GLI ELELEMENTI ESSENZIALI DEL CODICE DELLA PRIVACY … · 1. I dati personali che le aziende...
22
DATA PRIVACY D. Lgs. 196/2003 TUTELA DELLE PERSONE RISPETTO AL TRATTAMENTO DEI DATI PERSONALI (aspetti riguardanti la comunicazione commerciale delle aziende) Aggiornato a Ottobre 2013
Transcript of GLI ELELEMENTI ESSENZIALI DEL CODICE DELLA PRIVACY … · 1. I dati personali che le aziende...
DATA PRIVACY D. Lgs. 196/2003
TUTELA DELLE PERSONE RISPETTO AL TRATTAMENTO DEI DATI PERSONALI
(aspetti riguardanti la comunicazione commerciale delle aziende)
Aggiornato a Ottobre 2013
2
GLI ELEMENTI ESSENZIALI DEL CODICE DELLA PRIVACY Il c.d. Codice della privacy (D. Lgs. 30 giugno 2003 n.196), in vigore dall’1 gennaio 2004, contiene l’intera disciplina della materia, tenendo conto anche di quanto dispone la direttiva UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche. Il Codice è diviso in tre parti: la prima (artt.1-45) è dedicata alle disposizioni generali, organizzate in modo da disciplinare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato; la seconda (artt.46-140) contiene le disposizioni relative a specifici settori, tra cui quello delle comunicazioni elettroniche (artt. 121–133) e quello del direct marketing (art. 140); la terza parte (artt.141-186) affronta la materia delle tutele amministrative e giurisdizionali in materia di privacy (artt. 141-172) e contiene disposizioni modificative e abrogative di norme già in vigore. In sintesi, il codice prevede che: 1. I dati personali che le aziende utilizzano e trattano (per azioni di direct marketing e altre
forme di comunicazioni) sono nella esclusiva disponibilità del soggetto cui si riferiscono e possono essere usati dalle aziende solo col previo consenso espresso da parte del soggetto interessato (art. 23). Questo consenso deve essere libero, consapevole, espresso in forma specifica, e documentato in forma scritta; il consenso deve invece essere manifestato in forma scritta quando il trattamento riguarda dati sensibili (art. 23).
2. Il consenso non è valido se l’interessato non è stato preventivamente informato circa i diritti riconosciutigli dall’art. 7 e circa le finalità e le modalità del trattamento, l’identità del titolare ed eventualmente del responsabile, se designato, ed altri elementi (artt. 7 e 13).
3. I dati possono essere usati dalle aziende solo per lo scopo per cui sono stati raccolti (art. 11).
4. L’azienda che vuole procedere al trattamento di dati personali deve effettuare la notifica preventiva al Garante solo nei casi specificamente previsti dall’art. 37. La notifica, ove necessaria, deve essere effettuata solo per via telematica, utilizzando il modello predisposto dal Garante e seguendo le indicazioni impartite dallo stesso (artt. 37 e 38).
5. Il titolare deve adottare le misure minime di sicurezza che garantiscano dai rischi di distorsione o perdita e di accesso non autorizzato o trattamento non consentito o non conforme alla finalità della raccolta (art. 31).
6. L’interessato può richiedere al titolare o al responsabile del trattamento, ricorrendo in caso di rifiuto al Garante, le informazioni sui dati che lo riguardano e anche opporsi al trattamento dei propri dati (art. 7).
7. Vige il divieto di comunicare o comunque diffondere i dati personali dei quali è stata ordinata la cancellazione come pure di comunicarli e diffonderli per finalità diverse da quelle indicate nella notifica del trattamento, ove obbligatoria (art. 25).
8. Il Codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque sia stabilito in territorio italiano. Esso si applica anche al trattamento di dati
3
effettuati da soggetti residenti in paesi non appartenenti all’Unione Europea ma che utilizzano, per il trattamento, strumenti - anche non elettronici - situati in Italia. In questo caso, il titolare del trattamento deve designare un proprio rappresentante stabilito in Italia (art. 5).
