1. IMPRESE E PRIVACY: MODIFICHE
LEGISLATIVE E ANALISI DEI PIÙ
RECENTI PROVVEDIMENTI DEL
GARANTE
Roma, 29 febbraio 2012
1
2. Il codice della privacy
Il Codice della Privacy è stato adottato con
il Decreto Legislativo 30 giugno 2003
n.196 e regola il trattamento dei dati
personali
Il Codice ha sostituito la legge 675/96
2
3. Direttiva 2009/136/CE
modifica della direttiva 2002/22/CE relativa al
servizio universale e ai diritti degli utenti in materia
di reti e di servizi di comunicazione elettronica,
della direttiva 2002/58/CE relativa al trattamento
dei dati personali e alla tutela della vita privata nel
settore delle comunicazioni elettroniche e del
regolamento (CE) n. 2006/2004 sulla
cooperazione tra le autorità nazionali responsabili
dell’esecuzione della normativa a tutela dei
consumatori
3
4. Recepimento
La legge 15 dicembre 2011, n. 217,
pubblicata in Gazz. Uff. del 2 gennaio
2012, contiene, all’art. 9, una delega al
Governo affinché adotti, entro tre mesi
dalla data di entrata in vigore della legge
stessa, un decreto legislativo di
recepimento della direttiva
4
5. Regolamento
Proposta di Regolamento europeo e del
Consiglio concernente la tutela delle
persone fisiche con riguardo al
trattamento dei dati personali e la libera
circolazione di tali dati
5
6. Garante
Diminuito il numero dei ricorsi, reclami,
segnalazioni e quesiti
Diminuite le istanze di accesso
Diminuito il numero delle ispezioni
Diminuite le sanzioni (3 ml di euro)
6
7. Applicabilità del Codice
Art. 5: a chiunque è stabilito nel territorio
dello Stato
Il Codice si applica anche al trattamento di
dati personali effettuato da chiunque è
stabilito nel territorio di un Paese non
appartenente all'Unione europea e
impiega, per il trattamento, strumenti
situati nel territorio dello Stato
7
8. Nozione di stabilimento
Anche “tramite un semplice ufficio, gestito
da persone dipendenti dall’impresa”
(Corte di Giustizia: Reinhard Gebhard)
Ovvero per mezzo dell’azione di un
semplice agente (Corte di Giustizia: Daily
Mail)
Caso Vividown c. Google
Problema del cloud computing
8
9. Proposta di Regolamento
Il luogo di stabilimento coincide con quello
“in cui sono prese le principali decisioni
sulle finalità, le condizioni e i mezzi del
trattamento dei dati personali”
Non si tratta di un criterio di individuazione
giuridico (es. la sede sociale) né fisico (es.
luogo dove si trovano materialmente i dati
personali)
9
10. Prop. Regolamento – Extra UE
Se le decisioni non sono adottate nell’UE,
lo stabilimento coincide col “luogo in cui
sono condotte le principali attività di
trattamento nell’ambito delle attività di uno
stabilimento di un responsabile del
trattamento nell’Unione”
Nessuna novità significativa per quanto
riguarda i gruppi di imprese
10
11. Principi fondamentali nel Codice
della Privacy
Il trattamento dei dati personali si fonda
su cinque principi fondamentali:
a) correttezza e pertinenza (art. 11)
b) notificazione (art. 37)
c) informativa (art. 13)
d) consenso dell’interessato (art. 23);
e) diritti dell’interessato (art. 7)
11
12. Definizioni. Trattamento
Qualunque operazione o complesso di
operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la
conservazione, la consultazione, l'elaborazione,
la modificazione, la selezione, l'estrazione, il
raffronto, l'utilizzo, l'interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione
e la distruzione di dati, anche se non registrati in
una banca di dati.
12
13. Modalità di trattamento
I dati devono essere:
trattati in modo lecito e secondo correttezza;
raccolti e registrati per scopi determinati, espliciti e legittimi,
ed utilizzati in altre operazioni del trattamento in termini
compatibili con tali scopi;
esatti e, se necessario, aggiornati;
pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati;
conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a
quello necessario agli scopi per i quali essi sono stati raccolti
o successivamente trattati.
13
14. Definizioni. Dato personale/
dato sensibile
Dato personale è qualunque informazione relativa a persona
fisica, persona giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di
identificazione personale.
Dato sensibile è quel dato idoneo a rivelare l'origine razziale
ed etnica, le convinzioni religiose, filosofiche o di altro genere,
le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale
14
15. Garante 19.6.2008
Semplificazioni di taluni adempimenti in ambito
pubblico e privato rispetto a trattamenti per finalità
amministrative e contabili
“Diverse realtà, specie imprenditoriali di piccole e medie
dimensioni, trattano dati, anche in relazione a obblighi
contrattuali, precontrattuali o di legge, esclusivamente
per finalità di ordine amministrativo e contabile (gestione
di ordinativi, buste paga e di ordinaria corrispondenza
con clienti, fornitori, realtà esterne di supporto anche in
outsourcing, dipendenti)”.
