La tutela della privacy:
gli adempimenti per le
aziende
Il codice sulla protezione dei dati
personali
decreto legislativo 30.6.2003 n. 196
Dr. Giuseppe Trivisonno – Associazione industriali di Vicenza
dicembre 2007
Il nuovo “testo unico” legislativo
 La legge delega n. 676/1996 prevedeva la successiva
integrazione e modificazione della legge base n.
675/1996.
 La legge 24.3.2001 n.127 prevedeva l’emanazione di
un testo unico per coordinare tutte le norme in materia
di tutela del trattamento dei dati personali (il termine
ultimo alla fine era stato fissato al 30 giugno 2003).
 In attuazione di queste deleghe è stato emanato il
decreto legislativo 30 giugno 2003 n. 196. “Codice
in materia di protezione dei dati personali”
Il nuovo “testo unico” legislativo
Caratteristiche:
Il decreto 196/2003 costituisce un testo unico di
norme di rango legislativo (per il solo disciplinare
tecnico allegato contenente le norme di sicurezza,
l’adeguamento avverrà con decreto ministeriale).
Per una serie di materie (tra cui lavoro -art.111- ;
internet –art.133- ; marketing -art.140- ) rinvia ad un
sistema futuro di autoregolamentazione, mediante
“codici di deontologia e buona condotta” (art.12): il
rispetto di questi codici costituirà requisito essenziale
per la liceità del trattamento.
Il nuovo “testo unico” legislativo
Caratteristiche:
 Diviso in tre parti (oltre agli allegati):
1) Principi e regole generali validi per tutti i trattamenti;
2) Disposizioni particolari per specifici trattamenti (lavoro
e previdenza sociale; comunicazioni elettroniche ed
internet; marketing diretto);
3) Disposizioni sulle azioni a tutela dell’interessato e
sistema sanzionatorio.
4) Allegati: fondamentale l’allegato B con il “disciplinare
tecnico” sulle misure minime di sicurezza
Le principali disposizioni di legge
e regolamento ora riunificate,
integrate e modificate
 legge generale sulla privacy (legge n.675/1996 - testo
aggiornato e coordinato);
 regolamento sulle misure di sicurezza minime
obbligatorie (Dpr n.318/1999);
 regolamento per l'ufficio del Garante (Dpr. n.
501/1998);
 privacy e dichiarazioni fiscali (legge n. 135/1998);
 privacy e telecomunicazioni (decreto legislativo
n.171/1998 – testo aggiornato e coordinato);
 Altre fonti –non legislative- allegate al codice: i codici
deontologici già emanati ed i futuri nuovi codici
Le altre disposizioni del Garante: il
trasferimento dei dati fuori
dall’Unione Europea
 deliberazione del Garante 10 ottobre 2001 n.
(clausole contrattuali – tipo);
deliberazione del Garante 10 ottobre 2001 n.
(trasferimento negli USA e accordo “safe harbor”);
deliberazione del Garante 10 ottobre 2001 n.
(trasferimento dati in Svizzera);
deliberazione del Garante 10 ottobre 2001 n.
(trasferimento dati in Ungheria)
Deliberazione del Garante 30 aprile 2003
(trasferimento dati in Canada)
35
36
37
38
Le altre disposizioni del Garante: il
trattamento dei dati sensibili e
giudiziari (artt. 26 e 27)
Autorizzazioni generali del Garante (art.40 e 41 –
1°comma): sono le “linee guida” per il lecito trattamento
dei dati. Il rispetto di tali condizioni costituisce sempre
condizione di legittimità nel trattamento di questo tipo di
dati in azienda.
Il campo di applicazione del
codice (art. 5)
I trattamenti di dati personali, anche detenuti
all’estero, effettuati da chi è stabilito nel territorio
italiano.
I trattamenti effettuati da chi è stabilito in un paese
extra UE, ma che impiega strumenti ubicati nel
territorio italiano (designazione di un rappresentante
stabile nel territorio italiano)
Le definizioni (art.4)
"Dato personale": qualunque informazione su
persone,
società,
enti
od
associazioni
identificato od identificabile (art. 4 lett. b), anche
di tipo valutativo (art. 8-4°comma).
“dati sensibili” (art.4 lett. d), tra cui quelli sullo
stato di salute, l'adesione a partiti, sindacati,
sulle convinzioni religiose…;
 “dati giudiziari” ricavati dal casellario giudiziale
(art.4 lett. e) o idonei a rivelare la qualità di
imputato od indagato;
Le definizioni
altri dati che presentano rischi specifici”: I dati
che presentano rischi specifici per i diritti, le
libertà fondamentali e la dignità dell’interessato.
Questi dati possono essere trattati solo nel
rispetto di misure ed accorgimenti prescritti dal
Garante : l’interpello (art. 17);
"trattamento": qualsiasi operazione su dati
personali (tra i quali la raccolta, la registrazione,
la
conservazione,
l'elaborazione,
la
modificazione,
la
consultazione
la
comunicazione, la cancellazione ....)
Le definizioni
“Comunicazione”: il dare conoscenza dei dati a
uno o più soggetti determinati, diversi dallo
stesso interessato, dal rappresentante nello
stato del titolare, dal responsabile del
trattamento e dagli incaricati (Il dato “esce”
definitivamente dall’impresa).
Nuove definizioni per le misure di sicurezza e
per
il
trattamento
nell’ambito
delle
“comunicazioni elettroniche”.
I dati sensibili in azienda
I dati sensibili possono essere trattati in azienda
per assolvere ad obblighi:
ƒ previsti dalla normativa previdenziale ed
assistenziale,
ƒ in materia di igiene e sicurezza,
ƒ di tutela della salute,
ƒ fiscale.
