Avv. Stefano Corsini




                                    Privacy e Sicurezza
                             Trattamento ...
Dato giudiziario



              I dati personali idonei a rivelare :
             provvedimenti iscritti nel casellario ...
Alcuni esempi di dati sensibili trattati in azienda



                                                       fruizione di...
DEFINIZIONE di titolare


        La      persona         fisica,     la    persona        giuridica,       la      pubbli...
RESPONSABILE
                 è designato dal titolare (in piena libertà)
                 Il responsabile deve offrire ga...
Destinatari del Provvedimento
        Piccole e medie imprese, liberi professionisti e artigiani.


        Oggetto del Pr...
SEMPLIFICAZIONI: Informativa

         Iniziale informativa “breve”, anche orale con le informazioni
         essenziali d...
CONSENSO


                  i privati e gli enti pubblici economici possono trattare i dati
                  personali s...
DATI SENSIBILI NEL RAPPORTO DI LAVORO


             Sì Informativa
             No Consenso
            quando il trattam...
Art. 130: comunicazioni indesiderate



         È ammesso invece da parte di venditori di prodotti o
         servizi, l’...
Trasferimento verso paesi terzi (extra U.E.)

            Nello svolgimento dell'attività di impresa può risultare necessa...
Upcoming SlideShare
Loading in...5
×

Trattamento dei dati personali in azienda. Quali semplificazioni? Avv. Corsini

2,493

Published on

Slide dell'avv. Stefano Corsini nell'ambito del seminario "Le recenti Semplificazioni degli adempimenti Privacy in azienda", svoltosi l'11 dicembre 2008 presso La Fondazione La Fornace di Asolo.

Published in: Business, Career, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,493
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
68
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Trattamento dei dati personali in azienda. Quali semplificazioni? Avv. Corsini