15
16. Art. 34 comma 1-ter
Ai fini dell'applicazione delle disposizioni in materia di
protezione dei dati personali, i trattamenti effettuati per finalità
amministrativo - contabili sono quelli connessi allo
svolgimento delle attività di natura organizzativa,
amministrativa, finanziaria e contabile, a prescindere dalla
natura dei dati trattati.
In particolare, perseguono tali finalità le attività organizzative
interne, quelle funzionali all'adempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto di
lavoro in tutte le sue fasi, alla tenuta della contabilità e
all'applicazione delle norme in materia fiscale, sindacale,
previdenziale-assistenziale, di salute, igiene e sicurezza sul
lavoro.
16
17. D.L. 13 maggio 2011, n. 70
Conv. dalla legge 12 luglio 2011, n. 106
“Il trattamento dei dati personali relativi a
persone giuridiche, imprese, enti o associazioni
effettuato nell'ambito di rapporti intercorrenti
esclusivamente tra i medesimi soggetti per le
finalità amministrativo-contabili, come definite
all'articolo 34, comma 1-ter, non e' soggetto
all'applicazione del presente codice”
Nozione di abbonato?
17
19. Correttezza e pertinenza del
trattamento
L’art. 11 del Codice, prima di ogni altra prescrizione, impone al
titolare di trattare i dati:
a) in modo lecito e secondo correttezza;
b) per scopi determinati, espliciti e legittimi
c) in altre operazioni solo per ragioni compatibili con gli scopi
originari;
d) esatti e, se necessario, aggiornati;
e) pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti e successivamente trattati;
f) in forma identificativa solo per il tempo necessario per il
perseguimento dei predetti scopi (es. videosorveglianza).
I dati trattati in violazione di tali prescrizioni non possono essere
utilizzati e il titolare è obbligato al risarcimento dei danni eventuali
subiti dall’interessato.
19
20. Il titolare del trattamento
È il soggetto cui competono le decisioni in
ordine alle finalità, alle modalità del trattamento
di dati personali e agli strumenti utilizzati
Se il trattamento è effettuato da una persona
giuridica, titolare del trattamento è titolare del
trattamento è l'entità nel suo complesso o l'unità
od organismo periferico che esercita un potere
decisionale del tutto autonomo sulle finalità e
sulle modalità del trattamento (es. società
italiana di un gruppo di società)
20
21. Il responsabile del trattamento
Il responsabile del trattamento è la persona fisica o
giuridica preposta dal titolare al trattamento:
a) scelto tra soggetti competenti;
b) designato in forma scritta;
c) con predeterminazione analitica dei compiti
Il titolare può nominare anche più responsabili, anche
con suddivisioni dei compiti (e/o dei trattamenti: ad es.,
responsabile dei trattamenti dei dati relativi al rapporto di
lavoro, responsabile delle misure di sicurezza, etc.).
Può essere anche un soggetto esterno rispetto alla
struttura imprenditoriale
21
22. Responsabile della protezione
dei dati
Bozza Regolamento comunitario
obbligatorio per tutte le imprese che abbiano almeno
250 dipendenti
soggetto dotato di specifiche qualifiche professionali,
inclusa la conoscenza specialistica della normativa
designato per un periodo minimo di due anni,
rinnovabile
il suo nome e le sue coordinate di contatto devono
essere comunicati al pubblico
22
23. L’incaricato del trattamento
Affinché dipendenti e/o collaboratori possano
procedere al trattamento, è necessario nominarli
incaricati del trattamento (art. 30):
a) La nomina deve provenire dal titolare o dal
responsabile
b) La nomina deve essere formalizzata per
iscritto e deve predeterminare l’ambito del
trattamento consentito
23
24. L’incaricato del trattamento
La nomina dell’incaricato non amplia la sfera
delle mansioni assegnate al dipendente ma si
limita a conferirgli il potere di svolgere le
operazione di trattamento dei dati. Non deve
quindi essere oggetto di alcuna contrattazione.
L’incaricato deve agire sotto la diretta autorità del
titolare o del responsabile, attenendosi alle
istruzioni impartite.
24
26. Tre figure
Private cloud: data center, la proprietà dei
server è dell’impresa
Public cloud: la proprietà dei server è di un
soggetto esterno
Hybrid cloud
26
27. Indicazioni del Garante
Scegliere servizi affidabili
Preferibili soluzioni che consentano un
salvataggio dei dati in remoto (procedure di back
up)
Analizzare responsabilità nelle condizioni
generali di contratto
Tempo di conservazione dei dati
Obblighi formativi per i dipendenti
27
30. L’obbligo di notificazione
Legge 675/96 (art. 7): il titolare era
obbligato alla notificazione di tutti i
trattamenti di dati effettuati, salvo quelli
espressamente esclusi.
Codice (art. 37): il titolare è obbligato
alla notificazione dei soli trattamenti
espressamente individuati dalla Legge.
