Slide dell'avv. Stefano Corsini nell'ambito del seminario "Le recenti Semplificazioni degli adempimenti Privacy in azienda", svoltosi l'11 dicembre 2008 presso La Fondazione La Fornace di Asolo.
Trattamento dei dati personali in azienda. Quali semplificazioni? Avv. Corsini
1. Avv. Stefano Corsini
Privacy e Sicurezza
Trattamento dei dati personali in azienda.
Quali semplificazioni?
Asolo - 11 dicembre 2008
Associazione Culturale per lo studio del Diritto
In collaborazione con Treviso Tecnologia
Avv. Stefano Corsini
Rev. 07 - 12/08
Dato personale
Qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o
identificabili, anche mediante
indirettamente,
riferimento a qualsiasi altra informazione, ivi compreso
un numero di identificazione personale.
Anche:
suoni, immagini, numeri di telefono, targhe automobilistiche, ecc.
Dati sensibili
I dati personali idonei a rivelare:
Appartenenza per nascita
l'origine razziale ed etnica; e discendenza ad un popolo
o razza
le convinzioni religiose, filosofiche o di altro genere,
le opinioni politiche;
l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o
sindacale; garanzia costituzionale
i dati personali idonei a rivelare lo stato di salute e la
vita sessuale.
Elenco tassativo
Avv. Stefano Corsini
2. Dato giudiziario
I dati personali idonei a rivelare :
provvedimenti iscritti nel casellario giudiziale,
provvedimenti iscritti nell’anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi
pendenti,
la qualità di imputato o di indagato
Dati diversi da sensibili e giudiziari
Dati per definizione né sensibili né giudiziari che possono
presentare rischi specifici in relazione a:
Natura dei dati;
Modalità del trattamento;
Effetti del trattamento;
“Clausola di salvaguardia”!!! - prior checking -
Art. 17
Alcuni esempi di dati personali trattati in azienda
di dipendenti, di familiari di dipendenti (per
l’erogazione delle agevolazioni fiscali), di
collaboratori, consulenti, agenti e
Dati identificativi
rappresentanti società, enti, soci: nome,
cognome, indirizzo, sede, data di nascita,
tel., fax, e-mail, P. IVA, ecc.
Dati relativi all’attività
dati contabili, ordini, spedizioni, contratti,
economica, commerciale,
dati bancari, dati finanziari (redditi,
finanziaria
investimenti, mutui, ipoteche, ecc.).
occupazione attuale e precedente,
Dati relativi alla gestione
retribuzioni, note di qualifica, ecc.
del rapporto di lavoro
Avv. Stefano Corsini
3. Alcuni esempi di dati sensibili trattati in azienda
fruizione di permessi e festività
Dati idonei a rivelare le convinzioni
religiose o di servizi di mensa,
religiose, filosofiche o di altro
manifestazione dell’obiezione di
genere
coscienza
esercizio di funzioni pubbliche o di
incarichi politici per permessi o
aspettative riconosciute dalla legge
o dai contratti, organizzazione di
Dati idonei a rivelare le opinioni
iniziative pubbliche, attività o
politiche, l’adesione a partiti,
incarichi sindacali, trattenute per il
sindacati, associazioni a carattere
versamento delle quote sindacali o
politico o sindacale
delle quote di iscrizione ad
organizzazioni politiche o sindacali
nelle paghe, 8 per mille
Alcuni esempi di dati sensibili trattati in azienda
Dati sulle malattie anche professionali, invalidità,
Dati idonei a rivelare lo
infermità, infortunio, gravidanza, puerperio,
stato di salute
allattamento, esposizione a fattori di rischio,
idoneità psico-fisica alla mansione specifica,
appartenenza a categorie protette
Hobbies, preferenze, appartenenza a categorie
Curriculum vitae protette, etnia, razza, religione
Log file di navigazione (vedi Provvedimento
Tutti i tipi di dati sensibili Garante sull’utilizzo di internet e posta elettronica).