I DATI PERSONALI (art.4, co.1, lett. b; art.26) Il Codice della privacy definisce dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (art. 4, co.1, lett. b),. I dati personali, come si è già detto, possono essere utilizzati per il solo scopo dichiarato per il quale sono stati raccolti. I dati sensibili sono informazioni relative a: • convinzioni religiose, filosofiche; • opinioni politiche; • origine razziale ed etnica; • stato di salute e vita sessuale; • adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso,
filosofico, politico o sindacale Il loro trattamento è possibile solo con il consenso scritto dell’interessato e a seguito di autorizzazione del Garante. In caso di mancata risposta da parte degli uffici del Garante vige il principio del silenzio-rifiuto. Infatti, decorsi 45 giorni dalla richiesta l’autorizzazione si intende negata e il trattamento non potrà essere effettuato. Secondo quanto disposto dall’art. 26, per il trattamento dei dati sensibili non occorre il consenso dell’interessato, ma unicamente l’autorizzazione del Garante nei seguenti casi: quando il trattamento dei dati sensibili è effettuato da associazioni ed enti senza scopo di lucro a carattere filosofico, politico, religioso o sindacale per il perseguimento degli scopi previsti nell’atto costitutivo; quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo; per il corretto svolgimento di attività difensive ed investigazioni; per il corretto adempimento di specifici obblighi previsti dalla legge in materia di igiene e sicurezza del lavoro. In ogni caso, i dati idonei a rivelare lo stato di salute non possono essere diffusi. Il Garante ha rinnovato in data 13 dicembre 2012 le cinque autorizzazioni per categoria, originariamente concesse nel giugno 2004 e tutte valide fino al 31 dicembre 2013, relative rispettivamente al trattamento dei dati sensibili nei rapporti di lavoro (Aut. 1/2012), al trattamento da parte di determinati soggetti dei dati idonei a rivelare lo stato di salute e la vita sessuale (Aut. 2/2012), al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni (Aut. 3/2012), da parte dei liberi professionisti (Aut. 4/2012) e da parte di diverse categorie di titolari, specificamente individuate (Aut. 5/2012). Si aggiungano le seguenti ulteriori autorizzazioni generali di recente emanazione, tutte valide sino al 31 dicembre 2013, relative rispettivamente al trattamento dei dati sensibili da parte di
4
investigatori privati (Aut. 6/2012), al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici (Aut. 7/2012), al trattamento dei dati genetici (Aut. 8/2012), e infine al trattamento di dati personali per scopi di ricerca scientifica (Aut. 9/2012). Di particolare interesse per le imprese, relativamente al settore che coinvolge la comunicazione aziendale e i rapporti con la clientela, è l’autorizzazione n. 2/2012 (trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale), la quale all’articolo 1.2 lettera e) precisa che l’autorizzazione è rilasciata alle imprese, qualunque sia l’oggetto della loro attività, ‘‘limitatamente ai dati e alle operazioni indispensabili per adempiere agli obblighi anche precontrattuali derivanti da un rapporto di fornitura all’interessato di beni, prestazioni o di servizi”. TRATTAMENTO (art. 4, co. 1, lett. a; art. 11) Si definisce trattamento qualunque operazione, o complesso di operazioni, automatizzata o meno, che riguardi la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca di dati, intendendosi con questa ultima espressione “qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti” (art. 4, lett. p). I dati personali devono essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi determinati, espliciti e legittimi, utilizzati in modo compatibile con tali scopi e conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario per gli scopi per cui sono stati raccolti. I dati inoltre devono essere esatti e se necessario aggiornati, pertinenti, completi e non eccedenti rispetto alle finalità per cui sono stati raccolti o successivamente trattati (art. 11). NOTIFICA (artt. 37 e 38) Secondo quanto disposto dal Codice, la notifica, ossia l’atto con cui l’azienda segnala al Garante della privacy i trattamenti di dati che intende effettuare, è obbligatoria solo in ipotesi determinate, elencate nel primo comma dell’art. 37. Fra queste va