30
31. I trattamenti da notificare
L’art. 37 del Codice obbliga il titolare alla notificazione
solo se il trattamento riguarda:
a) dati genetici o biometrici;
b) dati relativi all’ubicazione geografica;
c) dati sanitari o sessuali trattati per talune ragioni
sanitarie;
d) dati sanitari o psichici trattati da associazioni o enti
senza scopo di lucro;
31
32. L’obbligo di notificazione
e) dati trattati con strumenti automatizzati per definire il
profilo o la personalità dell’interessato, o ad analizzare
abitudini o scelte di consumo, ovvero a monitorare
l’utilizzo di servizi di comunicazione elettronica con
esclusione dei trattamenti tecnicamente indispensabili per
fornire servizi agli utenti;
f) dati sensibili registrati in banche di dati per finalità di
selezione del personale (es. curriculum vitae ed
appartenenza dei candidati a categorie protette);
g) dati sensibili utilizzati per sondaggi di opinione e simili;
h) dati registrati in banche di dati relative al rischio sulla
solvibilità economica, alla situazione patrimoniale (es.
dealers) ecc.
32
33. Regolamento - Profilazione
L’art. 20 del Regolamento, se confrontato
con la legislazione italiana vigente, amplia
le ipotesi di profilazione
Sono inclusi, per esempio, il rendimento
professionale, l’affidabilità ed il
comportamento del soggetto interessato.
33
35. L’obbligo di fornire l’informativa
Il titolare (o chi agisce per esso), prima di
raccogliere i dati, deve fornire alla persona che li
fornisce le seguenti informazioni:
a) Finalità e modalità del trattamento;
b) Natura del conferimento dei dati (obbligatoria o
facoltativa);
c) I soggetti o le categorie di soggetti (ad es.,
Concessionari della Rete) ai quali i dati possono
essere comunicati (compresi eventuali
responsabili o incaricati);
35
36. L’obbligo di fornire l’informativa
d) L’ambito di diffusione dei dati (ad es., pubblicazione
su sito internet);
e) I diritti di cui all’art. 7;
f) Gli estremi identificativi del titolare;
g) Gli estremi identificativi del responsabile e, se sono
nominati più responsabili, almeno di uno
(preferibilmente quello al quale è affidato il compito
di gestire i diritti di cui all’art. 7), con espressa
indicazione delle modalità attraverso le quali è
agevolmente ed effettivamente conoscibile la lista di
tutti i responsabili.
36
37. Le modalità
L’informativa deve essere fornita alla persona dalla
quale si raccolgono i dati, che non necessariamente è
l’interessato (es. ordini di lavoro).
Qualora tale soggetto sia una persona diversa,
l’informativa deve essere resa anche all’interessato
al momento della registrazione dei dati o al momento
della prima comunicazione (ad es., mediante invio
postale). In tal caso l’informativa all’interessato
potrebbe essere omessa solo se i dati sono trattati per
obblighi normativi, qualora siano trattati per finalità di
difesa in giudizio oppure nel caso in cui il Garante, per
particolari ragioni, lo autorizzi espressamente.
37
38. Curriculum
L’informativa non è dovuta in caso di ricezione di
curricula spontaneamente trasmessi dagli
interessati ai fini dell’eventuale instaurazione di un
rapporto di lavoro
Al momento del primo contatto successivo all’invio
del curriculum, il titolare è tenuto a fornire
all’interessato, anche oralmente, una informativa
breve contenente almeno gli elementi di cui al
comma 1, lettere a), d) ed f)
38
39. Questionario per selezione
Garante, 21 luglio 2011
Dichiarato illecito il trattamento effettuato
dall'Aler con il questionario somministrato ai
candidati che partecipavano alla selezione
per il reclutamento di un dirigente tecnico
Le domande ivi contenute riguardavano
aspetti anche intimi della sfera
personale/affettiva/sessuale dei candidati
39
40. Le sanzioni
L’omessa informativa comporta, nei casi più
gravi, l’irrogazione di una sanzione
amministrativa da 5.000,00 a 30.000,00 euro,
aumentabili sino al triplo a seconda delle
condizioni economiche del titolare.
40
41. Proposta di regolamento
indicare anche:
il periodo per il quale i dati personali
saranno conservati
il diritto di proporre reclamo all’autorità di
controllo
il modo per contattare detta autorità
41
42. Il consenso
Il trattamento dei dati può essere effettuato solo se
l’interessato ha manifestato il suo consenso, che
deve essere:
a) espresso
b) scritto
c) specifico
d) libero
e) informato
f) relativo ad un intero trattamento o ad una o più
operazioni dello stesso
42
43. I casi di esclusione del consenso
Il consenso non è comunque necessario, per quanto qui
interessa, quanto il trattamento:
a) È necessario per adempiere ad un obbligo normativo (es.
comunicazione alla PA dei dati del dipendente in caso di
multa con company car);
b) È necessario per adempiere ad un obbligo contrattuale del
quale è parte l’interessato o per adempiere a richieste
dell’interessato in fase precontrattuale;
c) Riguarda dati provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da chiunque;
43
44. I casi di esclusione del consenso
d) Riguarda dati relativi allo svolgimento di
attività economiche;
e) È necessario per finalità difensiva (con
esclusione della diffusione);
f) È effettuato da associazioni o enti senza
scopo di lucro relativamente ai dati degli
associati;
g) È necessario per finalità di ricerca scientifica
o statistica.