I dati sensibili in azienda
A seconda della tipologia di dati, possono
essere trattati diversi dati sensibili:
ƒ per le "convinzioni religiose" : i dati per la
fruizione di permessi e festività religiose o di
servizi mensa;
ƒ per l' "adesione a partiti o sindacati" : i dati per
la fruizione di permessi od aspettative per
incarichi politici, i dati per gli incarichi sindacali,
per le tratttenute sindacali;
ƒ per i "dati sullo stato di salute" : i dati per
malattie anche professionali, infortuni;
Le definizioni: le figure aziendali
principali
 “interessato”: la persona fisica, la società, l’ente
cui si riferiscono I dati (titolari dei diritti di tutela);
"titolare del trattamento“ (artt.4 lett.f e.28):
l'impresa (ovviamente, sul piano penale, tramite
il legale rappresentante dell'impresa);
"responsabile del trattamento“ (artt. 4 lett.g e
29): la/le persone fisiche o giuridiche idonee
eventualmente
preposte
dal
titolare
all'applicazione della legge ivi compreso il profilo
della sicurezza (il caso dei gruppi di aziende).
Le definizioni: le figure aziendali
principali
"incaricato del trattamento“ (artt. 4 lett. h e 30):
solo persone fisiche ( dipendenti, collaboratori…)
incaricate per iscritto dal titolare o dal
responsabile di compiere un determinato
trattamento;
Incaricati della custodia delle copie delle
credenziali per l’autenticazione (punto 10
disciplinare tecnico all. B).
Principi
Diritto alla protezione dei dati personali
Tutela dei diritti delle persone alla riservatezza
nel trattamento dei loro dati (art. 2);
Principi di semplificazione nell’attuazione degli
obblighi di legge e di necessità nel trattamento
(art.3);
n.b: i dati trattati in violazione dei principi e delle
regole fondamentali non possono essere
utilizzati (art. 11-2°comma).
Principi
Regole precise nel modo di trattare i dati
(art.11);
Introduzione obbligatoria di un sistema
complesso di misure di sicurezza (artt. 31-36 e
disciplinare);
Responsabilita' civile per danni da“attività
pericolosa”e per danni non patrimoniali in caso
di violazione dei principi dell’art.11 (art.15 ).
Opportunità
Razionalizzazione del sistema di gestione e
trattamento dati aziendali;
Tutela del know-how aziendale e del patrimonio
aziendale;
Riduzione rischi penali e patrimoniali (pirateria
informatica, reati informatici, responsabilità
amministrativa delle società – d.lgs. n.
231/2001)
Gli ambiti di intervento in azienda
Rapporti con l'interessato
Rapporti con l'autorita' garante
Organizzazione aziendale
Rapporti con l'interessato
Informazione
(art.13)
Consenso
(artt.23-24
e 26)
Diritti dell’interessato e accesso ai dati
(artt. 7-8-9-10)
Rapporti con l'interessato: il
consenso
N.B. L'adempimento dell’obbligo del consenso è
determinato dalla natura dei dati particolari ( sensibili
e del casellario) o "comuni“ che vengono trattati.
Previsti casi di esonero dal consenso che possono
riguardare anche i dati sensibili (art. 26-4°comma).
N.B.: il Garante può individuare prescrizioni e misure
per il trattamento degli “altri dati che presentano
rischi specifici” (art. 17), anche a seguito di uno
specifico atto di interpello.
Informazione all'interessato
(art.13)
Preventiva, orale o scritta.
Contenuti:
finalità e modalità del trattamento;
natura
obbligatoria
o
facoltativa
del
conferimento dei dati;
conseguenze
dell'eventuale
rifiuto
di
rispondere;
ambito di comunicazione e/o diffusione dei
dati e le categorie di incaricati e/o responsabili
che trattano i dati (novità del codice );
Informazione all'interessato
(art.13)
diritti riconosciuti all'interessato - art.7;
Identificazione
del
titolare
(eventuale
rappresentante nel territorio);
analoghe indicazioni del responsabile del
trattamento (se nominato); se più di uno è
sufficiente indicarne uno,eventualmente quello
designato a curare I rapporti con gli
interessati.
Per i dati raccolti presso terzi: specificate le
categorie di dati trattati (novità del codice).
Consenso dell'interessato - dati
“comuni” non sensibili (artt. 23 e
24)
 Il consenso:
deve essere espresso e
specifico
determinati trattamenti individuati;
 documentato per iscritto;
 collegata alla informazione fornita;
 consenso totale o parziale.
per
Consenso dell'interessato - dati
“comuni” non sensibili (artt.23 e
24)
in molti casi non è necessario:
dati trattati per adempiere ad obblighi normativi;
esecuzione di obblighi derivanti da un contratto o
per
l’esecuzione
di
specifiche
richieste
precontrattuali dell’interessato;
dati di "pubblica conoscibilità";
dati relativi all‘attività economica (dati per finalità
"normali" su clienti e fornitori);
“legittimo interesse” del titolare del trattamento ( le
ipotesi vengono individuate dal Garante per
singole situazioni): il “bilanciamento degli interessi”
Consenso dell'interessato e
trattamento lecito dei dati sensibili
(art.26)
In via generale, deve essere sempre prestato e
scritto;
deve essere collegato e coerente con la
informazione fornita;
deve rispettare i casi ammessi e le prescrizioni
disposte con le autorizzazioni generali del
Garante (art.40): in alcuni casi il trattamento è
ammesso anche senza consenso, ma sempre
nel rispetto delle autorizzazioni del Garante
(per i rapporti di lavoro, è una novità del codice).
Area aziendale principalmente interessata: area
personale;
Consenso e attività pubblicitaria e
di comunicazione commerciale
(art. 130)
Alcuni sistemi particolarmente “invasivi” (sistemi
automatizzati) di invio di materiale pubblicitario,
di comunicazione commerciale e di vendita
diretta sono sottoposti a particolari cautele:
a) è sempre necessario il consenso del
destinatario
b) il destinatario ha il diritto di opporsi al
trattamento in ogni momento (art.7-4°)
Consenso e attività pubblicitaria e
di comunicazione commerciale
(art. 130)
Queste regole valgono anche per le
comunicazioni con e-mail, telefax, sms e mms
(consenso preventivo: sistema “opt-in”);
Tuttavia, nel caso di uso di e-mail di clienti per
proporre nuovi servizi o beni analoghi a quelli
già forniti non è necessario un preventivo
consenso (art. 130-4°), purchè l’interessato sia
adeguatamente informato, fin dal momento della
raccolta iniziale dell’indirizzo, anche del diritto
gratuito di opporsi.