ricordata l’ipotesi - che specificamente interessa le Aziende associate UPA – del trattamento effettuato con l’ausilio di strumenti elettronici volto alla “profilazione” del consumatore, ovvero a definirne la personalità, le abitudini o scelte di consumo; va pure ricordata l’ipotesi del trattamento di dati sensibili a fini di selezione del personale per conto terzi, oppure a fini di sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. Peraltro il Garante può, con proprio provvedimento, identificare altri casi ancora di notifica obbligatoria in relazione a trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, come pure sottrarre all’obbligo di notifica alcuni dei trattamenti elencati nell’art. 37 co. 1, cosa che è avvenuta con la delibera n. 1/2004, nonché recentemente in relazione al trattamento di
5
dati genetici effettuato da organismi di mediazione (delibera n. 259/2011). La notifica, che deve obbligatoriamente precedere l’inizio del trattamento, va effettuata per via telematica, utilizzando il modello predisposto dal Garante (semplificato con delibera del 22.10.2008) e osservando le prescrizioni da questo impartite, anche per quanto riguarda l’utilizzo della firma digitale e la conferma del ricevimento della notificazione (art. 38). Il Garante inserisce le notifiche ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità di consultazione gratuita per via telematica; le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali. E’ possibile riunire in una sola notifica l’insieme delle attività di raccolta, a prescindere dal numero e dal tipo delle operazioni, nonché dalla durata del trattamento. La notifica è effettuata in un unico atto anche quando il trattamento comporta il trasferimento dei dati all’estero. Essa conserva validità fino al momento in cui non muta qualcuno degli elementi oggetto della stessa, nel qual caso occorre effettuare una nuova notifica relativa agli elementi interessati dal cambiamento. Nel caso di cambiamento del responsabile valgono regole particolari (si veda sotto la voce “responsabile”). La cessazione del trattamento deve del pari essere notificata (art. 38). COMUNICAZIONE (art. 39) La comunicazione è l’atto con il quale il titolare del trattamento segnala previamente al Garante il trattamento di dati idonei a rivelare lo stato di salute finalizzato a scopi di ricerca scientifica oppure la comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico al di fuori dei casi previsti dalla legge. I trattamenti oggetto di comunicazione possono essere iniziati decorsi 45 giorni dal ricevimento della stessa, salvo diversa determinazione del Garante. Anche la comunicazione, al pari della notifica, deve essere effettuata sulla base di un modello predisposto dal Garante, che va trasmesso a quest’ultimo per via telematica, osservando le prescrizioni in materia di firma digitale, oppure per telefax o lettera raccomandata (a differenza della notifica, che può essere effettuata solo per via telematica). TITOLARE DEL TRATTAMENTO (art. 4, co.1, lett. f; art. 28) Titolare del trattamento è la persona fisica o giuridica cui competono le decisioni in ordine alle finalità e alle modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza. Il titolare è il soggetto che deve fare la notifica al Garante, ove quest’ultima sia obbligatoria, che formula l’informativa al consumatore, che raccoglie il consenso del consumatore, che nomina i responsabili. Il titolare è il soggetto in capo al quale sussistono le responsabilità previste dalla legge (responsabilità penale, artt. 167 e ss.; responsabilità amministrativa, artt. 161 e ss.; responsabilità civile per il caso in cui l’attività di trattamento produca danni, art. 15). Qualora il trattamento sia effettuato da una persona giuridica (ad esempio una società) il
6
