Axioma privacy 29.2.12

461
-1

Published on

Presentazione su Privacy, regolamento comunitario e novità (aggiornato al 29.2.2012)

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
461
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Axioma privacy 29.2.12

  1. 1. IMPRESE E PRIVACY: MODIFICHE LEGISLATIVE E ANALISI DEI PIÙ RECENTI PROVVEDIMENTI DEL GARANTE Roma, 29 febbraio 2012 1
  2. 2. Il codice della privacy Il Codice della Privacy è stato adottato con il Decreto Legislativo 30 giugno 2003 n.196 e regola il trattamento dei dati personali Il Codice ha sostituito la legge 675/96 2
  3. 3. Direttiva 2009/136/CE modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori 3
  4. 4. Recepimento La legge 15 dicembre 2011, n. 217, pubblicata in Gazz. Uff. del 2 gennaio 2012, contiene, all’art. 9, una delega al Governo affinché adotti, entro tre mesi dalla data di entrata in vigore della legge stessa, un decreto legislativo di recepimento della direttiva 4
  5. 5. Regolamento Proposta di Regolamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati 5
  6. 6. Garante Diminuito il numero dei ricorsi, reclami, segnalazioni e quesiti Diminuite le istanze di accesso Diminuito il numero delle ispezioni Diminuite le sanzioni (3 ml di euro) 6
  7. 7. Applicabilità del Codice Art. 5: a chiunque è stabilito nel territorio dello Stato Il Codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente allUnione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato 7
  8. 8. Nozione di stabilimento Anche “tramite un semplice ufficio, gestito da persone dipendenti dall’impresa” (Corte di Giustizia: Reinhard Gebhard) Ovvero per mezzo dell’azione di un semplice agente (Corte di Giustizia: Daily Mail) Caso Vividown c. Google Problema del cloud computing 8
  9. 9. Proposta di Regolamento Il luogo di stabilimento coincide con quello “in cui sono prese le principali decisioni sulle finalità, le condizioni e i mezzi del trattamento dei dati personali” Non si tratta di un criterio di individuazione giuridico (es. la sede sociale) né fisico (es. luogo dove si trovano materialmente i dati personali) 9
  10. 10. Prop. Regolamento – Extra UE Se le decisioni non sono adottate nell’UE, lo stabilimento coincide col “luogo in cui sono condotte le principali attività di trattamento nell’ambito delle attività di uno stabilimento di un responsabile del trattamento nell’Unione” Nessuna novità significativa per quanto riguarda i gruppi di imprese 10
  11. 11. Principi fondamentali nel Codice della Privacy Il trattamento dei dati personali si fonda su cinque principi fondamentali: a) correttezza e pertinenza (art. 11) b) notificazione (art. 37) c) informativa (art. 13) d) consenso dell’interessato (art. 23); e) diritti dell’interessato (art. 7) 11
  12. 12. Definizioni. Trattamento Qualunque operazione o complesso di operazioni, effettuati anche senza lausilio di strumenti elettronici, concernenti la raccolta, la registrazione, lorganizzazione, la conservazione, la consultazione, lelaborazione, la modificazione, la selezione, lestrazione, il raffronto, lutilizzo, linterconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. 12
  13. 13. Modalità di trattamentoI dati devono essere: trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; conservati in una forma che consenta lidentificazione dellinteressato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 13
  14. 14. Definizioni. Dato personale/ dato sensibile Dato personale è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Dato sensibile è quel dato idoneo a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale 14
  15. 15. Garante 19.6.2008 Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili “Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti)”. 15
  16. 16. Art. 34 comma 1-ter Ai fini dellapplicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali alladempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e allapplicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. 16
  17. 17. D.L. 13 maggio 2011, n. 70 Conv. dalla legge 12 luglio 2011, n. 106 “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nellambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite allarticolo 34, comma 1-ter, non e soggetto allapplicazione del presente codice” Nozione di abbonato? 17
  18. 18. I soggetti 18