44
45. Art. 24, comma 1, lettera i-ter
Esclusione dell’obbligo di richiedere il consenso
all’interessato nello specifico caso di “comunicazione”
(non di “diffusione”) di dati (di qualsiasi interessato) tra
società, enti o associazioni con società controllanti,
controllate o collegate ai sensi dell'articolo 2359 c.c.
ovvero con società sottoposte a comune controllo,
nonché tra consorzi, reti di imprese e raggruppamenti e
A.T.I. con i soggetti ad essi aderenti debitamente
informati di tali finalità con l'informativa di cui all'articolo
13
45
46. Il trattamento dei dati sensibili
Il trattamento dei dati sensibili può essere effettuato solo
1. Con il consenso dell’interessato salvo che:
Il trattamento riguardi dati trattati da enti senza scopo
di lucro relativamente ai dati dei propri associati;
Il trattamento sia effettuato per ragioni di salute;
Il trattamento sia effettuato per finalità di difesa in
giudizio;
Il trattamento sia necessario per adempiere ad obbligo
normativi per la gestione del contratto di lavoro.
1. Con l’autorizzazione del Garante per la protezione dei dati
personali (spesso per mezzo delle autorizzazioni generali,
per intere categorie di soggetti).
46
47. Il trattamento
dei dati personali per finalità
promozionali e commerciali
I dati personali possono essere trattati per finalità commerciali solo
con il consenso dell’interessato. Pertanto, i dati dei clienti non
possono essere utilizzati per finalità promozionali senza che gli stessi
abbiano espresso il loro consenso (regole su telemarketing)
L’informativa, in tal caso, può essere allegata o unita alla
comunicazione promozionale.
L’unico caso in cui è possibile procedere senza il consenso è quello
in cui i dati sono stati raccolti da elenchi, atti o documenti conoscibili
da chiunque (social network?). In tal caso, tuttavia, resta comunque
obbligatorio inviare all’interessato l’informativa di cui all’art. 13 all’atto
della registrazione dei dati o della prima comunicazione.
47
48. Acquisizione del consenso
via internet
Forma scritta?
Sufficiente il click?
Garante Privacy, Provv. 15 luglio 2010
(Casa.it)
Il consenso per finalità promozionali non
può essere condizione per l’erogazione
del servizio
48
49. Cookies – Art. 5(3) Dir. 136
“Gli Stati membri assicurano che l’archiviazione di
informazioni oppure l’accesso a informazioni già
archiviate nell’apparecchiatura terminale di un
abbonato o di un utente sia consentito unicamente a
condizione che l’abbonato o l’utente in questione
abbia espresso preliminarmente il proprio consenso,
dopo essere stato informato in modo chiaro e
completo […] tra l’altro sugli scopi del trattamento”.
Da opt-out ad opt-in
49
50. Modalità per il consenso
Il consenso – come precisato dal Gruppo
Articolo 29, che raccoglie i Garanti europei –
non può essere presunto, né successivo.
Il consenso prestato copre, però, anche i
successivi utilizzi, per cui non è richiesta una
nuova manifestazione di volontà da parte
dell’utente per ogni singolo collegamento.
Riconfermato periodicamente?
50
52. I diritti di accesso
Rispetto al trattamento dei suoi dati, l’interessato ha il
diritto:
a) di ottenere la conferma o meno di dati personali che
lo riguardano;
b) di conoscere l’origine dei dati personali;
c) di conoscere le finalità e le modalità del trattamento;
d) relativamente ai trattamenti automatizzati, di
conoscere la logica applicato agli stessi;
e) di conoscere gli estremi identificativi del titolare e dei
responsabili;
f) di conoscere gli estremi dei soggetti o delle categorie
di soggetti ai quali i dati possono essere comunicati;
52
53. I diritti di intervento
L’interessato ha inoltre il diritto di ottenere:
a) L’aggiornamento, la rettificazione ovvero, qualora vi
abbia interessa, l’integrazione dei dati;
b) La cancellazione, la trasformazione in forma
anonima o il blocco dei dati trattati in violazione di
legge;
c) L’attestazione che le predette operazioni sono state
portate a conoscenza dei soggetti ai quali i dati
erano stati comunicati (salvo che tale adempimento
si riveli impossibile o eccessivamente gravoso).
53
54. I diritti di opposizione
L’interessato ha inoltre il diritto:
a) di opporsi alla prosecuzione del trattamento (o
di una parte di esso) effettuato per fini
promozionali;
b) di opporsi, per motivi legittimi, alla prosecuzione
del trattamento (o di una parte di esso), anche
qualora i dati trattati siano conformi alle finalità
della raccolta.
54
55. Modalità per l’esercizio dei diritti
I diritti di cui all’art. 7 possono essere fatti valere
dall’interessato, il quale può delegare terzi (persone fisiche o
associazioni) o, nel caso in cui sia deceduto, da chiunque vi
abbia interesse, senza particolari formalità (anche oralmente).
Devono essere esercitati mediante richiesta, anche verbale,
rivolta al titolare, al responsabile o a un incaricato.
Non possono essere esercitati solo nel caso in cui ciò
potrebbe pregiudicare l’esercizio dei propri diritti dinanzi
l’autorità giudiziaria.
Con esclusione della rettificazione o l’integrazione, possono
essere esercitati anche su dati di tipo valutativo (ad es.,
valutazione dei concessionari).