“titolare”, cioè il soggetto al quale competono le scelte di fondo sulla raccolta e utilizzazione dei dati, è la struttura nel suo complesso (quindi la società stessa) e non le persone fisiche che l’amministrano o la rappresentano (ad esempio, il direttore generale, o il legale rappresentante). Siccome però la persona giuridica non è suscettibile come tale di sanzioni penali, la responsabilità penale fa capo al legale rappresentante della società, in mancanza di delega specifica ad altro soggetto, che ovviamente avrà efficacia in quanto sia accettata da quest’ultimo. Nel caso la società sia articolata in più direzioni o sedi, e la singola direzione o sede eserciti un potere decisionale autonomo sul trattamento, titolare sarà la direzione o la sede medesima, e la responsabilità penale farà capo al responsabile della direzione o sede interessata. RESPONSABILI DEL TRATTAMENTO (art. 29) Il titolare ha la facoltà di nominare uno o più responsabili del trattamento. Il responsabile del trattamento è il soggetto (persona fisica o giuridica) preposto dal titolare al trattamento dei dati, sulla base di istruzioni impartite dal titolare stesso. Questa figura può essere individuata all'interno della società oppure all’esterno della stessa, mediante il conferimento ad un terzo dell’incarico di responsabile; in ogni caso, il responsabile è individuato tra i soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento dei dati, ivi compreso il profilo relativo alla sicurezza (art. 29). I suoi compiti sono dettagliatamente specificati per iscritto dal titolare. Nel caso siano designati più responsabili, l’elenco di questi ultimi deve essere tenuto costantemente aggiornato da parte dell’azienda, e sulla prima notificazione devono essere indicati il sito web o comunque le modalità attraverso le quali è conoscibile l’elenco aggiornato dei responsabili; non è tuttavia necessario effettuare una notifica al Garante in caso di cambiamento o aggiunta di uno dei responsabili già indicati. Tale notifica andrà invece effettuata se viene designato per la prima volta un responsabile, oppure se cambia il responsabile designato per il riscontro agli interessati, in caso di esercizio dei diritti previsti dall’art. 7 del codice. Si segnala che il Garante con provv. 15 giugno 2011 ha stabilito che le società titolari del trattamento che producono o vendono beni ed erogano servizi oggetto di campagne promozionali (c.d. “preponenti”) avvalendosi di agenti in outsourcing per tali attività promozionali debbano designare questi ultimi quali responsabili del trattamento ai sensi dell’art. 29, entro 60 gg. dalla pubblicazione in G.U. del provvedimento in questione (ossia entro il 2 settembre 2011). INCARICATO (art. 30) Incaricato è la persona fisica (normalmente dipendente dell'azienda) che ha ricevuto dal titolare o dal responsabile l'incarico di effettuare materialmente una o più operazioni di trattamento. E' sufficiente che tale incarico risulti per iscritto dal mansionario, dagli ordini di
7
servizio, o da analogo documento interno aziendale. Il conferimento dell'incarico in forma scritta è necessario al fine di evitare che la conoscenza dei dati personali da parte dell'incaricato sia considerata "comunicazione" dei dati stessi da parte del titolare a terzi. INTERESSATO: DEFINIZIONE E DIRITTI (art. 4, co.1, lett. i; artt.7-10) E' la persona fisica a cui si riferiscono i dati trattati (art. 4, comma 1, lett. i). I diritti dell’interessato sono elencati nell’art. 7: l’interessato ha diritto di ottenere conferma dell’esistenza o meno di dati personali oggetto di trattamento, di ottenerne la comunicazione in modo intelligibile, di conoscerne l’origine, di conoscere le finalità e le modalità del trattamento e la logica applicata nel caso di trattamento effettuato con l’ausilio di strumenti elettronici, di conoscere il nome del titolare, dei responsabili e dell’eventuale rappresentante designato dal titolare estero, di sapere a quali soggetti i dati personali possono essere comunicati. L’interessato ha diritto di ottenere l’aggiornamento, la rettifica o l’integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché l’attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi; egli ha altresì diritto ad opporsi, in tutto o in parte, “al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazioni commerciali”, nonché di opporsi – ma solo “per motivi legittimi” – al trattamento dei dati che lo riguardano, benché il trattamento sia pertinente ai fini della raccolta (art. 7, 4° comma). Per esercitare tali diritti, l’interessato - personalmente o attraverso altre persone, enti, associazioni od organismi a cui abbia conferito apposita procura - deve rivolgere la propria richiesta senza particolari formalità al titolare o al responsabile del trattamento via posta elettronica, via fax o con raccomandata (art. 9). I diritti dell’interessato