  19. 19. Correttezza e pertinenza del trattamento L’art. 11 del Codice, prima di ogni altra prescrizione, impone al titolare di trattare i dati: a) in modo lecito e secondo correttezza; b) per scopi determinati, espliciti e legittimi c) in altre operazioni solo per ragioni compatibili con gli scopi originari; d) esatti e, se necessario, aggiornati; e) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e successivamente trattati; f) in forma identificativa solo per il tempo necessario per il perseguimento dei predetti scopi (es. videosorveglianza). I dati trattati in violazione di tali prescrizioni non possono essere utilizzati e il titolare è obbligato al risarcimento dei danni eventuali subiti dall’interessato. 19
  20. 20. Il titolare del trattamento È il soggetto cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati Se il trattamento è effettuato da una persona giuridica, titolare del trattamento è titolare del trattamento è lentità nel suo complesso o lunità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento (es. società italiana di un gruppo di società) 20
  21. 21. Il responsabile del trattamento Il responsabile del trattamento è la persona fisica o giuridica preposta dal titolare al trattamento: a) scelto tra soggetti competenti; b) designato in forma scritta; c) con predeterminazione analitica dei compiti Il titolare può nominare anche più responsabili, anche con suddivisioni dei compiti (e/o dei trattamenti: ad es., responsabile dei trattamenti dei dati relativi al rapporto di lavoro, responsabile delle misure di sicurezza, etc.). Può essere anche un soggetto esterno rispetto alla struttura imprenditoriale 21
  22. 22. Responsabile della protezionedei dati Bozza Regolamento comunitario obbligatorio per tutte le imprese che abbiano almeno 250 dipendenti soggetto dotato di specifiche qualifiche professionali, inclusa la conoscenza specialistica della normativa designato per un periodo minimo di due anni, rinnovabile il suo nome e le sue coordinate di contatto devono essere comunicati al pubblico 22
  23. 23. L’incaricato del trattamento Affinché dipendenti e/o collaboratori possano procedere al trattamento, è necessario nominarli incaricati del trattamento (art. 30): a) La nomina deve provenire dal titolare o dal responsabile b) La nomina deve essere formalizzata per iscritto e deve predeterminare l’ambito del trattamento consentito 23
  24. 24. L’incaricato del trattamento La nomina dell’incaricato non amplia la sfera delle mansioni assegnate al dipendente ma si limita a conferirgli il potere di svolgere le operazione di trattamento dei dati. Non deve quindi essere oggetto di alcuna contrattazione. L’incaricato deve agire sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 24
  25. 25. Cloud Computing 25
  26. 26. Tre figure Private cloud: data center, la proprietà dei server è dell’impresa Public cloud: la proprietà dei server è di un soggetto esterno Hybrid cloud 26
  27. 27. Indicazioni del Garante Scegliere servizi affidabili Preferibili soluzioni che consentano un salvataggio dei dati in remoto (procedure di back up) Analizzare responsabilità nelle condizioni generali di contratto Tempo di conservazione dei dati Obblighi formativi per i dipendenti 27
  28. 28. Problemi Legge applicabile Nomina di responsabili o titolari autonomi? Informativa/consenso 28
  29. 29. NotificazioneArt. 37 del Codice 29
  30. 30. L’obbligo di notificazione Legge 675/96 (art. 7): il titolare era obbligato alla notificazione di tutti i trattamenti di dati effettuati, salvo quelli espressamente esclusi. Codice (art. 37): il titolare è obbligato alla notificazione dei soli trattamenti espressamente individuati dalla Legge. 30
  31. 31. I trattamenti da notificare L’art. 37 del Codice obbliga il titolare alla notificazione solo se il trattamento riguarda: a) dati genetici o biometrici; b) dati relativi all’ubicazione geografica; c) dati sanitari o sessuali trattati per talune ragioni sanitarie; d) dati sanitari o psichici trattati da associazioni o enti senza scopo di lucro; 31
  32. 32. L’obbligo di notificazionee) dati trattati con strumenti automatizzati per definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire servizi agli utenti;f) dati sensibili registrati in banche di dati per finalità di selezione del personale (es. curriculum vitae ed appartenenza dei candidati a categorie protette);g) dati sensibili utilizzati per sondaggi di opinione e simili;h) dati registrati in banche di dati relative al rischio sulla solvibilità economica, alla situazione patrimoniale (es. dealers) ecc. 32
  33. 33. Regolamento - Profilazione L’art. 20 del Regolamento, se confrontato con la legislazione italiana vigente, amplia le ipotesi di profilazione Sono inclusi, per esempio, il rendimento professionale, l’affidabilità ed il comportamento del soggetto interessato. 33
  34. 34. Informativa e il consenso Artt. 13 e 23 del Codice 34