  1. 1. Avv. Stefano Corsini Privacy e Sicurezza Trattamento dei dati personali in azienda. Quali semplificazioni? Asolo - 11 dicembre 2008 Associazione Culturale per lo studio del Diritto In collaborazione con Treviso Tecnologia Avv. Stefano Corsini Rev. 07 - 12/08 Dato personale Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche mediante indirettamente, riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Anche: suoni, immagini, numeri di telefono, targhe automobilistiche, ecc. Dati sensibili I dati personali idonei a rivelare: Appartenenza per nascita l'origine razziale ed etnica; e discendenza ad un popolo o razza le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche; l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale; garanzia costituzionale i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Elenco tassativo Avv. Stefano Corsini
  2. 2. Dato giudiziario I dati personali idonei a rivelare : provvedimenti iscritti nel casellario giudiziale, provvedimenti iscritti nell’anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, la qualità di imputato o di indagato Dati diversi da sensibili e giudiziari Dati per definizione né sensibili né giudiziari che possono presentare rischi specifici in relazione a: Natura dei dati; Modalità del trattamento; Effetti del trattamento; “Clausola di salvaguardia”!!! - prior checking - Art. 17 Alcuni esempi di dati personali trattati in azienda di dipendenti, di familiari di dipendenti (per l’erogazione delle agevolazioni fiscali), di collaboratori, consulenti, agenti e Dati identificativi rappresentanti società, enti, soci: nome, cognome, indirizzo, sede, data di nascita, tel., fax, e-mail, P. IVA, ecc. Dati relativi all’attività dati contabili, ordini, spedizioni, contratti, economica, commerciale, dati bancari, dati finanziari (redditi, finanziaria investimenti, mutui, ipoteche, ecc.). occupazione attuale e precedente, Dati relativi alla gestione retribuzioni, note di qualifica, ecc. del rapporto di lavoro Avv. Stefano Corsini
  3. 3. Alcuni esempi di dati sensibili trattati in azienda fruizione di permessi e festività Dati idonei a rivelare le convinzioni religiose o di servizi di mensa, religiose, filosofiche o di altro manifestazione dell’obiezione di genere coscienza esercizio di funzioni pubbliche o di incarichi politici per permessi o aspettative riconosciute dalla legge o dai contratti, organizzazione di Dati idonei a rivelare le opinioni iniziative pubbliche, attività o politiche, l’adesione a partiti, incarichi sindacali, trattenute per il sindacati, associazioni a carattere versamento delle quote sindacali o politico o sindacale delle quote di iscrizione ad organizzazioni politiche o sindacali nelle paghe, 8 per mille Alcuni esempi di dati sensibili trattati in azienda Dati sulle malattie anche professionali, invalidità, Dati idonei a rivelare lo infermità, infortunio, gravidanza, puerperio, stato di salute allattamento, esposizione a fattori di rischio, idoneità psico-fisica alla mansione specifica, appartenenza a categorie protette Hobbies, preferenze, appartenenza a categorie Curriculum vitae protette, etnia, razza, religione Log file di navigazione (vedi Provvedimento Tutti i tipi di dati sensibili Garante sull’utilizzo di internet e posta elettronica). Definizione di interessato La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali Anche un’azienda è titolare dei diritti previsti dal Codice privacy! Avv. Stefano Corsini
  4. 4. DEFINIZIONE di titolare La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine a: finalità; 1) modalità del trattamento di dati personali; 2) strumenti utilizzati; 3) profilo della sicurezza. 4) Quando il trattamento è effettuato da una persona giuridica, da una P.A. o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Parere del Garante: “Quando l’attività è svolta in forma societaria (…), il titolare è l’entità nel suo complesso”. INCARICATO E’ colui che effettua le operazioni sotto l’autorità del titolare o responsabile attenendosi alle istruzioni ricevute. E’ nominato con atto scritto anche tramite la preposizione a unità organizzativa che tratta dati (es. ufficio amministrazione, ufficio tecnico). Nell’atto di nomina va specificato l’ambito di trattamento consentito. (art. 4 - 30) Chi non è incaricato è considerato “terzo” rispetto al trattamento, e non può utilizzare o consultare i dati. Avv. Stefano Corsini
  5. 5. RESPONSABILE è designato dal titolare (in piena libertà) Il responsabile deve offrire garanzia di esperienza, capacità, affidabilità (culpa in eligendo) possono essere designati responsabili più soggetti tra cui poter suddividere i compiti i compiti devono essere analiticamente specificati per iscritto dal titolare il responsabile si attiene alle istruzioni del titolare, che vigila sulla loro osservanza (art. 4 - 29) I soggetti del Trattamento Titolare Responsabile Responsabile Esterno Incaricato Incaricato Incaricato Incaricato Incaricato Incaricato Interessato Interessato Interessato Interessato Interessato Interessato Provvedimenti del Garante per la semplificazione. 24 maggio 2007. “Guida pratica e misure di semplificazione per le piccole e medie imprese”. 19 giugno 2008. “Ulteriori semplificazioni per finalità amministrative e contabili”. 9 dicembre 2008. “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B”. “Semplificazione al modello per la notificazione al Garante”. Avv. Stefano Corsini
  6. 6. Destinatari del Provvedimento Piccole e medie imprese, liberi professionisti e artigiani. Oggetto del Provvedimento Il provvedimento riguarda in particolare l’informativa e il consenso, istituti basilari della disciplina sulla protezione dei dati personali. Ratio del Provvedimento Evitare le informative scritte quando è possibile assolvere l’obbligo oralmente, evitare l’uso di formule scritte in “burocratese”, evitare la richiesta del consenso quando non è obbligatorio. INFORMATIVA È fornita preventivamente e preferibilmente in forma scritta Ha forma chiara ed intelligibile e deve contenere: finalità e modalità trattamento obbligatorietà o facoltatività del conferimento conseguenze eventuale rifiuto soggetti cui i dati possono essere comunicati diritti dell’interessato (art. 7) estremi del titolare, responsabile, rappresentante (in Italia), responsabile del riscontro alle richieste ex art. 7 può non contenere elementi già noti alla persona o la cui conoscenza è di ostacolo alla sicurezza dello Stato, o per la prevenzione e repressione reati Se invece i dati personali non sono raccolti presso l’interessato, l’informativa è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. tranne quando i dati sono trattati in base ad un obbligo previsto dalla legge, 1. da un regolamento o dalla normativa comunitaria; i dati sono trattati ai fini dello svolgimento delle investigazioni 2. difensive o per far valere o difendere un diritto in sede giudiziaria. Avv. Stefano Corsini
