Relazione nel convegno formativo "Diritto e Tecnologie digitali" in merito al diritto-dovere di riservatezza in azienda, con particolare riferimento all'utilizzo delle nuove tecnologie in dotazione al dipendente e alla legittimità dei controlli difensivi
Vincenzo Colarocco_La riservatezza nell'organizzazione e nella gestione aziendale
1. Diritto e tecnologie digitali
27 maggio 2011
Ordine Forense di Sulmona
“RISERVATEZZA NELL’ORGANIZZAZIONE E
NELLA GESTIONE AZIENDALE”
DOTT. VINCENZO COLAROCCO
Patrocinatore legale del Foro di Bologna
Cultore d’Informatica Giuridica Facoltà di Giurisprudenza dell’Università di
Bologna
Membro del Circolo dei Giuristi Telematici
Vincenzo Colarocco
2. Le nuove tecnologie hanno
mutato “gli arnesi” del mestiere
e il nostro modo di lavorare
e hanno posto in primo piano il problema
della disciplina dell’uso e del controllo
nella loro applicazione.
Vincenzo Colarocco
3. IL DIRITTO –DOVERE ALLA
RISERVATEZZA
Dal RIGHT TO BE ALONE al d.lgs 196/03
Art.2105 c.c.
Art.2106 c.c.
Art.2598.3 c.c
Art.2125 c.c
Artt.621-623 c.p.
Art.98.1 d.lgs 30/05
Art.99 d.lgs 30/05
Vincenzo Colarocco
4. Quali dati possiede l’azienda?
DATI DATI DEI
AZIENDALI LAVORATORI
Vincenzo Colarocco
5. Il PATRIMONIO AZIENDALE delle
informazioni
Business-plan
Informazioni Privilegiate
Know-how
Marchi e brevetti
Strategie commerciali
Banche dati
Vincenzo Colarocco
6. Il Know-how
L’art. 98 Cpi, precisa ora l’oggetto della tutela:
“1. Costituiscono oggetto di tutela le informazioni aziendali e le
esperienze tecnico-industriali, comprese quelle commerciali,
soggette al legittimo controllo del detentore, ove tali informazioni:
a) siano segrete, nel senso che non siano nel loro insieme o nella
precisa configurazione e combinazione dei loro elementi
generalmente note o facilmente accessibili agli esperti ed agli
operatori del settore;
b) abbiano valore economico in quanto segrete;
c) siano sottoposte, da parte delle persone al cui legittimo
controllo sono soggette, a misure da ritenersi
ragionevolmente adeguate a mantenerle segrete”.
Inoltre l’art. 99 a proposito della tutela prevede che:
“Salva la disciplina della concorrenza sleale, è vietato rivelare a
terzi oppure acquisire od utilizzare le informazioni e le esperienze
aziendali di cui all'articolo 98.”
Vincenzo Colarocco
7. Le banche dati
L’art.2.9 l.633/41, così come modificato dal d.lgs
169/99 (Dir 96/9/CE), definisce le banche dati
come
“raccolte di opere, dati o altri elementi
indipendenti sistematicamente o metodicamente
disposti e individualmente accessibili grazie a
mezzi elettronici o in altro modo”
Vincenzo Colarocco
8. Il d.lgs 169/99 ha introdotto all’art.1 della
l.d.a “nonché le banche di dati che per la
scelta o la disposizione del materiale
costituiscono una creazione intellettuale
dell'autore".
BANCHE DATI SELETTIVE BANCHE DATI NON
SELETTIVE
Tutela sui generis ex
art 102 bis l.d.a
Vincenzo Colarocco
9. I DATI dei lavoratori
DATI PERSONALI DATI SENSIBILI
Art.4.1 lett. b) D.Lgs 196/03
Art.4.1 lett. d) D.Lgs 196/03
Vincenzo Colarocco
10. Dati personali in azienda
di dipendenti, di
Dati identificativi collaboratori, consulenti,
agenti e rappresentanti
società, enti, soci:
nome,cognome, indirizzo,
sede, data di nascita,tel.,
fax, e-mail, P. IVA, ecc.
Dati relativi
all’attività economica, occupazione attuale e
precedente,retribuzioni,
commerciale, note di qualifica, ecc.
finanziaria
dati contabili, ordini,
Dati relativi alla spedizioni, contratti,dati
gestione del rapporto bancari, dati finanziari
(redditi,investimenti,
di lavoro mutui, ipoteche, ecc.).