  35. 35. L’obbligo di fornire l’informativa Il titolare (o chi agisce per esso), prima di raccogliere i dati, deve fornire alla persona che li fornisce le seguenti informazioni: a) Finalità e modalità del trattamento; b) Natura del conferimento dei dati (obbligatoria o facoltativa); c) I soggetti o le categorie di soggetti (ad es., Concessionari della Rete) ai quali i dati possono essere comunicati (compresi eventuali responsabili o incaricati); 35
  36. 36. L’obbligo di fornire l’informativa d) L’ambito di diffusione dei dati (ad es., pubblicazione su sito internet); e) I diritti di cui all’art. 7; f) Gli estremi identificativi del titolare; g) Gli estremi identificativi del responsabile e, se sono nominati più responsabili, almeno di uno (preferibilmente quello al quale è affidato il compito di gestire i diritti di cui all’art. 7), con espressa indicazione delle modalità attraverso le quali è agevolmente ed effettivamente conoscibile la lista di tutti i responsabili. 36
  37. 37. Le modalità L’informativa deve essere fornita alla persona dalla quale si raccolgono i dati, che non necessariamente è l’interessato (es. ordini di lavoro). Qualora tale soggetto sia una persona diversa, l’informativa deve essere resa anche all’interessato al momento della registrazione dei dati o al momento della prima comunicazione (ad es., mediante invio postale). In tal caso l’informativa all’interessato potrebbe essere omessa solo se i dati sono trattati per obblighi normativi, qualora siano trattati per finalità di difesa in giudizio oppure nel caso in cui il Garante, per particolari ragioni, lo autorizzi espressamente. 37
  38. 38. Curriculum L’informativa non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f) 38
  39. 39. Questionario per selezione Garante, 21 luglio 2011 Dichiarato illecito il trattamento effettuato dallAler con il questionario somministrato ai candidati che partecipavano alla selezione per il reclutamento di un dirigente tecnico Le domande ivi contenute riguardavano aspetti anche intimi della sfera personale/affettiva/sessuale dei candidati 39
  40. 40. Le sanzioni L’omessa informativa comporta, nei casi più gravi, l’irrogazione di una sanzione amministrativa da 5.000,00 a 30.000,00 euro, aumentabili sino al triplo a seconda delle condizioni economiche del titolare. 40
  41. 41. Proposta di regolamento indicare anche: il periodo per il quale i dati personali saranno conservati il diritto di proporre reclamo all’autorità di controllo il modo per contattare detta autorità 41
  42. 42. Il consenso Il trattamento dei dati può essere effettuato solo se l’interessato ha manifestato il suo consenso, che deve essere: a) espresso b) scritto c) specifico d) libero e) informato f) relativo ad un intero trattamento o ad una o più operazioni dello stesso 42
  43. 43. I casi di esclusione del consenso Il consenso non è comunque necessario, per quanto qui interessa, quanto il trattamento: a) È necessario per adempiere ad un obbligo normativo (es. comunicazione alla PA dei dati del dipendente in caso di multa con company car); b) È necessario per adempiere ad un obbligo contrattuale del quale è parte l’interessato o per adempiere a richieste dell’interessato in fase precontrattuale; c) Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; 43
  44. 44. I casi di esclusione del consensod) Riguarda dati relativi allo svolgimento di attività economiche;e) È necessario per finalità difensiva (con esclusione della diffusione);f) È effettuato da associazioni o enti senza scopo di lucro relativamente ai dati degli associati;g) È necessario per finalità di ricerca scientifica o statistica. 44
  45. 45. Art. 24, comma 1, lettera i-ter Esclusione dell’obbligo di richiedere il consenso all’interessato nello specifico caso di “comunicazione” (non di “diffusione”) di dati (di qualsiasi interessato) tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dellarticolo 2359 c.c. ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e A.T.I. con i soggetti ad essi aderenti debitamente informati di tali finalità con linformativa di cui allarticolo 13 45
  46. 46. Il trattamento dei dati sensibili Il trattamento dei dati sensibili può essere effettuato solo1. Con il consenso dell’interessato salvo che:  Il trattamento riguardi dati trattati da enti senza scopo di lucro relativamente ai dati dei propri associati;  Il trattamento sia effettuato per ragioni di salute;  Il trattamento sia effettuato per finalità di difesa in giudizio;  Il trattamento sia necessario per adempiere ad obbligo normativi per la gestione del contratto di lavoro.1. Con l’autorizzazione del Garante per la protezione dei dati personali (spesso per mezzo delle autorizzazioni generali, per intere categorie di soggetti). 46