Trattamento dati giudiziari (art.27)
Il trattamento di dati giudiziari è consentito solo
se autorizzato da espressa disposizione di legge
od
autorizzazione
del
Garante
(ora:
autorizzazione n.7)
Principio: trattamento strettamente necessario
ad obblighi previsti dalla legge, da norme
comunitarie, regolamenti, contratti collettivi
anche aziendali, ai soli fini della gestione del
rapporto di lavoro.
Diritti dell’interessato e accesso ai
dati (art. 7)
Accesso ai dati (art.7)
Cancellazione,
trasformazione,
blocco,
aggiornamento e rettifica (rettifica esclusa per i
dati valutativi);
opposizione al trattamento.
Modalità:
richiesta informale al titolare o responsabile;
riscontro alla richiesta
Rapporti con il Garante; la
notificazione – regime “vecchio”
legge n. 675/1996
Notificazione generale preventiva (art.7)
Notificazione per trasferimento dati all'estero
(art.28)
Notificazione cessazione trattamento (art.16)
Comunicazione obbligatoria delle variazioni
Collaborazione con il garante (artt.29-32-37-39)
La notificazione – il nuovo
regime (artt. 37-39)
Non esiste più un obbligo generalizzato, bensì
un adempimento limitato ad alcuni casi di
trattamento tra i quali (art. 37);
a) dati che indicano la posizione geografica di persone ed
oggetti mediante reti di comunicazione elettronica (badgecarte aziendali-teleallarme…?);
b) dati sensibili in banche dati per selezione del personale per
conto terzi (servizi per gruppi aziendali ?), dati sensibili per
ricerche
di
mercato,
per
profilo
o
personalità
dell’interessato(fidelizzazione clienti-qualità fornitori ?), per
monitorare i servizi di comunicazione elettronica (utilizzi di
internet e della posta elettronica ?)
c) Dati in banche dati specifiche per solvibilità,situazione
patrimoniale -“centrali rischi”- (gestione recupero crediti e
scadenzari ?).
La notificazione – il nuovo
regime (artt. 37-39)- esoneri
Il Garante, avvalendosi della facoltà prevista al
2°comma dell’art.37, ha emanato un provvedimento
generale (delibera n.1 del 31.3.2004 e provv.
23.4.2004), per escludere espressamente una
serie di ipotesi che –potenzialmente- rientravano nei
trattamenti soggetti a notifica, tra gli altri:
a) Lett.a: trattamenti di dati che indicano la posizione
geografica di mezzi di trasporto, per garantire la sicurezza;
b) Lett d: trattamenti elettronici di dati valutativi dei dipendenti
per la gestione del rapporto di lavoro;
c) Lett. d: Utilizzo di cookies temporanei per facilitare la
navigazione nel sito;
Segue - esoneri
d) Lett. e: trattamento di dati sensibili per la selezione del
personale per gruppo societario;
e) lett.f: trattamenti su banche dati elettroniche per la gestione
“economica” del cliente;
f) lett. f: trattamenti su banche dati per la gestione “economica”
del rapporto di lavoro;
g) Lett f: : sistemi di videosorveglianza per la tutela del
patrimonio e delle persone;
La notificazione – il nuovo
regime
Notifica unica iniziale (entro il 30.4.2004 per i
trattamenti antecedenti al 1.1.2004) per tutti i
trattamenti (anche per I trasferimenti all’estero);
variazione di notifica in caso di variazione
elementi notificati o cessazione trattamento;
solo in forma telematica con firma digitale su
modello predisposto dal Garante (diritti di
segreteria: 150 €);
in assenza dell’obbligo di notifica, le notizie del
modello devono essere a disposizione di chi ne
fa richiesta (art. 38 - 6°comma).
Il trasferimento dei dati fuori
dall’Unione Europea (artt.43, 44 e
45)
 Il trasferimento è consentito:
 consenso espresso dell’interessato (scritto per i dati
sensibili);
 necessario per l’esecuzione di obblighi derivanti da un
contratto (di lavoro o commerciale) o per l’esecuzione
di specifiche richieste precontrattuali dell’interessato o
per l’esecuzione di un contratto stipulato a favore
dell’interessato;
 dati di persone giuridiche, enti od associazioni,
Il trasferimento dei dati fuori
dall’Unione Europea (artt.43, 44 e
45)
In alternativa:
autorizzazioni del Garante (individuazione di clausole
contrattuali-tipo da parte della UE, e dei Paesi con
livelli di protezione adeguato):
1. Accordo “safe harbor” per le imprese USA (provv. n.36);
2. Autorizzazione Ungheria, Svizzera e Canada (nn. 37 e 38 del
2001; n. 6 del 2003);
3. Clausole contrattuali tipo tra “esportatore” di dati e il
destinatario nel Paese extra UE (n. 35/2001 e 3/2002 per il
trasferimento a responsabili).
N.B.: notifica al Garante solo insieme all’eventuale notifica
generale del trattamento (se dovuta)
le autorizzazioni al trattamento
dei dati sensibili
Attuazione delle prescrizioni contenute nelle
autorizzazioni generali periodiche del Garante
per il trattamento di dati sensibili (art.26 e 40);
Le autorizzazioni rappresentano le “linee guida”
per effettuare trattamenti leciti e legittimi di
questi particolari dati;
Per le aziende sono rilevanti sopratutto le
autorizzazioni n.1 (rapporti di lavoro) e n. 2
(dati sanitari) del 2007.