55
56. Modalità per il riscontro
all’interessato
Ricevuta la richiesta, il titolare (o chi per esso) deve
darvi riscontro:
a) anche oralmente, salvo che l’istante abbia richiesto
espressamente la forma scritta. In tal caso il
riscontro può essere dato anche mediante
estrazione copia dei documenti nei quali sono
contenuti i dati (salvo l’oscuramento di quelli relativi
a terzi);
b) con riferimento a tutti i dati trattati, salvo che la
richiesta fosse limitata a particolari trattamenti;
56
57. Modalità per il riscontro
all’interessato
c) gratuitamente, salvo che non sia confermata
l’esistenza di dati. In tal caso il titolare può
chiedere il rimborso spese, nei limiti stabiliti dal
Garante;
Il riscontro deve comunque avvenire entro 15
giorni. Entro tale termine, per giustificato motivo, il
titolare o il responsabile possono darne
comunicazione all’interessato e il termine è
prorogato di ulteriori 15 giorni.
In caso di mancato riscontro, è molto probabile
che l’interessato ricorra al Garante.
57
58. Le misure a garanzia dei diritti
dell’interessato e l’organizzazione
aziendale
Il Codice obbliga il titolare del
trattamento a:
a) agevolare l’accesso ai dati anche
tramite appositi software;
b) semplificare le modalità di accesso;
c) ridurre i tempi di accesso.
58
59. Le misure a garanzia dei diritti
dell’interessato e l’organizzazione
aziendale
Il titolare non può:
a) subordinare l’accesso all’indicazione di codici
identificativi;
b) chiedere all’interessato di specificare in quale
trattamento sono contenuti i dati ai quali
chiede di accedere;
c) chiedere le motivazioni sottese all’interpello,
salvo che nei casi espressamente previsti
dalla legge.
59
60. Diritto all’oblio
Il Regolamento introduce il diritto all’oblio: si tratta
della formalizzazione del diritto di cancellazione nel
caso in cui venga meno la necessità di conservare i
dati personali.
Cessione a terzi dei dati personali: l’obbligo per il
responsabile di adottare “tutte le misure ragionevoli,
anche tecniche, in relazione ai dati della cui
pubblicazione è responsabile, per informare i terzi
che stanno trattando tali dati della richiesta
dell’interessato di cancellare qualsiasi link, copia o
riproduzione dei suoi dati personali”.
60
62. DPR 7 settembre 2010, n. 178
Istituisce il Registro delle opposizioni, presso
Fondazione Bordoni
L’operatore che intenda utilizzare gli elenchi
pubblici deve iscriversi al Registro delle
opposizioni
Comunicare la lista degli abbonati i cui dati
intendono utilizzare
62
63. Registro
Il Registro cancella i nominativi dei
soggetti che hanno chiesto di non essere
contattati
La lista – depurata dai nominativi iscritti –
è messa a disposizione dell’operatore
entro 24 ore
15 gg. di validità
63
64. Abbonato
qualunque persona fisica, persona
giuridica, ente o associazione parte di
un contratto con un fornitore di servizi
telefonici accessibili al pubblico per la
fornitura di tali servizi, o destinatario di tali
servizi anche tramite schede prepagate, la
cui numerazione sia comunque inserita
negli elenchi
64
65. Operatore
qualunque soggetto, persona fisica o
giuridica, che, in qualità di titolare, intenda
effettuare il trattamento dei dati per fini di
invio di materiale pubblicitario o di vendita
diretta o per il compimento di ricerche di
mercato o di comunicazione commerciale,
mediante l'impiego del telefono
65
66. Ambito di applicazione
Trattamenti per mezzo del telefono
È escluso il marketing via fax/e-mail/sms/senza
operatore (dischi preregistrati)
Invio di materiale pubblicitario
Vendita diretta
Compimento di ricerche di mercato
Comunicazione commerciale
66
67. Prerequisito
Numero presente in elenchi pubblici
È possibile utilizzare per finalità di
marketing i dati personali, pur presenti
negli elenchi e iscritti al Registro delle
opposizioni, se raccolti in altra maniera
(es. campagne pubblicitarie)
Sanzioni da 10 a 120 mila euro
67
68. Garante, 29 settembre 2011
Vietato utilizzare per scopi promozionali i
dati personali di iscritti negli albi
professionali se il promotore non
acquisisce il consenso dell'interessato o
se non presenta offerte attinenti l'attività
svolta dal professionista contattato.
68
69. Decreto sviluppo
Il comma 6 dell’art. 6 estende anche agli indirizzi
postali il regime dell’opt-out
gli operatori di marketing diretto possono utilizzare
anche gli indirizzi degli abbonati contenuti
nell’elenco telefonico per finalità promozionali
senza bisogno di chiedere il consenso, alla sola
condizione che questi ultimi non abbiano richiesto
l’iscrizione del proprio numero telefonico e del
proprio indirizzo presso il registro delle opposizioni
69
70. Garante - 15 giugno 2011
“Titolarità del trattamento di dati personali
in capo ai soggetti che si avvalgono di
agenti per attività promozionali”
Società che effettuano in outsourcing
l’attività di marketing per conto di altre
società
70
71. Prassi corretta
Nominare “responsabili del trattamento le
agenzie che, operando in outsourcing, si
occupano, appunto, della promozione e
della commercializzazione di prodotti e
servizi per conto della società avviando, a
tal fine, mirati contatti commerciali nei
confronti di potenziali clienti”.