  47. 47. Il trattamento dei dati personali per finalità promozionali e commerciali I dati personali possono essere trattati per finalità commerciali solo con il consenso dell’interessato. Pertanto, i dati dei clienti non possono essere utilizzati per finalità promozionali senza che gli stessi abbiano espresso il loro consenso (regole su telemarketing) L’informativa, in tal caso, può essere allegata o unita alla comunicazione promozionale. L’unico caso in cui è possibile procedere senza il consenso è quello in cui i dati sono stati raccolti da elenchi, atti o documenti conoscibili da chiunque (social network?). In tal caso, tuttavia, resta comunque obbligatorio inviare all’interessato l’informativa di cui all’art. 13 all’atto della registrazione dei dati o della prima comunicazione. 47
  48. 48. Acquisizione del consensovia internet Forma scritta? Sufficiente il click? Garante Privacy, Provv. 15 luglio 2010 (Casa.it) Il consenso per finalità promozionali non può essere condizione per l’erogazione del servizio 48
  49. 49. Cookies – Art. 5(3) Dir. 136 “Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo […] tra l’altro sugli scopi del trattamento”. Da opt-out ad opt-in 49
  50. 50. Modalità per il consenso Il consenso – come precisato dal Gruppo Articolo 29, che raccoglie i Garanti europei – non può essere presunto, né successivo. Il consenso prestato copre, però, anche i successivi utilizzi, per cui non è richiesta una nuova manifestazione di volontà da parte dell’utente per ogni singolo collegamento. Riconfermato periodicamente? 50
  51. 51. Diritti dell’interessato Art. 7 del Codice 51
  52. 52. I diritti di accesso Rispetto al trattamento dei suoi dati, l’interessato ha il diritto: a) di ottenere la conferma o meno di dati personali che lo riguardano; b) di conoscere l’origine dei dati personali; c) di conoscere le finalità e le modalità del trattamento; d) relativamente ai trattamenti automatizzati, di conoscere la logica applicato agli stessi; e) di conoscere gli estremi identificativi del titolare e dei responsabili; f) di conoscere gli estremi dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati; 52
  53. 53. I diritti di intervento L’interessato ha inoltre il diritto di ottenere: a) L’aggiornamento, la rettificazione ovvero, qualora vi abbia interessa, l’integrazione dei dati; b) La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; c) L’attestazione che le predette operazioni sono state portate a conoscenza dei soggetti ai quali i dati erano stati comunicati (salvo che tale adempimento si riveli impossibile o eccessivamente gravoso). 53
  54. 54. I diritti di opposizione L’interessato ha inoltre il diritto: a) di opporsi alla prosecuzione del trattamento (o di una parte di esso) effettuato per fini promozionali; b) di opporsi, per motivi legittimi, alla prosecuzione del trattamento (o di una parte di esso), anche qualora i dati trattati siano conformi alle finalità della raccolta. 54
  55. 55. Modalità per l’esercizio dei diritti I diritti di cui all’art. 7 possono essere fatti valere dall’interessato, il quale può delegare terzi (persone fisiche o associazioni) o, nel caso in cui sia deceduto, da chiunque vi abbia interesse, senza particolari formalità (anche oralmente). Devono essere esercitati mediante richiesta, anche verbale, rivolta al titolare, al responsabile o a un incaricato. Non possono essere esercitati solo nel caso in cui ciò potrebbe pregiudicare l’esercizio dei propri diritti dinanzi l’autorità giudiziaria. Con esclusione della rettificazione o l’integrazione, possono essere esercitati anche su dati di tipo valutativo (ad es., valutazione dei concessionari). 55
  56. 56. Modalità per il riscontro all’interessato Ricevuta la richiesta, il titolare (o chi per esso) deve darvi riscontro: a) anche oralmente, salvo che l’istante abbia richiesto espressamente la forma scritta. In tal caso il riscontro può essere dato anche mediante estrazione copia dei documenti nei quali sono contenuti i dati (salvo l’oscuramento di quelli relativi a terzi); b) con riferimento a tutti i dati trattati, salvo che la richiesta fosse limitata a particolari trattamenti; 56
  57. 57. Modalità per il riscontro all’interessato c) gratuitamente, salvo che non sia confermata l’esistenza di dati. In tal caso il titolare può chiedere il rimborso spese, nei limiti stabiliti dal Garante; Il riscontro deve comunque avvenire entro 15 giorni. Entro tale termine, per giustificato motivo, il titolare o il responsabile possono darne comunicazione all’interessato e il termine è prorogato di ulteriori 15 giorni. In caso di mancato riscontro, è molto probabile che l’interessato ricorra al Garante. 57