N.B.: le autorizzazioni generali del 2007 sono
valide fino al 30 giugno 2008
L’ autorizzazione n. 1 (rapporti di
lavoro)
 Dati relativi a:
1. Dipendenti (anche lavoro a progetto, formazione e
lavoro, apprendistato, di inserimento, tirocinio…);
2. Collaboratori, agenti e rappresentanti,collaboratori
coordinati e continuativi, lavoratori autonomi in
genere);
3. Persone munite di cariche sociali;
4. Terzi danneggiati nell’attività lavorativa.
 Finalità:
 Adempimento di obblighi legislativi (norme
comunitarie, leggi, regolamenti,contratti collettivi di
lavoro anche aziendali) compresa la materia fiscale,
previdenziale,antinfortunistica , la tutela della salute.
L’ autorizzazione n. 1 (rapporti di
lavoro)
 Finalità:
 In genere per scopi legittimi connessi alla contabilità ed alla
corrsponsione di stipendi, assegni, premi, emolumenti;
 Per far valere un diritto in sede giudiziaria, nelle procedure di
conciliazione ed arbitrato e nelle sedi amministrative;
 Per obblighi connessi a contratti di assicurazione su rischi
(antinfortunistica,malattie professionali o per r.c. terzi);
 Per pari opportunità.
 Per sopi legittimi individuati negli statuti delle associazioni
dei datori di lavoro o nei contratti colletivi, in materia di
assistenza sindacale ai datori di lavoro
L’ autorizzazione n. 1 (rapporti di
lavoro)
 Categorie di dati:
 dati idonei a rivelare le convinzioni religiose, filosofiche o di
altro genere, ovvero l'adesione ad associazioni od
organizzazioni a carattere religioso o filosofico, i dati per fruire
di permessi e festività religiose o di servizi di mensa, nonchè la
manifestazione dell'obiezione di coscienza;
 dati idonei a rivelare le opinioni politiche, l'adesione a partiti,
sindacati, associazioni od organizzazioni a carattere politico o
sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di
incarichi politici (ai fini della fruizione di permessi o di periodi di
aspettativa riconosciuti dalla legge o, eventualmente, dai
contratti collettivi anche aziendali), nonchè i dati sull’ attività o
sugli incarichi sindacali, ovvero alle trattenute per il versamento
delle quote di servizio sindacale o delle quote di iscrizione ad
associazioni od organizzazioni politiche o sindacali;
L’ autorizzazione n. 1 (rapporti di
lavoro)
 Categorie di dati:
 dati idonei a rivelare lo stato di salute, i dati raccolti
in riferimento a malattie anche professionali,
invalidità, infermità, gravidanza, puerperio o
allattamento, ad infortuni, ad esposizioni a fattori di
rischio,
all'idoneità
psico-fisica
a
svolgere
determinate mansioni o all'appartenenza a
categorieprotette, i dati contenuti nella certificazione
sanitaria attestante lo stato di malattia, anche
professionale,
o
comunque
relativi
anche
all’indicazione della malattia come specifica causa
di assenza del lavoratore.
L’ autorizzazione n. 1 (rapporti di
lavoro)
 Modalità di trattamento:
 il trattamento dei dati sensibili deve essere effettuato
unicamente con logiche e mediante forme di organizzazione
dei dati strettamente correlate agli obblighi, ai compiti o alle
finalitàindicate;
 La comunicazione di dati all'interessato deve avvenire di
regola direttamente a quest'ultimo o a un suo delegato, in
plico chiuso o con altro mezzo idoneo a prevenirne la
conoscenza da parte di soggetti non autorizzati. I dati sullo
stato di salute possono essere comunicati solo tramite un
medico;
 I dati che non risultano più pertinenti o necessari non
possono più essere utilizzati, salvo per l’eventuale
conservazione imposta da legge o dall’atto che li contiene.
L’autoregolamentazione:
i“codici di deontologia” (art. 12)
 Il rispetto dei codici costituisce condizione
essenziale per la liceità e la correttezza del
trattamento
 Alcuni settori (regolati nella parte II del
codice privacy) interessati:
 Rapporto di lavoro (trattamenti necessari per finalita'
previdenziali o per la gestione del rapporto di lavoro,
comprese le modalita' per l'informativa all'interessato e per
l'eventuale prestazione del consenso, e per la ricezione di
“curricula” contenenti dati personali anche sensibili (art.111);
L’autoregolamentazione:
i“codici di deontologia” (art. 12)
 Direct marketing e pubblicità (invio di materiale pubblicitario
o di vendita diretta, ovvero per il compimento di ricerche di
mercato o di comunicazione commerciale interattiva,
prevedendo anche forme semplificate per manifestare e
rendere meglio conoscibile l'eventuale dichiarazione di non
voler ricevere determinate comunicazioni (art.140);
 Videosorveglianza: trattamento dati con strumenti elettronici
di rilevamento delle immagini (art. 134);
 “centrali rischi” e banche dati sul comportamento debitorio
(artt.117 e 119);
L’autoregolamentazione:
i“codici di deontologia” (art. 12)
 servizi telematici e di comunicazione elettronica
(internet e telefonia) (regole per garantire un’adeguata
informazione agli utenti mediante informative on line
interattive- art. 133);
 Informazione commerciale
(anche mediante forme
semplificate di informativa – art. 118).
Tutti I “codici deontologici” dovranno seguire le
indicazioni contenute in una serie di
raccomandazioni del consiglio d’europa
Organizzazione aziendale:
adempimenti
Adozione di idonee misure di sicurezza (art.31);
adozione minima obbligatoria di alcune misure
fissate dal codice, (con le modalità del
disciplinare tecnico allegato: artt. 33 – 36);
Inosservanza: sanzioni penali ed amministrative:
art. 169;
responsabilità patrimoniale: art.