71
72. Prassi errata
gli agenti in questione agiscono in qualità di
titolari autonomi rivendicando la propria
estraneità rispetto ad eventuali illeciti (quali, ad
esempio, contatti promozionali indesiderati
avviati nei confronti di titolari di utenze
telefoniche che abbiano curato la propria
iscrizione nel Registro delle opposizioni;
trasmissione, in assenza del consenso informato
dell'interessato, di messaggi a carattere
pubblicitario via telefax etc.)”
72
73. Garante
database localizzati al di fuori del territorio
italiano, utilizzo di un apparato di rete (fax
gateway) collocato nei confini nazionali
applicazione dell’art. 5 del Codice
strumenti per il trattamento nel territorio
italiano
73
74. Garante, 2 marzo 2011
Il Garante ha vietato il trattamento dei dati
personali effettuato da Travel Factory s.r.l
tramite l'invio di fax promozionali
Nel caso di specie era carente un'inidonea
informativa ed un consenso specifico,
espresso e documentato degli interessati
ex art. 130 del Codice.
74
75. Garante, 5 maggio 2011
L’Autorità ha vietato il trattamento di dati
personali posto in essere da Digitaldox.it s.r.l.,
con riferimento all'invio da parte della medesima
di comunicazioni promozionali con modalità
automatizzate quali sms ed e-mail o effettuate
tramite telefax
I dati tratti dal suo data base, senza aver fornito
l'informativa di cui all'art. 13 del Codice ed aver
acquisito il necessario consenso di cui all'art.
130 del Codice.
75
76. Direttiva 2009/136/CE
Solo con il consenso preventivo del destinatario.
Posta elettronica: è necessario “che ai clienti sia
offerta in modo chiaro e distinto la possibilità di
opporsi, gratuitamente e in maniera agevole, all’uso
di tali coordinate elettroniche al momento della
raccolta delle coordinate e in occasione di ogni
messaggio, qualora il cliente non abbia rifiutato
inizialmente tale uso”.
Non è ammesso l’invio di comunicazione “occulte”
76
78. Statuto dei lavoratori
art. 4 della l. 20.05.70 n. 300:
Vieta impianti audiovisivi e altre apparecchiature
con finalità di controllo a distanza dell'attività
lavorativa (comma 1)
Disciplina le modalità di adozione di impianti ed
apparecchiature di controllo che siano richiesti
da esigenze organizzative e produttive o dalla
sicurezza del lavoro, dai quali può derivare la
possibilità di controllo (comma 2)
78
79. Cass. Civ., sez. lavoro, 23
febbraio 2012, n. 2722.
il licenziamento è stato fondato su una
prova raccolta controllando la posta
elettronica di Tizia in assenza di previo
accordo con le r.s.a. e/o autorizzazione
del servizio ispettivo della Direzione
provinciale del lavoro
violazione di art. 4 Statuto dei lavoratori,
art. 8 CEDU e art. 114 Codice privacy
79
80. Controllo ex post del datore
Licenziamento dovuto alla disclosure di
informazioni riservate
Il controllo “prescindeva dalla pura e
semplice sorveglianza sull’esecuzione
della prestazione”, essendo, invece,
“diretto ad accertare la perpetrazione di
eventuali comportamenti illeciti (poi
effettivamente riscontrati)”.
80
81. Utilizzo dei dati
Art. 160, comma 6 Codice
Licenziamenti avvenuti sulla base di dati
acquisiti illecitamente
Garante rimette al Giudice del lavoro la
cognizione della controversia
81
82. Natura del controllo
“esatto adempimento delle obbligazioni”
discendenti dal rapporto di lavoro
è “destinato ad accertare un
comportamento che poneva in pericolo la
stessa immagine dell’istituto presso terzi”.
82
83. Videosorveglianza
le telecamere non posizionate
“dove sono collocati i cartellini di presenza dei
dipendenti e gli orologi marcatempo”
aree interne nelle quali sono effettuate le
prestazioni lavorative
accessi ai luoghi di lavoro o degli ascensori
anche riprese non continuative
non sufficienti i cartelli se c’è violazione
83
84. Garante, 14 aprile 2011
È sempre necessario “uno specifico
accordo con le rappresentanze sindacali
aziendali riguardo all'installazione ed al
funzionamento del sistema di
videosorveglianza” o un’autorizzazione
della Direzione Provinciale del Lavoro.
84
85. Cautele
Apparati di ripresa digitali connessi a reti
informatiche, protetti contro accesso abusivo di cui
all'art.615-ter c.p.)