Definizione di interessato
La persona fisica, la persona giuridica,
l'ente o l'associazione cui si riferiscono i
dati personali
Anche un’azienda è titolare dei diritti previsti dal Codice privacy!
Avv. Stefano Corsini
4. DEFINIZIONE di titolare
La persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare,
le decisioni in ordine a:
finalità;
1)
modalità del trattamento di dati personali;
2)
strumenti utilizzati;
3)
profilo della sicurezza.
4)
Quando il trattamento è effettuato da una persona giuridica,
da una P.A. o da un qualsiasi altro ente, associazione od
organismo, titolare del trattamento è l'entità nel suo
complesso o l'unità od organismo periferico che esercita un
potere decisionale del tutto autonomo sulle finalità e sulle
modalità del trattamento, ivi compreso il profilo della
sicurezza.
Parere del Garante:
“Quando l’attività è svolta in forma societaria (…), il titolare è l’entità nel suo
complesso”.
INCARICATO
E’ colui che effettua le operazioni sotto l’autorità del
titolare o responsabile attenendosi alle istruzioni
ricevute.
E’ nominato con atto scritto anche tramite la
preposizione a unità organizzativa che tratta dati (es.
ufficio amministrazione, ufficio tecnico).
Nell’atto di nomina va specificato l’ambito di trattamento
consentito.
(art. 4 - 30)
Chi non è incaricato è considerato “terzo” rispetto al trattamento, e non può
utilizzare o consultare i dati.
Avv. Stefano Corsini
5. RESPONSABILE
è designato dal titolare (in piena libertà)
Il responsabile deve offrire garanzia di esperienza,
capacità, affidabilità (culpa in eligendo)
possono essere designati responsabili più soggetti
tra cui poter suddividere i compiti
i compiti devono essere analiticamente specificati
per iscritto dal titolare
il responsabile si attiene alle istruzioni del titolare,
che vigila sulla loro osservanza
(art. 4 - 29)
I soggetti del Trattamento
Titolare
Responsabile Responsabile Esterno
Incaricato Incaricato Incaricato Incaricato Incaricato Incaricato
Interessato Interessato Interessato Interessato
Interessato Interessato
Provvedimenti del Garante per la semplificazione.
24 maggio 2007.
“Guida pratica e misure di semplificazione per le piccole e medie imprese”.
19 giugno 2008.
“Ulteriori semplificazioni per finalità amministrative e contabili”.
9 dicembre 2008.
“Semplificazione delle misure di sicurezza contenute nel disciplinare
tecnico di cui all'Allegato B”.
“Semplificazione al modello per la notificazione al Garante”.
Avv. Stefano Corsini
6. Destinatari del Provvedimento
Piccole e medie imprese, liberi professionisti e artigiani.
Oggetto del Provvedimento
Il provvedimento riguarda in particolare l’informativa e il consenso,
istituti basilari della disciplina sulla protezione dei dati personali.
Ratio del Provvedimento
Evitare le informative scritte quando è possibile assolvere l’obbligo
oralmente, evitare l’uso di formule scritte in “burocratese”, evitare la
richiesta del consenso quando non è obbligatorio.
INFORMATIVA
È fornita preventivamente e preferibilmente in forma scritta
Ha forma chiara ed intelligibile e deve contenere:
finalità e modalità trattamento
obbligatorietà o facoltatività del conferimento
conseguenze eventuale rifiuto
soggetti cui i dati possono essere comunicati
diritti dell’interessato (art. 7)
estremi del titolare, responsabile, rappresentante (in Italia),
responsabile del riscontro alle richieste ex art. 7
può non contenere elementi già noti alla persona o la cui
conoscenza è di ostacolo alla sicurezza dello Stato, o per la
prevenzione e repressione reati
Se invece i dati personali non sono raccolti presso l’interessato,
l’informativa è data al medesimo interessato all’atto della registrazione
dei dati o, quando è prevista la loro comunicazione, non oltre la prima
comunicazione.
tranne quando
i dati sono trattati in base ad un obbligo previsto dalla legge,
1.
da un regolamento o dalla normativa comunitaria;
i dati sono trattati ai fini dello svolgimento delle investigazioni
2.
difensive o per far valere o difendere un diritto in sede
giudiziaria.