non si estendono alla rettifica e all’integrazione di dati di tipo valutativo o relativi a giudizi, opinioni o apprezzamenti di tipo soggettivo. Affinché l’interessato possa godere del pieno esercizio di tali diritti, l’azienda deve adottare misure tali da agevolare e semplificare l’accesso dei dati (artt. 7-10). In ogni caso, l’interessato può far valere i propri diritti rivolgendosi al Garante o alla Autorità Giudiziaria, con l’osservanza delle norme di procedura contenute nella terza parte del Codice (artt.141-186). INFORMATIVA (art. 13) La legge prevede che l’interessato debba ricevere determinate informazioni dal titolare al momento della raccolta dei dati che lo riguardano. L’informativa deve permettere di conoscere le finalità e le modalità di raccolta dei dati e l'uso che se ne vuole fare; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati stessi; i suoi diritti, quali riconosciuti dall’art. 7; il titolare e,
8
se designati, il rappresentante nel territorio dello Stato e il responsabile del trattamento; nel caso vi siano più responsabili, è indicato almeno uno di essi, indicando però anche il sito della rete di comunicazione attraverso la quale l’interessato può consultare l’elenco aggiornato dei responsabili. L’informativa può essere resa sia per iscritto che oralmente; nel caso in cui i dati non siano raccolti presso l’interessato ma presso terzi, essa può essere differita fino al momento della registrazione dei dati o, quando è prevista la loro comunicazione, fino al momento della prima comunicazione. Il Garante può individuare con proprio provvedimento modalità semplificate per l’informativa fornita da servizi telefonici di assistenza e informazione al pubblico (call center), come avvenuto con il provvedimento del Garante in data 15.11.2007. L'informativa non corretta e l'omissione di informativa si ripercuotono sul consenso, rendendolo invalido ed esponendo quindi il titolare e il responsabile all'applicazione delle sanzioni previste per il caso di trattamento non preceduto da consenso. L'informativa è necessaria anche nei casi in cui non sia necessario il consenso. Per quanto riguarda i dati raccolti presso soggetti diversi dall'interessato, il titolare può non fornire l'informativa quando: i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; i dati sono trattati nello svolgimento di attività difensive ed investigative; l’informativa comporti un impiego di mezzi che il Garante dichiari essere manifestamente sproporzionati rispetto al diritto dell'interessato di conoscere le principali caratteristiche del trattamenti, ovvero quando l’informativa si rivela – sempre a giudizio del garante – impossibile. La sproporzione o l'impossibilità devono essere valutate in concreto, con riguardo: alle finalità perseguite dal trattamento; alla natura dei dati trattati; alla complessità delle modalità di realizzazione dell'iniziativa e ai costi relativi; al numero degli interessati; alle attività necessarie per rintracciarli; alla data di raccolta dei dati. In concreto, l'esonero dall'obbligo di informativa è stato negato dal Garante nei seguenti casi: a) trattamento di dati inerenti a clienti e fornitori dell'impresa titolare del trattamento; b) banche dati relative ad abbonati a quotidiani e periodici; c) centri di elaborazione dati gestiti da società di consulenza informatica, professionisti, associazioni e altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori e dipendenti di terzi, a fini di gestione amministrativa e contabile; d) circolazione di dati in ambito bancario, per la quale occorre il preventivo consenso dell'interessato. L’informativa non è dovuta in caso di ricezione di curricula vitae spontaneamente trasmessi alle aziende dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del c.v., il titolare dovrà però fornire all’interessato una breve informativa, anche oralmente, contenente almeno le indicazioni relative alle finalità e modalità del trattamento, ai soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, all’ambito di diffusione dei dati stessi e ai suoi diritti, quali riconosciuti dall’art. 7 (art. 13, comma 5bis). CONSENSO (art. 23-24)
9