Applicazione tecniche crittografiche che
garantiscano la riservatezza della trasmissione delle
immagini daapparati di videosorveglinza o punti di
ripresa dotati di connessioni wireless(tecnologie wi-
fi, wi-max, Gprs)
85
86. Sistemi di geolocalizzazione
In astratto leciti
Possibile raccogliere i dati sulla posizione
del veicolo
Non giri del motore e frenata
Indicano la tipologia di guidata
86
87. Accessi con biometria (10.6.11)
Predisporre un sistema di verifica con confronto
tra il template delle impronte rilevate ad ogni
accesso alle aree riservate destinate alla
custodia dei valori e alla contazione, e quello
memorizzato sui dispositivi di lettura
Non memorizzare dati personali riferiti ai
lavoratori in relazione agli accessi effettuati a
dette aree;
Rendere l'informativa completa
87
88. Internet e e-mail
Informativa su eventuali siti vietati (es. social
network) o possibilità di effettuare pagamenti
con fatturazione privata
Log delle connessioni e tempo di
conservazione
Utilizzo per finalità private della posta
elettronica
Indirizzi e-mail condivisi (es. info@societa.it)
88
89. Assenze o malattie
Individuare soggetti (es. responsabile)
Deposito delle password
Consentire accessi per finalità di legge o
obblighi contrattuali
Cancellazione delle e-mail personali in
caso di cessazione del rapporto di lavoro
89
90. Banche e accesso ai dati
(Provv. 12.5.11)
il codice identificativo del dipendente
la data e l'ora di esecuzione
il codice della postazione di lavoro
utilizzata
il codice del cliente ed il tipo di rapporto
contrattuale "consultato" (numero del
conto corrente, fido, mutuo, deposito titoli)
90
91. Ulteriori obblighi per le banche
I file di log di tracciamento delle
operazioni, comprese quelle di semplice
consultazione, conservati per 24 mesi
Le banche, inoltre, dovranno prevedere
l'attivazione di alert che individuino
comportamenti anomali o a rischio
Comunicazione al cliente
Comunicazione al Garante
91
93. Le tipologie di misure di
sicurezza
Misure adeguate di sicurezza: sono le misure di
sicurezza determinabili in base al progresso
tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento che devono tendere
a ridurre al minimo i rischi di:
a) distruzione dei dati
b) perdita dei dati;
c) accesso non autorizzato ai dati;
d) trattamento non consentito dei dati;
e) trattamento non conforme alle finalità della
raccolta.
93
94. Misure minime di sicurezza:
trattamenti automatizzati
Sono espressamente individuate e devono essere
attuate nei modi previsti dall’Allegato B del Codice:
a) autenticazione informatica;
b) adozione di procedura di gestione credenziali
di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione
dell’ambito del trattamento consentito;
94
95. Misure minime di sicurezza:
trattamenti automatizzati
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti, accessi non
consentiti e a determinati software;
f) adozione di procedure di custodia di copie di
sicurezza, il ripristino della disponibilità dei dati e
dei sistemi;
g) tenuta di un Documento Programmatico sulla
Sicurezza dei Dati (DPS), da aggiornarsi
annualmente entro il 31 marzo.
95
96. Misure minime di sicurezza:
trattamenti non automatizzati
Sono espressamente individuate e devono essere
attuate nei modi previsti dall’Allegato B del Codice:
a) aggiornamento periodico dell’individuazione
dell’ambito del trattamento consentito;
b) previsione di procedura per un’idonea custodia di
atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato
e disciplina delle modalità di accesso finalizzata
all’identificazione degli incaricati.
96
98. Abrogazione del DPS
il d.l. 9 febbraio 2012, n. 5 ha soppresso
in particolare dagli adempimenti in materia
di misure minime di sicurezza proprio il
Documento Programmatico per la
Sicurezza (DPS)
Occorre attendere la conversione in legge
Cosa fare se la conversione non
interviene prima del 31 marzo?
98
99. Analisi dei rischi
Furto di risorse
Intercettazione dati in rete
Furto di credenziali di autenticazione
Accessi fisici non autorizzati
Cancellazione di dati
Virus / Spyware
Incendi o cadute di tensione elettrica
Eventi naturali o socio-politici
99
100. Salvataggio dati
Criticità Alta: i salvataggi dei dati ad alta criticità
vengono eseguiti con frequenza quotidiana,
settimanale e mensile.
Criticità Media: i salvataggi dei dati relativi a questa
criticità vengono eseguiti con frequenza settimanale
e mensile.
Criticità Bassa: i salvataggi dei dati relativi a
questa criticità vengono eseguiti con frequenza
mensile salvo diversa indicazione dell’owner dei dati
.
100
101. Custodia e accessibilità dei dati
Accesso
alla rete LAN
alla posta elettronica
a particolari server aziendali
Disattivazione delle credenziali
101
102. Sicurezza
Antivirus utilizzati
Patch critiche e aggiornamento periodico
dei sistemi
Firewall e IDP (sistema rilevamento
intrusioni)
Controllo degli accessi fisici
102
103. Ripristino dati
Disaster Recovery
Test periodici di sicurezza
Memorizzazione dei dati su supporti
esterni
Custodia dei supporti magnetici
103
104. Piani di formazione
Interventi formativi degli incaricati, per renderli edotti
dei rischi che incombono sui dati, delle misure
disponibili per prevenire eventi dannosi, dei profili
della disciplina sulla protezione dei dati personali più
rilevanti in rapporto alle relative attività, delle
responsabilità
La formazione è programmata già al momento
dell’ingresso in servizio, nonché in occasione di
cambiamenti di mansioni, o di introduzione di nuovi
significativi strumenti, rilevanti rispetto al
Trattamento di dati personali
104
105. Trattamenti effettuati all’esterno
Descrizione dei criteri da adottare per
garantire l'adozione delle misure minime
di sicurezza in caso di trattamenti di dati
personali affidati, in conformità al codice,
all’esterno della struttura del titolare
Indicazione dei soggetti che effettuano
trattamenti dati: es. commercialisti,
avvocati, società di marketing, ecc.