  7. 7. SEMPLIFICAZIONI: Informativa Iniziale informativa “breve”, anche orale con le informazioni essenziali del trattamento (utilizzando ad es. gli spazi utili nel materiale cartaceo e nella corrispondenza impiegate normalmente per finalità amministrative e contabili ad es. fatture) Rimandare poi i dettagli ad un testo esaustivo contenuto altrove (ad es. il sito internet del titolare, bacheche, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). SEMPLIFICAZIONI: Informativa L’informativa potrà essere fornita anche attraverso dei modelli uniformi predisposti dalle associazioni rappresentative di categoria. E’ invece necessario fornire un'informativa ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge ad es. peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). Proposte Testo suggerito per l’informativa “breve”: Utilizziamo - anche tramite collaboratori esterni - i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su ...“. Avv. Stefano Corsini
  8. 8. CONSENSO i privati e gli enti pubblici economici possono trattare i dati personali solo con il consenso espresso dell’interessato il consenso può riguardare l’intero trattamento o una o più operazioni. il consenso deve essere espresso liberamente e deve essere specifico ESCLUSIONE DEL CONSENSO per i dati personali per adempimento - obbligo di legge o comunitario per dati provenienti da pubblici registri, elenchi conoscibili da tutti per lo svolgimento di attività economiche, nel rispetto delle norme che tutelano il segreto aziendale ed industriale è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; per salvaguardia della vita e dell’incolumità fisica di terzo o dell’interessato che non può dare il consenso (emergenza) rischio grave, imminente ed irreparabile per la salute dell’interessato per attività investigative (tutela del diritto) nei casi individuati dal Garante .... ESCLUSIONE DEL CONSENSO per i dati sensibili Per il trattamento dei dati sensibili di regola è necessario il consenso scritto, oltre l'autorizzazione del Garante. Il Garante ha rilasciato sette autorizzazioni generali che comprendono tutti i trattamenti abitualmente effettuati nell'ordinaria attività di impresa. Inoltre, per i dati sensibili il Codice non richiede il consenso dell'interessato se: il trattamento è necessario per svolgere le investigazioni difensive o per far valere o difendere in sede giudiziaria un diritto. il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge oppure da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza. Avv. Stefano Corsini
  9. 9. DATI SENSIBILI NEL RAPPORTO DI LAVORO Sì Informativa No Consenso quando il trattamento medesimo è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza SEMPLIFICAZIONI: Consenso Oltre alle ipotesi già previste dal D.Lgs. 196/2003 il Garante ha individuato un'ulteriore ipotesi nella quale il consenso non va richiesto: Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio ad un interessato nell’ambito dello svolgimento di ordinarie finalità amministrative e contabili, potrà utilizzare i recapiti di posta elettronica e cartacea forniti dall'interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale, purchè 1) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita. 2) sia consentito all'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità, di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, nonchè di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento. Art. 130: comunicazioni indesiderate Le comunicazioni elettroniche effettuate per l’invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato o comunicazione commerciale sono consentite con il consenso dell’interessato (metodo dell’OPT IN). (Comma 1) Avv. Stefano Corsini
  10. 10. Art. 130: comunicazioni indesiderate È ammesso invece da parte di venditori di prodotti o servizi, l’uso di coordinate di posta elettronica fornite dall’interessato nell’acquisto di un bene o servizio, se diretto ad offrire prodotti o servizi analoghi a quelli della precedente vendita e purché l’interessato, adeguatamente informato, non rifiuti tale uso (metodo dell’OPT OUT). (Comma 2) E’ vietato in ogni caso l’invio di comunicazioni per finalità pubblicitarie effettuato camuffando o celando l’identità del mittente o senza fornire recapito presso il quale sia possibile esercitare i propri diritti. (comma 5) In caso di violazione reiterata è dato reclamo al Garante che può adottare misure per rendere il trattamento conforme a legge. La notificazione. Vanno notificati i trattamenti: - Di dati registrati in apposite banche dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. (art. 37). (Ad es. il Cerved) NON vanno notificati i trattamenti: - Di dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa Avv. Stefano Corsini
  11. 11. Trasferimento verso paesi terzi (extra U.E.) Nello svolgimento dell'attività di impresa può risultare necessario trasferire dati personali fuori dell'Unione europea (ad esempio relativi alla clientela o ai dipendenti). Il Codice prevede specifiche regole al riguardo. NON è consentito tranne quando: • l’interessato ha manifestato il consenso espresso, scritto se si tratta di dati sensibili; • è necessario all’esecuzione di obblighi derivanti da un contratto; • è necessario per la salvaguardia di un interesse pubblico rilevante; • è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo; • Il Garante lo ha autorizzato. Associazione Culturale per lo studio del Diritto Vicolo Chiuso, 5 - Pordenone Tel. 0434/522866 www.e-curia.it Grazie per l’attenzione! Avv. Stefano Corsini Avv. Stefano Corsini Rev. 07 - 12/08 Avv. Stefano Corsini

×