La regola generale è che il trattamento dei dati da parte di privati o di enti pubblici economici può essere effettuato solo col consenso dell’interessato; in particolare, il consenso dell’interessato è necessario qualora il trattamento sia effettuato per finalità di direct marketing o promozionali. Il consenso è valido solo se è informato, ossia preceduto dall’informativa di cui all’art. 13 (salvo i casi di esonero, come evidenziati nel paragrafo che precede); espresso liberamente e specificamente, con riferimento ad un trattamento chiaramente individuato. A quest’ultimo proposito, il Garante ha precisato che non è libero, né specifico, il consenso che venga richiesto congiuntamente per il trattamento finalizzato all’esecuzione delle obbligazioni contrattuali e per il trattamento finalizzato all’invio di comunicazioni commerciali: non è libero perché l’interessato si trova in condizioni di non poter negare il consenso al secondo tipo di trattamento, se non vuole automaticamente precludersi la possibilità di ricevere l’esecuzione del contratto; e non è specifico, perché il principio di specificità richiede che il consenso sia richiesto disgiuntamente per ciascun tipo di trattamento (provvedimenti Garante 12 ottobre 2005; 3 novembre 2005; 10 maggio 2006; 22 febbraio 2007). Il consenso deve essere altresì esplicito: è necessaria cioè un’esplicita manifestazione di volontà dell’interessato per rendere lecito il trattamento (sistema c.d. opt-in). La forma scritta è necessaria per la validità del consenso solo nel caso in cui il trattamento riguardi dati sensibili. Si tenga tuttavia presente che in relazione ai dati sullo stato di salute dell’interessato il Garante Privacy con provv. n. 182 del 5 maggio 2011 ha stabilito che il consenso è validamente manifestato on line attraverso l’apposizione di un flag su apposite caselle poste accanto all’informativa purché vengano adottate misure idonee ad identificare in modo univoco l’interessato medesimo. Negli altri casi non è necessario che il consenso sia prestato per iscritto, essendo sufficiente che sia documentato per iscritto, ad esempio attraverso una dichiarazione resa da chi lo abbia prestato in forma orale. Nel caso di consenso prestato via internet, le varie opzioni concesse all’interessato non devono essere preselezionate, ma lasciate alla libera scelta dell’utente, il quale deve avere la possibilità di esprimere un consenso differenziato in relazione alle varie finalità del trattamento, eventualmente accordandolo per alcune e negandolo per altre (provv. Garante 12 ottobre 2005). Il consenso inoltre è strettamente personale: tranne che nei casi di rappresentanza legale (genitori nei confronti dei figli minori), non può essere prestato per il trattamento di dati relativi ad altri soggetti, anche se familiari, i quali devono esprimere il loro consenso personalmente. Il Codice prevede alcuni casi in cui il consenso non è necessario (art. 24, comma 1). Fra questi ricordiamo i casi in cui il trattamento è necessario per adempiere ad un obbligo imposto dalla legge, da un regolamento o dalla normativa comunitaria (lett. a), oppure è necessario per eseguire gli obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere a specifiche richieste di quest’ultimo in fase precontrattuale (lett. b), oppure ancora riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della disciplina in materia di segreto aziendale e industriale (lett. c: in quest’ultima ipotesi rientra anche la comunicazione “business to business”, ossia la comunicazione rivolta da un’impresa ad altre imprese), oppure è necessario, nei casi individuati dal Garante sulla base di principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo
10
destinatario dei dati, qualora non debbano essere considerati prevalenti i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato (lett. g). Ricordiamo anche i casi riferiti a trattamenti specifici: trattamento dei dati relativi a soci e aderenti effettuato da associazioni no-profit (lett. h); trattamento riguardante dati contenuti nei curricula per il quale si rimanda al paragrafo che precede (art. 24, lett. i-bis); comunicazione di dati per le finalità amministrativo contabili definite nell’art. 34, comma 1-ter, ed esplicate nell’informativa di cui all’art. 13, tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’art. 2359 c.c. ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti. Un’ipotesi di trattamento senza consenso che ha formato oggetto di successive puntualizzazioni in senso restrittivo da parte del Garante è quella relativa ai dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (lett. c). Al riguardo occorre tenere presente che:
