Il 27 gennaio 2012, su proposta del Ministro per la pubblica amministrazione e semplificazione, il Consiglio ha esaminato e approvato un decreto-legge in materia di semplificazione e sviluppo.
Con particolare riferimento al tema della PRIVACY, è stato eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS)
Alcune novità in tema di privacy.
Nella riunione del 5 maggio 2011 il Consiglio dei MInistri ha approvato il Decreto-Legge c.d. “Sviluppo”.
All’art. 6 del suddetto Decreto si legge che, “per ridurre gli oneri derivanti dalla normativa vigente e gravanti in particolare sulle piccole e medie imprese [...] in corretta applicazione della normativa europea, le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese“.
In particolare, il co. 2 della richiamata disposizione del Decreto interviene sull’art. 5 del Codice Privacy (D.Lgs. 196/2003), introducendo un comma 3 bis, secondo il quale “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”.
Informative e/o richieste di consenso non sembrerebbero dunque più necessarie se si trattano dati personali relativi a persone giuridiche, esclusivamente per questioni amministrativo-contabili, nel senso chiarito dalla nuova norma. Secondo il Decreto, i “trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”
Altra novità riguarda il DPS. Infatti per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione.
E’ evidente che il nostro legislatore sta attuando una semplificazione, ma cosa ne pensa il Garante della Privacy?
Il diritto alla privacy dei lavoratori non è assoluto ma deve essere bilanciato con la possibilità per le imprese di tutelare i propri diritti nell’ambito di eventuali procedimenti penali.
Questo il chiarimento fornito dal Garante in occasione di una decisione sul ricorso posto in essere da un dipendente che chiedeva all’ex datore di lavoro di cancellare alcune cartelle personali presenti in un PC portatile restituito dopo il licenziamento. In suddette cartelle personali erano infatti presenti e-mail, fotografie e altri documenti di esclusiva valenza personale.
Tuttavia nel corso dell’istruttoria la società ha rilevato che proprio all’interno di quella cartella personale potevano essere presenti prove della concorrenza sleale posta in essere dal dipendente assieme ad altri colleghi. Intento dell’azienda era quello di mettere a disposizione l’hard disk del PC portatile, senza apportare alcuna alterazione, dell’Autorità Giudiziaria al fine di far valere i propri diritti.
Il Garante non ha accolto la richiesta del dipendente di far cancellare e ha i dati e ha deciso di inibire alla società l’accesso alle cartelle personali, poichè il trattamento di dati estranei all’attività lavorativa violerebbe i principi di pertinenza e non eccedenza stabiliti dal Codice della Privacy. Autorità ha tuttavia riconosciuto all’azienda il diritto di conservare i file del dipendente al fine di poterli presentare come prova nell’ambito di un procedimento penale. Va però rilevato che l’acquisizione di tali dati dovrò essere oggetto di precisa disposizione del giudice.
Clicca qui per leggere il provvedimento del Garante.
Il Garante della Privacy ha più volte ribadito il principio secondo cui, a prescindere da dove vengano estratti i recapiti, chiunque invii messaggi promozionali mediante sistemi automatizzati (fax, e-mail, sms, mms), è sempre obbligato a raccogliere preventivamente il consenso specifico ed informato dei destinatari. Il mancato rispetto del divieto comporta le sanzioni amministrative e penali previste dal Codice privacy.