  58. 58. Le misure a garanzia dei diritti dell’interessato e l’organizzazione aziendale Il Codice obbliga il titolare del trattamento a: a) agevolare l’accesso ai dati anche tramite appositi software; b) semplificare le modalità di accesso; c) ridurre i tempi di accesso. 58
  59. 59. Le misure a garanzia dei diritti dell’interessato e l’organizzazione aziendale Il titolare non può: a) subordinare l’accesso all’indicazione di codici identificativi; b) chiedere all’interessato di specificare in quale trattamento sono contenuti i dati ai quali chiede di accedere; c) chiedere le motivazioni sottese all’interpello, salvo che nei casi espressamente previsti dalla legge. 59
  60. 60. Diritto all’oblio Il Regolamento introduce il diritto all’oblio: si tratta della formalizzazione del diritto di cancellazione nel caso in cui venga meno la necessità di conservare i dati personali. Cessione a terzi dei dati personali: l’obbligo per il responsabile di adottare “tutte le misure ragionevoli, anche tecniche, in relazione ai dati della cui pubblicazione è responsabile, per informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali”. 60
  61. 61. Marketing 61
  62. 62. DPR 7 settembre 2010, n. 178 Istituisce il Registro delle opposizioni, presso Fondazione Bordoni L’operatore che intenda utilizzare gli elenchi pubblici deve iscriversi al Registro delle opposizioni Comunicare la lista degli abbonati i cui dati intendono utilizzare 62
  63. 63. Registro Il Registro cancella i nominativi dei soggetti che hanno chiesto di non essere contattati La lista – depurata dai nominativi iscritti – è messa a disposizione dell’operatore entro 24 ore 15 gg. di validità 63
  64. 64. Abbonato qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi telefonici accessibili al pubblico per la fornitura di tali servizi, o destinatario di tali servizi anche tramite schede prepagate, la cui numerazione sia comunque inserita negli elenchi 64
  65. 65. Operatore qualunque soggetto, persona fisica o giuridica, che, in qualità di titolare, intenda effettuare il trattamento dei dati per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante limpiego del telefono 65
  66. 66. Ambito di applicazione Trattamenti per mezzo del telefono È escluso il marketing via fax/e-mail/sms/senza operatore (dischi preregistrati) Invio di materiale pubblicitario Vendita diretta Compimento di ricerche di mercato Comunicazione commerciale 66
  67. 67. Prerequisito Numero presente in elenchi pubblici È possibile utilizzare per finalità di marketing i dati personali, pur presenti negli elenchi e iscritti al Registro delle opposizioni, se raccolti in altra maniera (es. campagne pubblicitarie) Sanzioni da 10 a 120 mila euro 67
  68. 68. Garante, 29 settembre 2011 Vietato utilizzare per scopi promozionali i dati personali di iscritti negli albi professionali se il promotore non acquisisce il consenso dellinteressato o se non presenta offerte attinenti lattività svolta dal professionista contattato. 68
  69. 69. Decreto sviluppo Il comma 6 dell’art. 6 estende anche agli indirizzi postali il regime dell’opt-out gli operatori di marketing diretto possono utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso, alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni 69
  70. 70. Garante - 15 giugno 2011 “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali” Società che effettuano in outsourcing l’attività di marketing per conto di altre società 70
  71. 71. Prassi corretta Nominare “responsabili del trattamento le agenzie che, operando in outsourcing, si occupano, appunto, della promozione e della commercializzazione di prodotti e servizi per conto della società avviando, a tal fine, mirati contatti commerciali nei confronti di potenziali clienti”. 71
  72. 72. Prassi errata gli agenti in questione agiscono in qualità di titolari autonomi rivendicando la propria estraneità rispetto ad eventuali illeciti (quali, ad esempio, contatti promozionali indesiderati avviati nei confronti di titolari di utenze telefoniche che abbiano curato la propria iscrizione nel Registro delle opposizioni; trasmissione, in assenza del consenso informato dellinteressato, di messaggi a carattere pubblicitario via telefax etc.)” 72
  73. 73. Garante database localizzati al di fuori del territorio italiano, utilizzo di un apparato di rete (fax gateway) collocato nei confini nazionali applicazione dell’art. 5 del Codice strumenti per il trattamento nel territorio italiano 73