15;
Organizzazione aziendale:
adempimenti
designazione ed istruzioni scritte da parte del
titolare o responsabile degli incaricati (art.30);
Eventuale nomina per iscritto del/i responsabile/i
del trattamento(art.29); nomina del custode delle
chiavi (disciplinare tecnico punto 10);
Obbligo di verifica periodica del titolare
sull’operato del/dei responsabili (art. 29 u.c.)
organizzazione aziendale le funzioni interne
Titolare del trattamento (art.28): la persona
giuridica;
responsabile del trattamento (art.29);
ƒ nomina facoltativa,
ƒ capacità professionale,
ƒ responsabilità penale,
ƒ Poteri (delega aziendale)
organizzazione aziendale le funzioni interne
incaricati del trattamento (art.30);
ƒ funzione obbligatoria,
ƒ Designazione ed istruzioni scritte relative anche
alle misure di sicurezza (punti 9 e 10 del
disciplinare); In alternativa alla designazione
nominale ed individuale: preposizione di una
persona ad un’unità per la quale sono state date
per iscritto istruzioni (es. mansionari) sull’ambito
del trattamento “istruzioni per funzioni” (art.302°comma)
organizzazione aziendale le funzioni interne
amministratore di sistema: figura prevista dal
dpr. 318/1999 ora abrogato; opportuno, comunque
attribuire compiti specifici al responsabile del
sistema informatico;
custode delle chiavi;
ƒ gestione del sistema delle password (all. B
disciplinare, punto 10);
ƒ Accesso “necessario” ai dati ed informativa
all’incaricato dell’intervento effettuato.
organizzazione aziendale - le
misure di sicurezza (art. 31)
i dati devono essere custoditi in modo da ridurre
al minimo i rischi di:
ƒ distruzione e perdita anche accidentale;
ƒ accesso non autorizzato;
ƒ trattamento non consentito o difforme dalle
finalità dichiarate.
la tutela si ottiene con misure di sicurezza
adeguate alle conoscenze tecniche
organizzazione aziendalele misure di sicurezza in generale
le misure di sicurezza minime sono elencate
nel codice (parte I, tit. V, capo II, artt. 33 e ss.)
e dettagliate nelle modalità di attuazione nel
disciplinare tecnico (all. B), che può essere
aggiornato, in base all'evoluzione della tecnica,
con decreto ministeriale;
l'adozione di un sistema idoneo di misure di
sicurezza (non solo di quelle minime) garantisce
l'integrità dei dati trattati in azienda e riduce il
rischio di responsabilità civile.
organizzazione aziendale - le
nuove misure di sicurezza minime
 Termine per l'adeguamento alle nuove
misure minime obbligatorie individuate con il
codice (e non previste nel precedente dpr
318/1999): 31 marzo 2006 (anche per la
redazione o l’aggiornamento del DPS);
 In caso di difficoltà “tecniche”oggettive
all’adeguamento:
a) Autodichiarazione con data certa;
b) Adozione, comunque, entro il 31 marzo 2006 di
tutte le misure tecnicamente possibili e adozione
delle restanti entro il 30.6.2006.
organizzazione aziendale - le
nuove misure di sicurezza minime







Sistema di autenticazione informatica: punti 111(“abbinata” user id e password);
Sistema di autorizzazione: punti 12-14(definizione dei
profili di autorizzazione anche per funzioni e/o gruppi
omogenei)
Altre misure informatiche: punti 15-18(antivirus, back
up…);
Documento programmatico sulla sicurezza: punto 19;
Altre misure informatiche per dati sensibilie giudiziari:
punti 20-24;
Misure legali-societarie: punti 25-26;(relazione bilancio
e dichiarazione conformità);
Misure per trattamenti cartacei: punti 27-29.
Le situazioni particolari più
ricorrenti in azienda
 La videosorveglianza;
 Le linee guida sul rapporto di lavoro
privato;
 La regolamentazione di internet e della
posta elettronica;
 I curricula e gli annunci di lavoro;
 L’utilizzo delle impronte digitali e dei dati
biometrici in genere;
 Il marketing e la profilazione.
Le situazioni particolari più
ricorrenti in azienda
 I provvedimenti “generali “del Garante
•
Emanati in base all’art. 154 – 1°comma lettere c) e d) e
in base all’art. 24, lett g) “bilanciamento degli
interessi”.
 Le pronunce del Garante su casi singoli
•
Basati su specifici ricorsi, reclami o segnalazioni (artt.
141 e 143)
I provvedimenti “generali” del
Garante sul rapporto di lavoro
In assenza dei “codici deontologici”, il Garante è intervenuto
su alcune delle materie inerenti il rapporto di lavoro con
propri provvedimenti destinati ad una serie indeterminata di
destinatari (art. 154 – 1°comma, lett.c e d).
 Videosorveglianza (29.4.2004): detta prescrizioni
e individua il bilanciamento di interessi;
 Rapporto di lavoro privato ( 23.11.2006 in GU n.
285 del 7.12.2006): detta prescrizioni;
 Internet e posta elettronica aziendale (1.3.2007
in GU n. 58 del 10.3.2007): detta prescrizioni,
pone divieti, e individua il bilanciamento di
interessi
Le regole per la
videosorveglianza
I sistemi di videosorveglianza dei privati devono rispettare
alcune regole e principi:
 Liceità: rispetto di tutte le norme di legge (compreso l’art. 4
Statuto lavoratori);
 Necessità e proporzionalità: va evitato qualsiasi uso superfluo
od eccessivo, ed utilizzato solo per aree soggetto a concreto
pericolo e quando altre misure siano inidonee (importante anche
la durata dell’eventuale registrazione);
 Finalità del trattamento:
esclusivamente per la tutela del
patrimonio o delle persone e per migliorare la sicurezza delle
aree.
 Informativa:
in prossimità della video camera va riportato un
cartello; inoltre per il sistema interno vanno adottate idonea policy
aziendale e informativa ai dipendenti.
Le regole nel rapporto di lavoro
privato
Il Garante ha riassunto in apposite linee guida (deliberazione n. 53
del 23.11.2006) le indicazioni già fornite in precedenti
deliberazioni sui trattamenti previsti da norme e contratti di
lavoro:
 Rispetto dei principi:
• liceità e necessità (artt. 11 e 3) del trattamento.
• Informativa preventiva al dipendente (art. 13).