Vincenzo Colarocco
11. Dati sensibili in azienda
Dati idonei a rivelare le fruizione di permessi e festività
religiose o di servizi di mensa,
convinzioni religiose, manifestazione dell’obiezione di
filosofiche o di altro coscienza
genere
esercizio di funzioni pubbliche o di
incarichi politici per permessi
Dati idonei a rivelare le aspettative riconosciute dalla legge
opinioni politiche, o dai contratti;
l’adesione a partiti, organizzazione di iniziative
sindacati, associazioni a pubbliche, attività o incarichi
sindacali,
carattere politico o trattenute per il versamento delle
sindacale quote sindacali o delle quote di
iscrizione ad organizzazioni
politiche o sindacali nelle paghe,
8 per mille
Vincenzo Colarocco
12. Dati sulle malattie anche
professionali, invalidità,
Dati idonei a infermità, infortunio,
rivelare lo stato di gravidanza, puerperio,
allattamento, esposizione a
salute fattori di rischio,idoneità psico-
fisica alla mansione
specifica,appartenenza a
categorie protette
Hobbies, preferenze,
Curriculum vitae appartenenza a categorie
protette, etnia, razza, religione
Log file di navigazione
Tutti i tipi di dati (Provvedimento Garante
sensibili sull’utilizzo di internet e posta
elettronica).
Vincenzo Colarocco
13. Quale TUTELA per..
Tutelare i dati riservati
Garantire la protezione del Know-How
Tutelare i dati dei dipendenti
Rendere leciti i controllo difensivi
Tutelare le banche dati
Disciplinare l’utilizzo delle nuove tecnologie
Vincenzo Colarocco
15. Le POLICY AZIENDALI
I regolamenti aziendali non sono un’invenzione
recente dell’ordinamento:
Art. 2104, comma 2° Codice Civile;
Art. 2106 Codice Civile;
Art. 111 Codice della Privacy;
Provvedimento 1° marzo 2007 Garante n.13;
Direttiva n. 2/2009 Ministro dell’Innovazione
Vincenzo Colarocco
16. Un’opportunità per..
Proteggere il patrimonio aziendale;
Ottimizzare le risorse interne;
Rendere effettive norme e regole interne e “su
misura” per la esecuzione delle mansioni e la
disciplina;
Rendere effettiva l’osservanza delle misure
minime prescritte dall’Allegato B D.Lgs. 196/03,
dalla L.81/08;
Effettuare i controlli difensivi in modo legittimo
Vincenzo Colarocco
17. La DOUBLE ACTING della Policy
A) TUTELA DEI DATI E DEI DIRITTI DEL
DIPENDENTE;
B) TUTELA DEI DIRITTI DEL DATORE DI
LAVORO.
Vincenzo Colarocco
18. Tutela del Dipendente
Garanzie di tutela dei dati personali e sensibili
del dipendente (Provv. 10.01.2002; Linee Guida)
Garanzie del telecontrollo (art. 4 Statuto dei
Lavoratori; Provv. del Garante del 02.02.06, Provv.
del Garante del 08.04.2010)
Garanzie del tecnocontrollo (Linee Guida per il
trattamento dei dati dei Lavoratori; Provv. del
Garante del 1° marzo 2007);
19. Tutela del Datore di lavoro
- Effettività della tutela dei
Tutela dell’attività dati e delle informazioni
aziendale, in particolare: aziendali;
- Effettività
- del lavoro svolto al suo dell’applicazione del
interno; rispetto delle norme in
- del suo patrimonio (beni materia di privacy;
fisici e know-how); - Opportunità di controlli
legittimi del dipendente
- della sua clientela; nell’uso delle tecnologie
in dotazione;
-degli altri dipendenti;
- Risparmio delle risorse
aziendali.
20. Il Garante & internet: prov. 13/07
ADOZIONE DISCIPLINARE INTERNO e MISURE
ORGANIZZATIVE
NAVIGAZIONE IN INTERNET
USO MAIL
USO STRUMENTAZIONE TECNOLOGICA IN
DOTAZIONE
CONTROLLI DIFENSIVI
Vincenzo Colarocco
21. Navigare, it’s easy?
Siti correlati o non correlati con la prestazione
lavorativa;
Filtri e proxy;
Il trattamento di dati in forma anonima;
L'eventuale conservazione di dati per il tempo
strettamente limitato al perseguimento di finalità
organizzative, produttive e di sicurezza;
La graduazione dei controlli
Vincenzo Colarocco
22. Web, Privacy e lavoro
Il caso: Dipendente della Cassa Nazionale
di Previdenza dei Commercialisti
"Sospesa 15 giorni per un commento
scritto su Facebook".
Assenteismo virtuale nella piazza
virtuale?
Vincenzo Colarocco
23. E-mail
La mancata definizione a priori della qualità di strumento
aziendale dell'indirizzo e-mail può comportare un illecito
comportamento del Datore altrimenti perfettamente lecito.
Utilizzo di indirizzi condivisi (info@, amministrazione@...)