  74. 74. Garante, 2 marzo 2011 Il Garante ha vietato il trattamento dei dati personali effettuato da Travel Factory s.r.l tramite linvio di fax promozionali Nel caso di specie era carente uninidonea informativa ed un consenso specifico, espresso e documentato degli interessati ex art. 130 del Codice. 74
  75. 75. Garante, 5 maggio 2011 L’Autorità ha vietato il trattamento di dati personali posto in essere da Digitaldox.it s.r.l., con riferimento allinvio da parte della medesima di comunicazioni promozionali con modalità automatizzate quali sms ed e-mail o effettuate tramite telefax I dati tratti dal suo data base, senza aver fornito linformativa di cui allart. 13 del Codice ed aver acquisito il necessario consenso di cui allart. 130 del Codice. 75
  76. 76. Direttiva 2009/136/CE Solo con il consenso preventivo del destinatario. Posta elettronica: è necessario “che ai clienti sia offerta in modo chiaro e distinto la possibilità di opporsi, gratuitamente e in maniera agevole, all’uso di tali coordinate elettroniche al momento della raccolta delle coordinate e in occasione di ogni messaggio, qualora il cliente non abbia rifiutato inizialmente tale uso”. Non è ammesso l’invio di comunicazione “occulte” 76
  77. 77. Rapporti di lavoro 77
  78. 78. Statuto dei lavoratori art. 4 della l. 20.05.70 n. 300: Vieta impianti audiovisivi e altre apparecchiature con finalità di controllo a distanza dellattività lavorativa (comma 1) Disciplina le modalità di adozione di impianti ed apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive o dalla sicurezza del lavoro, dai quali può derivare la possibilità di controllo (comma 2) 78
  79. 79. Cass. Civ., sez. lavoro, 23febbraio 2012, n. 2722. il licenziamento è stato fondato su una prova raccolta controllando la posta elettronica di Tizia in assenza di previo accordo con le r.s.a. e/o autorizzazione del servizio ispettivo della Direzione provinciale del lavoro violazione di art. 4 Statuto dei lavoratori, art. 8 CEDU e art. 114 Codice privacy 79
  80. 80. Controllo ex post del datore Licenziamento dovuto alla disclosure di informazioni riservate Il controllo “prescindeva dalla pura e semplice sorveglianza sull’esecuzione della prestazione”, essendo, invece, “diretto ad accertare la perpetrazione di eventuali comportamenti illeciti (poi effettivamente riscontrati)”. 80
  81. 81. Utilizzo dei dati Art. 160, comma 6 Codice Licenziamenti avvenuti sulla base di dati acquisiti illecitamente Garante rimette al Giudice del lavoro la cognizione della controversia 81
  82. 82. Natura del controllo “esatto adempimento delle obbligazioni” discendenti dal rapporto di lavoro è “destinato ad accertare un comportamento che poneva in pericolo la stessa immagine dell’istituto presso terzi”. 82
  83. 83. Videosorveglianza le telecamere non posizionate “dove sono collocati i cartellini di presenza dei dipendenti e gli orologi marcatempo” aree interne nelle quali sono effettuate le prestazioni lavorative accessi ai luoghi di lavoro o degli ascensori anche riprese non continuative non sufficienti i cartelli se c’è violazione 83
  84. 84. Garante, 14 aprile 2011 È sempre necessario “uno specifico accordo con le rappresentanze sindacali aziendali riguardo allinstallazione ed al funzionamento del sistema di videosorveglianza” o un’autorizzazione della Direzione Provinciale del Lavoro. 84
  85. 85. Cautele Apparati di ripresa digitali connessi a reti informatiche, protetti contro accesso abusivo di cui allart.615-ter c.p.) Applicazione tecniche crittografiche che garantiscano la riservatezza della trasmissione delle immagini daapparati di videosorveglinza o punti di ripresa dotati di connessioni wireless(tecnologie wi- fi, wi-max, Gprs) 85
  86. 86. Sistemi di geolocalizzazione In astratto leciti Possibile raccogliere i dati sulla posizione del veicolo Non giri del motore e frenata Indicano la tipologia di guidata 86
  87. 87. Accessi con biometria (10.6.11) Predisporre un sistema di verifica con confronto tra il template delle impronte rilevate ad ogni accesso alle aree riservate destinate alla custodia dei valori e alla contazione, e quello memorizzato sui dispositivi di lettura Non memorizzare dati personali riferiti ai lavoratori in relazione agli accessi effettuati a dette aree; Rendere linformativa completa 87
  88. 88. Internet e e-mail Informativa su eventuali siti vietati (es. social network) o possibilità di effettuare pagamenti con fatturazione privata Log delle connessioni e tempo di conservazione Utilizzo per finalità private della posta elettronica Indirizzi e-mail condivisi (es. info@societa.it) 88