105
106. Sanzioni
Da 10.000 a 120.000 euro
Più violazioni da 50.000 a 300.000 euro
Omissione: arresto con pena detentiva
sino a due anni
106
107. Amministratore di sistema
Figure professionali addette alla gestione e
manutenzione di un impianto di elaborazione
Attività: backup/recovery, organizzazione flussi di rete,
gestione dei supporti di memorizzazione e la
manutenzione hardware
Designato previa valutazione dell'esperienza, della
capacità e dell'affidabilità
Designazione individuale con elencazione analitica degli
ambiti di operatività consentiti in base al profilo di
autorizzazione assegnato
107
108. Obblighi connessi all’AdS
Estremi identificativi ed elenco delle funzioni conservate
in un documento interno da mantenere aggiornato
Attività soggetta a verifica almeno annuale da parte del
titolare o del responsabile
Registrazione degli accessi logici (autenticazione
informatica) ai sistemi di elaborazione e agli archivi
elettronici
Nel caso di servizi di AdS affidati in outsourcing, il titolare
o il responsabile esterno devono conservare gli estremi
identificativi degli amministratori di sistema
108
110. Cosa sono i rifiuti elettronici?
Decreto RAEE il 1º settembre 2007 (DM
185/2007)
apparecchiature che dipendono per un corretto
funzionamento da correnti elettriche o da campi
elettromagnetici [...] progettate per essere usate
con una tensione non superiore a 1.000 volt per la
corrente alternata e a 1.500 volt per la corrente
continua
Es. computer, stampanti, fotocopiatrici, ma anche
lampade, fari e telecamere di controllo
110
112. Diritti dell’interessato
accedere ai dati che lo riguardano,
ottenerne l’aggiornamento, la rettificazione o
l’integrazione, la cancellazione, la trasformazione in
forma anonima o il blocco, se trattati in violazione di
legge,
opporsi al trattamento effettuato a fini promozionali,
pubblicitari o commerciali oppure in presenza di
motivi legittimi
Non è prevista una forma particolare per la
presentazione dell’istanza (fax, email, racc., ecc.)
112
113. Riscontro all’istanza
15 giorni dal suo ricevimento;
30 giorni, se le operazioni necessarie per
un integrale riscontro sono di particolare
complessità, ovvero ricorre altro
giustificato motivo. In tal caso, il titolare o il
responsabile devono comunque darne
comunicazione all’interessato entro i
predetti 15 giorni
113
114. Ricorso all’AG o al Garante
L’interessato può presentare subito l’istanza,
direttamente all’autorità giudiziaria o, con
ricorso, al Garante (senza cioè rivolgersi
previamente al titolare, o al responsabile, se
designato), solo nei casi in cui il decorso dei
termini sopraindicati lo esporrebbe ad un
pregiudizio imminente ed irreparabile che deve
risultare comprovato.
114
116. Segnalazione
Se non è possibile presentare un reclamo
Il Garante può intervenire per controllare
l’applicazione della disciplina rilevante in
materia di protezione dei dati personali
Anche in carta libera e non sono previste
spese (bolli, ecc.)
116
117. Reclamo
Elementi necessari
fatti e delle circostanze su cui si fonda
disposizioni che si presumono violate
misure richieste
estremi identificativi del titolare, del
responsabile, ove conosciuto, e
dell'istante
117
118. Reclamo
sottoscritto dagli interessati, o da associazioni
che li rappresentano
privo di particolari formalità
allegare la documentazione utile al fini della sua
valutazione
la procura
recapito per l'invio di comunicazioni anche
tramite posta elettronica, telefax o telefono
prova del pagamento dei diritti di segreteria
118
120. Le sanzioni amministrative
Omessa o inidonea informativa: nei casi più gravi da 5
mila a 30 mila euro, aumentabili sino al triplo.
Cessione illecita di dati: da 5 mila a 30 mila euro.
Omessa o incompleta notificazione: da 10 mila a 60 mila
euro.
Omessa informazione o esibizione al Garante: da 4 mila
a 24 mila euro.
Dette violazioni comportano altresì la pubblicazione del
provvedimento di accertamento su uno o più giornali.
120
121. Le sanzioni penali
Trattamento illecito di dati: reclusione da 6 a 18 mesi o,
se riguarda la divulgazione dei dati, da 6 a 24 mesi e, nei
casi più gravi, da 1 a 3 anni.
Falsità in notificazione o dichiarazioni al Garante: da 6
mesi a 3 anni.
Omessa adozione di misure di sicurezza: arresto fino a 2
anni o ammenda da 10 mila a 60 mila euro.
Inosservanza provvedimenti Garante: reclusione da 3
mesi a 2 anni.
Detti reati comportano altresì la pubblicazione della
sentenza su uno o più giornali.
121