Avv. Stefano Corsini
7. SEMPLIFICAZIONI: Informativa
Iniziale informativa “breve”, anche orale con le informazioni
essenziali del trattamento
(utilizzando ad es. gli spazi utili nel materiale cartaceo e
nella corrispondenza impiegate normalmente per finalità
amministrative e contabili ad es. fatture)
Rimandare poi i dettagli ad un testo esaustivo contenuto altrove
(ad es. il sito internet del titolare, bacheche, avvisi e cartelli
agli sportelli per la clientela, messaggi preregistrati
disponibili digitando un numero telefonico gratuito).
SEMPLIFICAZIONI: Informativa
L’informativa potrà essere fornita anche attraverso dei modelli
uniformi predisposti dalle associazioni rappresentative di categoria.
E’ invece necessario fornire un'informativa ad hoc quando il
trattamento ha caratteristiche del tutto particolari perché coinvolge
ad es. peculiari informazioni (es. dati genetici) o prevede forme
inusuali di utilizzazione di dati, specie sensibili, rispetto alle
ordinarie esigenze amministrative e contabili, o può comportare
rischi specifici per gli interessati (ad esempio, rispetto a determinate
forme di uso di dati biometrici o di controllo delle attività dei
lavoratori).
Proposte
Testo suggerito per l’informativa “breve”:
Utilizziamo - anche tramite collaboratori esterni - i dati che la
riguardano esclusivamente per nostre finalità amministrative e
contabili, anche quando li comunichiamo a terzi. Informazioni
dettagliate, anche in ordine al suo diritto di accesso e agli altri
suoi diritti, sono riportate su ...“.
Avv. Stefano Corsini
8. CONSENSO
i privati e gli enti pubblici economici possono trattare i dati
personali solo con il consenso espresso dell’interessato
il consenso può riguardare l’intero trattamento o una o più
operazioni.
il consenso deve essere espresso liberamente e deve essere
specifico
ESCLUSIONE DEL CONSENSO per i dati personali
per adempimento - obbligo di legge o comunitario
per dati provenienti da pubblici registri, elenchi conoscibili da tutti
per lo svolgimento di attività economiche, nel rispetto delle norme che
tutelano il segreto aziendale ed industriale
è necessario per eseguire obblighi derivanti da un contratto del quale è
parte l'interessato o per adempiere, prima della conclusione del contratto, a
specifiche richieste dell'interessato;
per salvaguardia della vita e dell’incolumità fisica di terzo o dell’interessato
che non può dare il consenso (emergenza) rischio grave, imminente ed
irreparabile per la salute dell’interessato
per attività investigative (tutela del diritto) nei casi individuati dal Garante
....
ESCLUSIONE DEL CONSENSO per i dati sensibili
Per il trattamento dei dati sensibili di regola è necessario il consenso scritto, oltre
l'autorizzazione del Garante.
Il Garante ha rilasciato sette autorizzazioni generali che comprendono tutti i trattamenti
abitualmente effettuati nell'ordinaria attività di impresa.
Inoltre, per i dati sensibili il Codice non richiede il consenso dell'interessato
se:
il trattamento è necessario per svolgere le investigazioni difensive o per
far valere o difendere in sede giudiziaria un diritto.
il trattamento è necessario per adempiere a specifici obblighi o compiti
previsti dalla legge oppure da un regolamento o dalla normativa
comunitaria per la gestione del rapporto di lavoro, anche in materia di
igiene e sicurezza del lavoro e della popolazione e di previdenza e
assistenza.