  89. 89. Assenze o malattie Individuare soggetti (es. responsabile) Deposito delle password Consentire accessi per finalità di legge o obblighi contrattuali Cancellazione delle e-mail personali in caso di cessazione del rapporto di lavoro 89
  90. 90. Banche e accesso ai dati(Provv. 12.5.11) il codice identificativo del dipendente la data e lora di esecuzione il codice della postazione di lavoro utilizzata il codice del cliente ed il tipo di rapporto contrattuale "consultato" (numero del conto corrente, fido, mutuo, deposito titoli) 90
  91. 91. Ulteriori obblighi per le banche I file di log di tracciamento delle operazioni, comprese quelle di semplice consultazione, conservati per 24 mesi Le banche, inoltre, dovranno prevedere lattivazione di alert che individuino comportamenti anomali o a rischio Comunicazione al cliente Comunicazione al Garante 91
  92. 92. Misure di sicurezza Art. 31 del Codice 92
  93. 93. Le tipologie di misure di sicurezza Misure adeguate di sicurezza: sono le misure di sicurezza determinabili in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento che devono tendere a ridurre al minimo i rischi di: a) distruzione dei dati b) perdita dei dati; c) accesso non autorizzato ai dati; d) trattamento non consentito dei dati; e) trattamento non conforme alle finalità della raccolta. 93
  94. 94. Misure minime di sicurezza: trattamenti automatizzati Sono espressamente individuate e devono essere attuate nei modi previsti dall’Allegato B del Codice: a) autenticazione informatica; b) adozione di procedura di gestione credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito; 94
  95. 95. Misure minime di sicurezza: trattamenti automatizzati e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a determinati software; f) adozione di procedure di custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un Documento Programmatico sulla Sicurezza dei Dati (DPS), da aggiornarsi annualmente entro il 31 marzo. 95
  96. 96. Misure minime di sicurezza: trattamenti non automatizzati Sono espressamente individuate e devono essere attuate nei modi previsti dall’Allegato B del Codice: a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito; b) previsione di procedura per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati. 96
  97. 97. DPS 97
  98. 98. Abrogazione del DPS il d.l. 9 febbraio 2012, n. 5 ha soppresso in particolare dagli adempimenti in materia di misure minime di sicurezza proprio il Documento Programmatico per la Sicurezza (DPS) Occorre attendere la conversione in legge Cosa fare se la conversione non interviene prima del 31 marzo? 98
  99. 99. Analisi dei rischi Furto di risorse Intercettazione dati in rete Furto di credenziali di autenticazione Accessi fisici non autorizzati Cancellazione di dati Virus / Spyware Incendi o cadute di tensione elettrica Eventi naturali o socio-politici 99
  100. 100. Salvataggio dati Criticità Alta: i salvataggi dei dati ad alta criticità vengono eseguiti con frequenza quotidiana, settimanale e mensile. Criticità Media: i salvataggi dei dati relativi a questa criticità vengono eseguiti con frequenza settimanale e mensile. Criticità Bassa: i salvataggi dei dati relativi a questa criticità vengono eseguiti con frequenza mensile salvo diversa indicazione dell’owner dei dati . 100
  101. 101. Custodia e accessibilità dei dati Accesso alla rete LAN alla posta elettronica a particolari server aziendali Disattivazione delle credenziali 101
  102. 102. Sicurezza Antivirus utilizzati Patch critiche e aggiornamento periodico dei sistemi Firewall e IDP (sistema rilevamento intrusioni) Controllo degli accessi fisici 102
  103. 103. Ripristino dati Disaster Recovery Test periodici di sicurezza Memorizzazione dei dati su supporti esterni Custodia dei supporti magnetici 103
  104. 104. Piani di formazione Interventi formativi degli incaricati, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al Trattamento di dati personali 104
  105. 105. Trattamenti effettuati all’esterno Descrizione dei criteri da adottare per garantire ladozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare Indicazione dei soggetti che effettuano trattamenti dati: es. commercialisti, avvocati, società di marketing, ecc. 105
  106. 106. Sanzioni Da 10.000 a 120.000 euro Più violazioni da 50.000 a 300.000 euro Omissione: arresto con pena detentiva sino a due anni 106