• Eventuale consenso (artt 23,24 e 26).
• Rispetto delle autorizzazioni generali sui dati sensibili (art. 26).
Adozione delle misure di sicurezza, comprese le istruzioni scritte agli
incaricati ( artt. 15 e 31);
 Finalità del trattamento : per assolvere ad obblighi previsti da
contratto individuale, da contratto collettivo, dalla legge;
Le regole nel rapporto di lavoro
privato
 L’individuazione del titolare del trattamento e la posizione di
•
•
responsabile. I casi :
Gruppi di imprese;
il medico competente in base agli obblighi del d.lgs. n.
626/1994;
 Dati biometrici ed accesso ad aree aziendali: Utilizzo di tali
sistemi solo in casi eccezionali per presidiare accessi ad aree
“sensibili” anche in relazione al particolare tipo di attività
svolta. I sistemi non devono essere centralizzati (dati
memorizzati solo su smart card). I dati devono essere
conservati massimo sette giorni;
Le regole nel rapporto di lavoro
privato
 Comunicazione dati: a parenti e familiari, e ad associazioni
di datori di lavoro con il consenso dell’interessato;
 Dati sullo stato di salute: L’assenza per malattia è, in sè,
un dato sensibile anche in assenza di diagnosi.
Comunicazione mediante modulistica con la sola prognosi.
Comunicazioni all’Inps ed all’Inail. I dati sanitari vanno
conservati separatamente (anche nel fascicolo del
dipendente);
 Sicurezza nel trattamento: conservazione separata dati
sensibili anche nel fascicolo personale;
 Accesso del dipendente ai dati: riscontro e tempestività.
Le regole per posta elettronica e
navigazione internet
Con un provvedimento generale (1.3.2007) il Garante ha dettato le
linee guida per la gestione della posta elettronica e della
navigazione internet nelle aziende.
 Finalità del provvedimento: contemperamento degli interessi
dell’azienda alla funzionalità del sistema, alla sicurezza e
disponibilità dei dati ed alla prevenzione da reati e da
responsabilità patrimoniali, con quelli della riservatezza del
dipendente (artt. 4 e 8 Statuto lavoratori): applicazione dei principi
di necessità (riduzione al minimo dell’utilizzazione di dati) e
correttezza (informazione ai dipendenti dei trattamenti e dei
controlli);
 Lo strumento suggerito: il regolamento aziendale che disciplina
l’utilizzo di questi strumenti e i casi e modalità del controllo.
Le regole per posta elettronica e
navigazione internet
 Le questioni critiche delle linee guida:
• I controlli a distanza leciti (art. 4-2°comma Statuto lavoratori).
L’applicazione del “bilanciameno degli interessi” mediante l’accordo
sindacale (o autorizzazione dell’Ispettorato del lavoro).
• I controlli sistematici vietati (prescrizione di divieto del Garante –
art.154 lett. d) , 143 lett.c) e 170)
• Trattamento dei “log “di navigazione solo aggregati od anonimi.
• “Delega a fiduciario" del dipendente alla lettura della
corrispondenza elettronica in caso di assenza.
• Le misure tecnologiche ed organizzative preventive (black list e
white list per internet; caselle uleriori personali; uso personale
autorizzato a pagamento o in orari extra lavorativi).
Le regole per posta elettronica e
navigazione internet: il
regolamento aziendale
 Contenuti:
• le regole sull’utilizzo del personal computer e della rete
informatica aziendale.
• Le regole per l’utilizzo della posta elettronica. La natura
esclusivamente lavorativa dello strumento (il rischio del reato
ex art. 616 c.p.).
• Le regole per l’utilizzo del sistema di navigazione in internet. I
rischi
• I casi, le modalità e I soggetti incaricati ad accedere ai dati
informatici, di navigazione e di posta dei dipendenti.
• Le conseguenze disciplinari delle violazioni al regolamento
(pubblictà: art. 7 Statuto lavoratori).
Le regole per posta elettronica e
navigazione internet: il
regolamento aziendale
 Obbiettivi concreti e positivi:
• Adempiere agli obblighi di informativa sui trattamenti dei dati e
sui controlli informatici (art.13 d.lgs. 196/2003 e all. VII, par.3
d.lgs. 626/1994).
• Proteggere il sistema informatico e la sua funzionalità.
• Tutelare le informazioni aziendali ed il know-how residente nel
sistema informatico.
• Tutelare l’azienda da responsabilità anche patrimoniali legate
al diritto d’autore (legge n. 633/1941) ed alla responsabilità
amministrativa delle società (d.lgs. n.231/2001)
• Escludere la configurabilità del reato di violazione della
corrispondenza (art. 616 c.p.)
Le regole per posta elettronica e
navigazione internet:
orientamenti giurisprudenziali
 Ordinanza 10.5.2002 di archiaviazione Gip di Milano
• "personalita'"dell'indirizzo
non
significa
necessariamente
“privatezza" del medesimo ;
• l'indirizzo aziendale, proprio perche' tale, puo'sempre essere nella
disponibilita' di accesso e lettura da parte di persone diverse
dall'utilizzatore consuetudinario;
• la finalita' della password non e' certo quella di "proteggere" la
segretezza dei dati personali contenuti negli strumenti a
disposizione del singolo lavoratore, bensi' solo quella di impedire
che ai predetti strumenti possano accedere persone estranee alla
società;
• Il mittente trova tutela se si rende chiaro all’ interlocutore che
l'indirizzo di posta elettronica e'esclusivamente aziendale.
Le regole per posta elettronica e
navigazione internet:
orientamenti giurisprudenziali
 Tribunale di Torino sez. Chivasso 15.9.2006 n. 143
• "personalita'"dell'indirizzo non significa necessariamente
“privatezza" del medesimo;
• Il lavoratore poteva invocare il diritto alla riservatezza
solo fino a quando il datore di lavoro non avesse chiarito
formalmente che i testi erano pubblici in ambito
aziendale;
• Esimente dell’esercizio di un diritto (art. 51 c.p.)