Avv. Stefano Corsini
9. DATI SENSIBILI NEL RAPPORTO DI LAVORO
Sì Informativa
No Consenso
quando il trattamento medesimo è necessario per adempiere a specifici
obblighi o compiti previsti dalla legge, da un regolamento o dalla
normativa comunitaria per la gestione del rapporto di lavoro, anche in
materia di igiene e sicurezza del lavoro e della popolazione e di
previdenza e assistenza
SEMPLIFICAZIONI: Consenso
Oltre alle ipotesi già previste dal D.Lgs. 196/2003 il Garante ha individuato
un'ulteriore ipotesi nella quale il consenso non va richiesto:
Il titolare del trattamento che abbia già venduto un prodotto o prestato un
servizio ad un interessato nell’ambito dello svolgimento di ordinarie finalità
amministrative e contabili, potrà utilizzare i recapiti di posta elettronica e
cartacea forniti dall'interessato medesimo, per inviare ulteriore suo
materiale pubblicitario o promuovere una sua vendita diretta o per
compiere sue ricerche di mercato o di comunicazione commerciale,
purchè
1) tale attività promozionale riguardi beni e servizi del medesimo titolare e
analoghi a quelli oggetto della vendita.
2) sia consentito all'interessato, al momento della raccolta e in occasione
dell'invio di ogni comunicazione effettuata per le menzionate finalità, di opporsi
in ogni momento al trattamento, in maniera agevole e gratuitamente, nonchè
di ottenere un immediato riscontro che confermi l'interruzione di tale
trattamento.
Art. 130: comunicazioni indesiderate
Le comunicazioni elettroniche effettuate per l’invio di
materiale pubblicitario, vendita diretta, compimento di
ricerche di mercato o comunicazione commerciale sono
consentite con il consenso dell’interessato (metodo
dell’OPT IN). (Comma 1)
Avv. Stefano Corsini
10. Art. 130: comunicazioni indesiderate
È ammesso invece da parte di venditori di prodotti o
servizi, l’uso di coordinate di posta elettronica fornite
dall’interessato nell’acquisto di un bene o servizio, se
diretto ad offrire prodotti o servizi analoghi a quelli della
precedente vendita e purché l’interessato,
adeguatamente informato, non rifiuti tale uso (metodo
dell’OPT OUT). (Comma 2)
E’ vietato in ogni caso l’invio di comunicazioni per
finalità pubblicitarie effettuato camuffando o celando
l’identità del mittente o senza fornire recapito presso il
quale sia possibile esercitare i propri diritti. (comma 5)
In caso di violazione reiterata è dato reclamo al Garante che
può adottare misure per rendere il trattamento conforme a
legge.
La notificazione.
Vanno notificati i trattamenti:
- Di dati registrati in apposite banche dati gestite con
strumenti elettronici e relative al rischio sulla solvibilità
economica, alla situazione patrimoniale, al corretto
adempimento di obbligazioni, a comportamenti illeciti o
fraudolenti. (art. 37). (Ad es. il Cerved)
NON vanno notificati i trattamenti:
- Di dati relativi agli inadempimenti dei propri clienti tenuti da
ciascuna impresa
Avv. Stefano Corsini
11. Trasferimento verso paesi terzi (extra U.E.)
Nello svolgimento dell'attività di impresa può risultare necessario trasferire
dati personali fuori dell'Unione europea (ad esempio relativi alla clientela o ai
dipendenti). Il Codice prevede specifiche regole al riguardo.
NON è consentito tranne quando:
• l’interessato ha manifestato il consenso espresso, scritto se si
tratta di dati sensibili;
• è necessario all’esecuzione di obblighi derivanti da un contratto;
• è necessario per la salvaguardia di un interesse pubblico
rilevante;
• è necessario per la salvaguardia della vita o dell’incolumità fisica
di un terzo;
• Il Garante lo ha autorizzato.
Associazione Culturale per lo studio del Diritto
Vicolo Chiuso, 5 - Pordenone
Tel. 0434/522866
www.e-curia.it
Grazie per l’attenzione!
Avv. Stefano Corsini
Avv. Stefano Corsini
Rev. 07 - 12/08
Avv. Stefano Corsini