  107. 107. Amministratore di sistema Figure professionali addette alla gestione e manutenzione di un impianto di elaborazione Attività: backup/recovery, organizzazione flussi di rete, gestione dei supporti di memorizzazione e la manutenzione hardware Designato previa valutazione dellesperienza, della capacità e dellaffidabilità Designazione individuale con elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato 107
  108. 108. Obblighi connessi all’AdS Estremi identificativi ed elenco delle funzioni conservate in un documento interno da mantenere aggiornato Attività soggetta a verifica almeno annuale da parte del titolare o del responsabile Registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici Nel caso di servizi di AdS affidati in outsourcing, il titolare o il responsabile esterno devono conservare gli estremi identificativi degli amministratori di sistema 108
  109. 109. Smaltimento rifiuti elettronici 109
  110. 110. Cosa sono i rifiuti elettronici? Decreto RAEE il 1º settembre 2007 (DM 185/2007) apparecchiature che dipendono per un corretto funzionamento da correnti elettriche o da campi elettromagnetici [...] progettate per essere usate con una tensione non superiore a 1.000 volt per la corrente alternata e a 1.500 volt per la corrente continua Es. computer, stampanti, fotocopiatrici, ma anche lampade, fari e telecamere di controllo 110
  111. 111. Contenzioso innanzi al Garante 111
  112. 112. Diritti dell’interessato accedere ai dati che lo riguardano, ottenerne l’aggiornamento, la rettificazione o l’integrazione, la cancellazione, la trasformazione in forma anonima o il blocco, se trattati in violazione di legge, opporsi al trattamento effettuato a fini promozionali, pubblicitari o commerciali oppure in presenza di motivi legittimi Non è prevista una forma particolare per la presentazione dell’istanza (fax, email, racc., ecc.) 112
  113. 113. Riscontro all’istanza 15 giorni dal suo ricevimento; 30 giorni, se le operazioni necessarie per un integrale riscontro sono di particolare complessità, ovvero ricorre altro giustificato motivo. In tal caso, il titolare o il responsabile devono comunque darne comunicazione all’interessato entro i predetti 15 giorni 113
  114. 114. Ricorso all’AG o al Garante L’interessato può presentare subito l’istanza, direttamente all’autorità giudiziaria o, con ricorso, al Garante (senza cioè rivolgersi previamente al titolare, o al responsabile, se designato), solo nei casi in cui il decorso dei termini sopraindicati lo esporrebbe ad un pregiudizio imminente ed irreparabile che deve risultare comprovato. 114
  115. 115. Tutela innanzi al Garante segnalazione reclamo circostanziato ricorso 115
  116. 116. Segnalazione Se non è possibile presentare un reclamo Il Garante può intervenire per controllare l’applicazione della disciplina rilevante in materia di protezione dei dati personali Anche in carta libera e non sono previste spese (bolli, ecc.) 116
  117. 117. ReclamoElementi necessari fatti e delle circostanze su cui si fonda disposizioni che si presumono violate misure richieste estremi identificativi del titolare, del responsabile, ove conosciuto, e dellistante 117
  118. 118. Reclamo sottoscritto dagli interessati, o da associazioni che li rappresentano privo di particolari formalità allegare la documentazione utile al fini della sua valutazione la procura recapito per linvio di comunicazioni anche tramite posta elettronica, telefax o telefono prova del pagamento dei diritti di segreteria 118
  119. 119. SanzioniArtt. 161 ss. del Codice 119
  120. 120. Le sanzioni amministrative Omessa o inidonea informativa: nei casi più gravi da 5 mila a 30 mila euro, aumentabili sino al triplo. Cessione illecita di dati: da 5 mila a 30 mila euro. Omessa o incompleta notificazione: da 10 mila a 60 mila euro. Omessa informazione o esibizione al Garante: da 4 mila a 24 mila euro. Dette violazioni comportano altresì la pubblicazione del provvedimento di accertamento su uno o più giornali. 120
  121. 121. Le sanzioni penali Trattamento illecito di dati: reclusione da 6 a 18 mesi o, se riguarda la divulgazione dei dati, da 6 a 24 mesi e, nei casi più gravi, da 1 a 3 anni. Falsità in notificazione o dichiarazioni al Garante: da 6 mesi a 3 anni. Omessa adozione di misure di sicurezza: arresto fino a 2 anni o ammenda da 10 mila a 60 mila euro. Inosservanza provvedimenti Garante: reclusione da 3 mesi a 2 anni. Detti reati comportano altresì la pubblicazione della sentenza su uno o più giornali. 121
  122. 122.  GRAZIE ED ARRIVEDERCI 122
  123. 123. Scorza Riccio & Partners Via dei Barbieri, 6 – 00186 Roma Tel. +39-06.87750524 Fax +39 0692931778www.e-lex.it – www.sr-partners.it info@sr-partners.it 123

×