolari rischi per gli interessati (art. 17); B) delle norme del Codice in materia di trattamenti di dati sensibili o giudiziari svolti da soggetti pubblici (artt. 20, 21); C) delle norme del Codice in materia di trattamenti di dati idonei a rivelare lo stato di salute da soggetti pubblici in base ad espressa previsione normativa (artt. 22, commi 8 e 11); D) delle norme del Codice in materia di divieto di comunicazione o diffusione dei dati personali (art. 25); E) delle norme in materia di trattamento di dati sensibili o giudiziari svolti da soggetti privati (artt. 26 e 27); è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. Art. 169 Omessa adozione delle misure di sicurezza Chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. Procedimento del ravvedimento operoso: All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari a 12.500 Euro. L'adempimento e il pagamento estinguono il reato. Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante Chiunque: A) nella notificazione di cui all'articolo 37; B) o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti; dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni Dunque tale caso è diverso e più grave rispetto alla violazione amministrativa consistente nella incompleta od omessa notificazione. Altre fattispecie penalmente rilevanti (artt. 170, 171 e 172) Chiunque, essendovi tenuto, non osserva le prescrizioni contenute: A) nel sistema delle Autorizzazioni Generali sul trattamento dei dati sensibili (art. 26, co. 2);; B) nell’Autorizzazione sul trattamento di dati genetici e dei donatori di midollo osseo (art. 90); C) nel provvedimento con il quale il Garante, in occasione di un ricorso presentato all’Autorità, dispone l’immediato blocco, la sospensione del trattamento od ordina al Titolare la cessazione del comportamento illegittimo è punito con la reclusione da tre mesi a due anni. Altre fattispecie penalmente rilevanti (artt. 170, 171 e 172) Sono punite, salvo che il fatto non costituisca più grave reato, con l'ammenda da Euro 51,16 ad Euro 516,00 o con l'arresto da 15 giorni ad un anno le fattispecie di violazione delle norme della L. 300/1970 (Statuto dei Lavoratori) di cui all’articolo 4 (Divieto di controllo a distanza dei lavoratori) e articolo 8 (divieto di indagini sulle opinioni). Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente. Quando, per le condizioni economiche del reo, l'ammenda può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo. L'autorità giudiziaria ordina la pubblicazione della sentenza penale di condanna nei modi stabiliti dall'art. 36 del codice penale. La condanna per uno dei delitti previsti dal Codice della Privacy importa la pubblicazione della sentenza. LE SANZIONI SUL PIANO CIVILISTICO: IL RISARCIMENTO DEL DANNO DA TRATTAMENTO DI DATI PERSONALI (ART. 15) Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione delle norme che stabiliscono i principi generali di liceità e correttezza dei trattamenti e dei requisiti dei dati (art. 11). IL POTERE DI ACCERTAMENTO E DI CONTROLLO DEL GARANTE (ARTT. 157-160) Per l'espletamento dei propri compiti il Garante può richiedere al titolare, al responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti (anche via facsimile o via e-mail). Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali. Il Garante si avvale anche, ove necessario, della collaborazione di altri organi dello Stato. Gli accertamenti, se svolti in un'abitazione o in un altro luogo di privata dimora o nelle relative appartenenze, sono effettuati con l'assenso informato del titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale competente per territorio in relazione al luogo dell'accertamento, il quale provvede con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta del Garante quando è documentata l'indifferibilità dell'accertamento. IL POTERE DI ACCERTAMENTO E DI CONTROLLO DEL GARANTE (ARTT. 157-160) Nel procedere a rilievi e ad operazioni tecniche il personale del Garante operante può altresì estrarre copia di ogni atto, dato e documento, anche a campione e su supporto informatico o per via telematica. Degli accertamenti è redatto sommario verbale nel quale sono annotate anche le eventuali dichiarazioni dei presenti. Ai soggetti presso i quali sono eseguiti gli accertamenti è consegnata copia dell'autorizzazione del presidente del tribunale, ove rilasciata. I medesimi soggetti sono tenuti a farli eseguire e a prestare la collaborazione a tal fine necessaria. In caso di rifiuto gli accertamenti sono comunque eseguiti e le spese in tal caso occorrenti sono poste a carico del titolare con il provvedimento che definisce il procedimento, che per questa parte costituisce titolo esecutivo ai sensi degli articoli 474 e 475 del codice di procedura civile. Gli accertamenti, se effettuati presso il titolare o il responsabile, sono eseguiti dandone informazione a quest'ultimo o, se questo è assente o non è designato, agli incaricati. Agli accertamenti possono assistere persone indicate dal titolare o dal responsabile. IL POTERE DI ACCERTAMENTO E DI CONTROLLO DEL GARANTE (ARTT. 157-160) Se non è disposto diversamente nel decreto di autorizzazione del presidente del tribunale, l'accertamento non può essere iniziato prima delle ore sette e dopo le ore venti, e può essere eseguito anche con preavviso quando ciò può facilitarne l'esecuzione. Quando emergono indizi di reato il Garante segnala il caso alla competente Procura della Repubblica.