Attribuzione di indirizzi privati al lavoratore;
Risponditori automatici in caso di assenza;
Delega ad un “fiduciario” per la lettura della posta in
caso assenza improvvisa, con redazione di verbale;
Disclaimer automatico nei messaggi in uscita
la graduazione dei controlli
Vincenzo Colarocco
24. Il datore non può
effettuare trattamenti di dati personali mediante sistemi
hardware e software che mirano al controllo a distanza di
lavoratori svolti in particolare mediante:
a) la lettura e la registrazione sistematica dei messaggi
di posta elettronica ovvero dei relativi dati esteriori, al
di là di quanto tecnicamente necessario per svolgere il
servizio e-mail
b) la riproduzione e l'eventuale memorizzazione
sistematica delle pagine web visualizzate dal
lavoratore;
c) la lettura e la registrazione dei caratteri inseriti
tramite la tastiera o analogo dispositivo;
d) l'analisi occulta di computer portatili affidati in uso;
Vincenzo Colarocco
25. Controlli difensivi
Devono essere chiaramente indicati nella
policy aziendale.
Verifiche finalizzate a:
1) Tutelare il patrimonio aziendale;
2) Verificare la funzionalità e la sicurezza
del sistema informatico aziendali;
3) Eseguire le verifiche necessarie per la
sicurezza sul lavoro.
Vincenzo Colarocco
26. L’esecuzione dei controlli…
Manuale-Informatica-Telematica
Organizzazione ed elaborazione dei dati
Garantita dalle Misure Minime di Sicurezza (art
33 d.lgs.196/03)
•Firewall
•Antivirus
•Password
•Dps
Vincenzo Colarocco
27. D.P.S.
• L'elenco dei trattamenti di dati personali;
• La distribuzione dei compiti e delle responsabilità nell'ambito
delle strutture preposte al trattamento dei dati;
• L'analisi dei rischi che incombono sui dati;
• Le misure da adottare per garantire l'integrità e la disponibilità
dei dati, anche di natura logistica delle aree e dei locali
• Backup e piano di disaster recovery per il ripristino della
disponibilità dei dati in seguito a distruzione o
danneggiamento;
• Addestramento e formazione degli incaricati
• La descrizione dei criteri da adottare per garantire l'adozione
delle misure minime di sicurezza in caso di trasferimento dai
all’esterno;
• Crittografia e dissociazione per i dati sensibili
Vincenzo Colarocco
28. Sanzioni
Art. 169. Misure di sicurezza
Chiunque, essendovi tenuto, omette di
adottare le misure minime previste
dall'articolo 33 è punito con l'arresto sino
a due anni.
Vincenzo Colarocco
29. Privacy & decreto sviluppo:
rivoluzione?
Il d.l.70/11 del 5.5.2011 ha portato importanti novità al
Codice della Privacy:
• Eliminazione delle informative e/o richieste di consenso, se
si trattano dati personali relativi a persone giuridiche,
esclusivamente per questioni amministrativo-contabili
• Introduzione del regime OPT-OUT per gli indirizzi postali, già
in vigore dal 1.1.11 per l’esercizio di marketing telefonico, con
l’introduzione del REGISTRO DELLLE OPPOSIZIONI
Vincenzo Colarocco
30. • Esonero dall’obbligo di predisposizione del DPS
“Per i soggetti che trattano soltanto dati personali non
sensibili e che trattano come unici dati sensibili e
giudiziari quelli relativi ai propri dipendenti e
collaboratori, anche se extracomunitari, compresi
quelli relativi al coniuge e ai parenti”.
• “La tenuta di un aggiornato documento
programmatico sulla sicurezza è sostituita
dall’obbligo di autocertificazione”
• Modalità semplificate di applicazione del disciplinare
tecnico per trattamenti comunque effettuati per
correnti finalità amministrativo – contabili, in
particolare presso piccole e medie imprese, liberi
professionisti e artigiani
Vincenzo Colarocco
32. CONTRATTUALIZZAZIONE
Non Disclosure Agreement
Clausole di riservatezza
Vincenzo Colarocco
33. Le policy aziendali: un esempio di
civiltà e progresso giuridico
Restano ad oggi un suggerimento o una
facoltà che promana dai diversi
provvedimenti.
Non essendo ad oggi adempimento
tassativo da ottemperare…. spesso
diventano occasioni mancate!
Grazie e buon lavoro
Vincenzo Colarocco
34. GRAZIE PER L’ATTENZIONE
Patrocinatore legale del Foro di Bologna
Cultore d’Informatica Giuridica Facoltà di
Giurisprudenza dell’Università di Bologna
vincenzo.colarocco@studiolegalelecchi.it
www.novastudia.com
www.studiolegalelecchi.it
www.cyberlex.it
Vincenzo Colarocco