C’è da chiedersi però cosa accada nel caso in cui, ad esempio, ad un evento fieristico, un soggetto lasci il proprio biglietto da visita ad un’azienda. Può in questo caso suddetta azienda ritenersi legittimata ad inserire la mail del soggetto nel proprio database e ad inviare allo stesso materiale promozionale pubblicitario? Non sembra esserci una espressa previsione normativa che contempli il caso in questione. Va tuttavia rilevato che il Garante richiede da parte del destinatario un consenso specifico e informato. Di conseguenza si dovrebbe ritenere che nel momento in cui viene consegnato il biglietto, l’azienda dovrebbe informare, anche oralmente, il soggetto, cui il biglietto da visita si riferisce, circa la possibilità dell’invio del materiale pubblicitario e il destinatario dovrebbe prestare il proprio consenso in maniera specifica alla ricezione dello stesso. Nella prassi risulta tuttavia poco credibile che i fatti si possano svolgere in questo modo. Come ci si dovrebbe comportare dunque in questo caso? A parere dello scrivente, l’azienda, una volta ricevuto il biglietto da visita, prima di inserire i dati nel proprio database e inviare in maniera automatica materiale pubblicitario, dovrebbe preventivamente richiedere il consenso via email (o anche telefonicamente) all’invio del materiale promozionale. Inviare automaticamente messaggi promozionali senza aver prima interpellato il destinatario potrebbe rivelarsi alquanto rischioso… Non si può dare per certo che il semplice fatto di consegnare un biglietto da visita sia da interpretare come un consenso all’invio di pubblicità.
Con Provvedimento del 7 ottobre 2010, il Garante della Privacy ha inibito il trattamento dei dati effettuato da una società altoatesina che raccoglieva dati sui propri dipendenti tramite l’installazione di impianti GPS su alcune auto aziendali. L’Autorità è intervenuta a seguito della segnalazione da parte di alcuni lavoratori che si lamentavano di essere controllati mentre si recavano presso clienti per attività di assistenza regolarmente programmate. Il sistema GPS installato dalla società permetteva infatti di fornire informazioni circa i percorsi seguiti, le eventuali soste effettuate e la velocità degli spostamenti dei dipendenti.
L’art. 4 dello Statuto dei Lavoratori consente l’installazione di apparecchiature che possano comportare il controllo a distanza dei dipendenti solo previo accordo dei sindacati o con autorizzazione della Direzione Provinciale del Lavoro. Nel caso di specie, dall’Istruttoria è emerso che tali procedure non erano state rispettate. Per tale motivo il Garante ha disposto il blocco di ogni ulteriore trattamento dei dati personali riferiti ai lavoratori effettuato tramite suddetti strumenti GPS.
Va inoltre ricordato inoltre che, anche nell’ipotesi in cui esista un accordo sindacale o l’autorizzazione della DPL, le società sono tenute in ogni caso a notificare al Garante il trattamento dei dati personali raccolti con tali sistemi e a individuare specifici incaricati del trattamento legittimati ad accedere alle informazioni acquisite.
Documentazione legale scaricata dal web
Capita spesso di recarsi in aziende per fare un check-up legale sulla gestione della privacy e di scoprire (con rammarico) che questo delicato ambito viene troppo spesso affrontato con estrema superficialità.
Una delle cose più comuni che avviene nella realtà aziendale attuale, infatti, è quella dello scaricamento da Internet di “modelli” o “formulari” della documentazione legale richiesta dalla normativa sulla Privacy (D. Lgs 196/2003). Ci si riferisce ad esempio alle informative privacy per i clienti/fornitori/dipendenti o ai DPS (Documenti Programmatici sulla sicurezza)…
Questi modelli vengono scaricati dalle aziende e modificati sommariamente, spesso senza alcuna cognizione di causa. Il risultato è che la situazione descritta nelle informative (o DPS) non rispecchia assolutamente la realtà e il rischio è che l’azienda possa essere sanzionata pesantemente dal Garante per aver affrontato con leggerezza queste tematiche, che in realtà richiedono particolare attenzione e non devono essere assolutamente sottovalutate.
Ad esempio, ci è capitato di leggere nelle informative sulla privacy rivolte ai clienti che i loro dati personali possono essere trasferiti dall’aziende all’estero, senza indicare però dove (all’interno dell’UE o al di fuori?) e per quale finalità. E’ certamente possibile comunicare i dati anche all’estero, ma non è sufficiente solo l’informativa. E’ necessaria della specifica documentazione legale che permetta il trasferimento dei dati personali all’estero ma, quasi sempre, l’azienda non ha provveduto a redigerla, né tanto meno era a conoscenza della necessità della stessa.