• Inesistenza dell’elemento soggettivo del dolo (accesso
per esigenze lavorative in assenza del dipendente).
Le regole per posta elettronica e
navigazione internet:
orientamenti giurisprudenziali
 Cassazione - sez. V^ penale 19.12.2007 n. 47096
(conferma Trib. Sez. Chivasso n.143/2006)
• reato di violazione di corrispondenza “chiusa”: è tale solo nei
confronti dei soggetti NON legittimati all’accesso dei sistemi
informatici di posta elettronica;
• La corrispondenza custodita nel sistema proetto da password
è lecitamente conoscibile da parte di chi dispone delle chiavi
informatiche di accesso;
• L’informazione ai dipendenti del diritto dell’organizzazione
aziendale di accedere alle caselle, legittima alla conoscenza
della corripondenza che non può configurarsi come “chiusa”
(uso del regolamento aziendale).
I curricula e gli annunci di
lavoro
 Provvedimento del Garante del 10 gennaio 2002
• obbligo di informativa completa preventiva;
• Rinvio negli annunci ad un’informativa su sito web (vedi
anche art. 9 –3°comma d.lgs. n. 276/2003);
• Inesistenza di un obbligo generalizzato di acquisire il
consenso (salvo che per i dati sensibili);
• Pertinenza del trattamento: indicazione del tempo
strettamente congruo per la conservazione dei dati;
• Modello di informativa per anche per gli annunci di
lavoro.
L’utilizzo dei dati biometrici (le
impronte digitali)
 “Linee guida” sul rapporto di lavoro – deliberazione n. 53 del
23.11.2006 (e precedenti delibere 21.7.2005, 23.11.2005,
26.7.2006, e 1.2.2007)
o criterio fondamentale: applicazione del principio di necessità e
proporzionalità nel trattamento; di conseguenza:
• solo in casi particolari (accesso ad aree sensibili ed esigenze di
sicurezza);
• divieto di centralizzazione in banca dati (solo memorizzazionesu
smart card)
• sistema volontario (previsione di sistemi alternativi);
• informativa e consenso preventivo,
• Notifica al garante (art. 37)
• Termine di conservazione : massimo 7 giorni.
Il marketing e la profilazione
 “e-marketing (informazioni commerciali non sollecitate
per e-mail, provv. 20.4.2006 su ricorso):
• consenso preventivo fin dal primo invio (art.130 “opt.in”);
• obbligo di avviso in ogni e-mail del diritto di opposizione e
cancellazione (art. 7-4° lett.b, e 130 - 4°);
• la reperibilità su internet degli indirizzi e-mail non li rende
disponibilli.
 Fax indesiderati per comunicazioni commerciali (provv.
23.11.2006 su segnalazione):
• assenza di consenso specifico ed informato (divieto ex
art. 143 lett.c e 154 lett d)
Il marketing e la profilazione segue
 “spamming (provv. “generale” ex art. 154 lett.c):
• Consenso preventivo prima dell’inoltro dei messaggi
differenziato rispetto alle altre finalità;
• Divieto di accomunare nelle stesso invio sia la richiesta di
consenso preventivo sia un contenuto promozionale;
• Divieto di uso di banche dati illecite Igli indirizzi reperiti su
internet non sono “pubblici”).
Il marketing e la profilazione segue
 “fidelity card e profilazione (provv. “generale” 24.2.2005 ex art.
154 lett.c):
• tre distinte finalità: a) fidelizzazione; b) profilazione; c)marketing
diretto;
• consensi distinti ed autonomi ( e distinti dalla sottoscrizione delle
condizioni generali di contratto);
• termini massimi di conservazione: a) profilazione 12 mesi; b)
marketing 24 mesi.
• notificazione dei trattamenti di profilazione mediante strumenti
elettronici (art. 37 lett.d).
La tutela amministrativa e
gurisdizionale (artt. 141-152)

Reclamo circostanziato su specifica violazione (141 - 143);

Segnalazione (in caso di impossibilità di reclamo specifico);

Ricorso (alternativo a quello giurisidizionale) a tutela dei diritti
dell’interessato elencati all’art.7.
In tutti i casi il Garante può dettare prescrizioni per adeguare i
trattamenti, disporre il blocco od il divieto del trattamento
illecito (143): questi provvedimenti sono anche pubblicabili in
Gazzetta, se I destinatari sono difficilmente identificabili per il
loro numero.
La responsabilità e le sanzioni
(artt. 15 e 161-172)
responsabilità civile (risarcimento) per danni
derivanti dal trattamento (anche danni morali in
caso di violazione dei principi fondamentali, in
base all’art.15-2°comma e art. 11); trattare dati è
una "attività pericolosa“( art. 2050 cc):
solo adottando tutte le misure idonee ad
evitare il danno viene meno la responsabilità (il
documento programmatico può costituire un
utile elemento probatorio - punto 19);
La responsabilità e le sanzioni
(artt. 15 e 161-172)
sanzioni pecuniarie amministrative comminate
dal Garante per:
 omessa o incompleta notifica (art.37 e 163);
Violazione
obbligo
di
informativa
dell’interessato (art. 13 e 161);
Violazione dell’obbligo di fornire informazioni
o documenti al Garante (art. 157 e 164);
violazioni residuali (art.162).
Per tutte: possibile sanzione accessoria della
pubblicazione sui giornali dell’ordinanza
ingiunzione (art. 165).