Non necessariamente il materiale che si trova in Internet è “fatto male” ma bisogna prestare molta attenzione. Tutta la documentazione legale necessita sempre di una PERSONALIZZAZIONE svolta da soggetti dotati di specifica competenza.
A fronte della sempre più diffusa “criminalità d’impresa”, il D. Lgs 231/2001 ha introdotto la responsabilità c.d. amministrativa dell’ente, prevedendo ben oltre 90 fattispecie di reati.
La lista dei reati compresi nel Decreto, inizialmente focalizzata sui rapporti con la P.A., copre ora potenzialmente tutte le aree di attività dell’impresa. Si riportano qui di seguito gli aggiornamenti normativi introdotti a partire dal 2008.
Aggiornamenti normativi al D. Lgs 231/2001 introdotti nel 2010
I nuovi reati presupposto introdotti nel 2009
1) reati previsti dall’art. 24-ter – Delitti di criminalità organizzata
[Articolo aggiunto dalla L. 15 luglio 2009, n. 94, art. 2, co. 29]
2) reati previsti dall’art. 25-bis – Reati di falso nummario
[Articolo aggiunto dal D.L. 25 settembre 2001 n. 350, art. 6, D.L. convertito con modificazioni dalla legge n. 409 del 23/11/2001; modificato dalla legge n. 99 del 23/07/09]
3) reati previsti dall’art. 25-bis.1 - Delitti contro l’industria e il commercio
[Articolo aggiunto dalla legge n. 99 del 23/07/09]
4) reati previsti dall’art. 25 nonies – Delitti in materia di violazioni del diritto d’autore
[Articolo aggiunto dalla legge n. 99 del 23/07/09]
5) reati previsti dall’art. 25 novies – Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria
[Articolo aggiunto dalla L. 3 agosto 2009 n. 116, art. 4]
Nuovi reati presupposto introdotti nel 2008
1) reati previsti dall’art. 24-bis – Delitti informatici e trattamento illecito di dati
[Articolo aggiunto dalla L. 18 marzo 2008 n. 48, art. 7]
Il Garante della Privacy ancora una volta ribadisce quali sono le regole contro lo spamming. Infatti a seguito di segnalazione di privati cittadini, imprese ed enti, l’Autorità è intervenuta vietando l’ulteriore trattamento di dati personali a 4 società che inviavano pubblicità tramite fax o e-mail senza aver acquisito il consenso preventivo e specifico dei destinatari.
Alcune di queste società infatti spedivano sistematicamente fax promozionali credendo di poter disporre liberamente dei dati, estratti da elenchi categorici (Pagine Gialle, Pagine Utili, ecc.) o pubblici (ad es. banche dati delle Camere di commercio, albi professionali, ecc.).
Il Garante riafferma così il principio che, a prescindere da dove vengano estratti i recapiti, chiunque invii messaggi promozionali mediante sistemi automatizzati (fax, e-mail, sms, mms), è sempre obbligato a raccogliere preventivamente il consenso specifico ed informato dei destinatari.
Il mancato rispetto del divieto, ha ricordato il Garante, comporta le sanzioni amministrative e penali previste dal Codice privacy. Per il risarcimento di eventuali profili di danno le vittime dello spam possono comunque far valere i propri diritti in sede civile.
Links ai provvedimenti del garante:
doc. web n. 1719901, 1719891, 1727662 e 1729175
Come tutelare la propria privacy nell’era di Facebook, Myspace e co.? In che modo è possibile difendere la propria reputazione, l’ambiente di lavoro, gli amici, la famiglia, da spiacevoli inconvenienti che possono essere causati da un uso incauto o non appropriato di questi potenti strumenti offerti dai social networks?
A queste domande il Garante per la privacy dà delle risposte attraverso una guida, una sorta di vademecum, sia per dummies che per esperti, pensata per aiutare chi intende entrare in un social network, o chi ne fa già parte, a usare in maniera consapevole uno strumento così innovativo.
Scarica qui la guida.