La responsabilità e le sanzioni
penali (art. 15 e 161- 172)
sanzioni penali tra cui:
Trattamento illecito dei dati derivante da
violazione di alcuni articoli – tra cui 23 e 26-;
richiede sempre il dolo specifico del profitto o
danno altrui e l’effettivo nocumento (art.167)
Falsità nelle dichiarazioni al garante e nella
notificazione ( art. 168);
Per tutte le condanne:
sentenza (art.172)
pubblicazione
della
La responsabilità e le sanzioni
penali (art. 15 e 161- 172)
sanzioni penali tra cui:
mancata adozione delle misure minime di
sicurezza ( art. 169, applicazione, tuttavia,
dell’istituto del “ravvedimento operoso”);
Inosservanza dei provvedimenti di blocco o
divieto di trattamento (art.170)
Per tutte le condanne:
sentenza (art.172)
pubblicazione
della
Tabella principali sanzioni penali ed amministrative
fattispecie
Falsità nelle notificazioni, comunicazioni, atti e
dichiarazioni al Garante
Omessa adozione delle misure di sicurezza
minime obbligatorie previste dall’art.33
fonte
Art. 168
sanzione
Reclusione da 6 mesi a tre anni.
Art. 169
Arresto sino a 2 anni o ammenda da 10.000 a 50.000
euro.
“Ravvedimento operoso”: la regolarizzazione entro
termini fissati dal garante con il pagamento di una
sanzione pecuniaria amministrativa pari al quarto del
massimo dell’ammenda (12.500 euro), estingue il
reato.
Reati con dolo specifico ( “al fine di trarne per sé
o per altri profitto o di recare ad altri un
danno”):
Art. 167 Trattamento di dati illecito (violazione
1°comma
artt.18-19-23-123-126- 129-130)
 Trattamento in violazione alle prescrizioni
su dati che presentano rischi specifici
(art.17), sui dati sensibili (art.20,21,22,26),
sui dati giudiziari (art.27), e sui divieti di
trasferimento dei dati all’estero(art.45).
Mancata osservanza provvedimenti del Garante
Violazione dell’obbligo di fornire informazioni o
documenti al Garante
Art. 167 – 2°
comma
Art. 170
Art. 164
Reclusione da 6 a 18 mesi purchè vi sia nocumento;
trattamento con comunicazione o diffusione del dato:
da 6 a 24 mesi.
Reclusione da 1 a 3 anni, purchè dal fatto derivi
nocumento.
Reclusione da 3 mesi a 2 anni.
Sanzione pecuniaria amministrativa 4.000 a 24.000
euro.
Tabella principali sanzioni penali ed amministrative
fattispecie
Violazione artt. 4 (controlli a
distanza) e 8 (divieto di indagini
sulle opinioni) dello Statuto dei
lavoratori
Violazione dell’obbligo di
informazione dell’interessato
fonte
sanzione
Art. 171
Ammenda da 154 a 1549 euro od
arresto da 15 gg. a 1 anno
Art. 161
Sanzione pecuniaria amministrativa
da 3.000 a 18.000 euro; nei casi più
gravi o relativi ai dati sensibili,
giudiziari ad agli altri dati con
particolari rischi da 5.000 a 30.000
euro. Possibilità di aumento fino al
triplo.
Sanzione pecuniaria amministrativa
da 10.000€ a 60.000 €
Sanzione pecuniaria amministrativa
4.000 a 24.000 euro.
Omessa od incompleta
Art. 163
notificazione (se dovuta)
Violazione dell’obbligo di fornire Art. 164
informazioni o documenti al
Garante
N.B. : pena accessoria della pubblicazione della sentenza per i delitti previsti (art.
172).
Anche per le sanzioni pecuniarie amministrative degli articoli 161,162, 163 e 164 è
prevista la pubblicazione dell’ordinanza ingiunzione di pagamento.
Responsabilità civile (artt. 15): anche per danni morali e con presunzione di
responsabilità.
Il Garante è competente ad irrogare le sanzioni pecuniarie amministrative
Organizzazione aziendale
Titolare del trattamento
(l’ impresa)
( art. 28)
Nomina
eventuale
nomina
Custode delle credenziali
(disciplinare tecnico)
Responsabile / i del trattamento (anche
suddivisi per aree, funzioni …;
individuati all’interno od all’esterno
dell’impresa; scelti tra persone fisiche
o società (art. 29)
Designazione
Istruzioni
autorizzazioni
Incaricati del trattamento
(art. 30)
Gli adempimenti per le aziende
Ambito
Rapporti con gli interessati
Rapporti con il Garante per la
protezione dei dati personali
Organizzazione aziendale
Obblighi
Modalità
 Informativa (art. 13 e 161);
 Consenso (artt. 23 e 24);
 Rispetto dei diritti esercitati dagli interessati
(artt. 7,8,9 e 10).
N.B. : i dati vanno trattati in base ai principi di
liceità, correttezza e pertinenza, anche temporali
(art. 25) fissati all’art.11.
 Predisposizione della modulistica e
sua conservazione;
 Previsione di procedure celeri di
risposta.
 Eventuale notifica preventiva per i trattamenti
(art.37);
 e per il trasferimento dei dati all’estero fuori
dall’Unione Europea (art. 28).
N.B obbligo previsto solo nei casi elencati all’art.
37.
 Obbligo di collaborare con il Garante
 Utilizzo della modulistica ufficiale e
delle procedure predisposte dal
Garante
 Definire un organigramma aziendale
funzionale agli adempimenti (artt28,29 e 30);
 Predisposizione di un sistema di sicurezza
idoneo (artt. 31-36 e disciplinare tecnico).
 Predisposizione modulistica (nomine,
istruzioni, autorizzazioni….);
 Attuazione delle singole misure
minime obbligatorie (DPS) e delle
ulteriori necessarie, per garantire la
sicurezza dei dati.
Rapporti con l’interessato di
cui si trattano i dati
Titolare
Del trattamento
(l’impresa)
Obbligo generale di
informativa
(art. 13)
Obbligo generale di acquisizione
del consenso
(art. 23, salvo i casi di esonero)
Dipendenti
Collaboratori
………………
(per i dati “sensibili”:
consenso scritto – art.
26),salvo esoneri
Clienti
Fornitori
……………
La mancanza di informativa all’interessato comporta sanzioni amministrative
pecuniarie
La mancanza del consenso può, in caso di dolo specifico e di effettivo nocumento,
comportare l’applicazione di sanzioni penali (art. 167), o determinare, in presenza di
danni, la richiesta di risarcimento.