- non sono assimilabili ai “dati provenienti da pubblici registri” - e quindi non ne è permesso il trattamento senza consenso - gli indirizzi di posta elettronica: con provvedimento del 29 maggio 2003, il Garante ha precisato che il dato deve considerarsi pubblico solo quando una specifica disciplina ne impone la conoscibilità indifferenziata da parte del pubblico, non già quando è conoscibile da chiunque per semplici circostanze di fatto. Ai sensi dell’art. 130, comma 2, l’invio via e-mail di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito solo con il consenso dell’interessato (opt-in) (cfr. provv. Garante 14 giugno 2007, secondo cui tale disciplina non può essere elusa inviando una prima e-mail che, nel chiedere un consenso, abbia comunque un contenuto promozionale oppure pubblicitario; conformemente v. provv. Garante 13 maggio 2008), salvo che l’indirizzo e-mail sia stato già fornito dal destinatario nel contesto di servizi analoghi; in questo caso l’interessato ha sempre il diritto di rifiutare l’utilizzo delle proprie coordinate di posta elettronica per tali fini al momento del primo contatto o in occasione di successive comunicazioni. In ogni caso, resta l’obbligo per l’Azienda di fornire preventivamente all’interessato l’informativa sul trattamento dei dati personali di cui all’art. 13 (provv. Garante 26 ottobre 2011);
- i dati provenienti da liste elettorali possono essere utilizzati, senza il preventivo consenso degli interessati, solo per attività di propaganda elettorale o collegate ad un referendum o alla selezione di canditati alle elezioni, ma non per finalità promozionali, commerciali e pubblicitarie: queste sono infatti finalità non conformi agli scopi per cui i dati sono stati raccolti e sono resi pubblici (provv. Garante 7 settembre 2005);
- le previsioni contenute nel provvedimento del Garante 15 luglio 2004 che prevedevano l’utilizzabilità dei dati degli abbonati i cui numeri telefonici fossero affiancati dal simbolo grafico attestante il consenso per la ricezione di chiamate telefoniche a carattere promozionale risultano superate dalle modifiche introdotte all’art. 130 e dall’istituzione del Registro pubblico delle opposizioni ex D.P.R. n.
11
178/2010, operativo dal 1° febbraio 2011). - In proposito, il Garante con provv. 19 gennaio 2011 ha chiarito che: a) le società che
operano nel settore del telemarketing non potranno più contattare i numeri degli “abbonati” (che la legge definisce ora “contraenti” ex art. 129 del Codice Privacy; ai sensi dell’art. 4 comma 2, lettera f), per contraente si intende “qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di servizi, o comunque destinatario di tali servizi tramite schede prepagate”) che si sono iscritti nel Registro; b) se un abbonato ha chiesto ad una determinata azienda di non essere più disturbato, quell’azienda dovrà rispettare la sua volontà anche se l’abbonato non è iscritto nel Registro; c) la singola azienda che abbia ricevuto in passato il consenso – documentato per iscritto – dell’abbonato a ricevere telefonate promozionali potrà contattarlo, anche se questi è iscritto al Registro; l’abbonato potrà tuttavia ritirare il consenso in ogni momento.
- Il provvedimento contiene anche disposizioni relative ai numeri telefonici provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (ad esempio, gli albi professionali), stabilendo che gli stessi possono essere utilizzati solo se le telefonate promozionali sono direttamente funzionali all’attività svolta dall’interessato, e sempre che l’interessato non si sia opposto al trattamento; e disposizioni relative ai numeri telefonici contenuti in banche dati comunque formate, che non possono essere utilizzate senza avere prima acquisito un consenso specifico ed informato.
- La tenuta e la gestione del Registro è stata affidata alla Fondazione Ugo Bordoni, ente di ricerca sottoposto alla vigilanza del Ministero dello Sviluppo Economico.
- Il funzionamento del Registro è illustrato sul sito internet www.registrodelleopposizioni.it. Le imprese che intendono avviare operazioni di telemarketing devono necessariamente registrarsi nel sistema e comunicare preventivamente alla Fondazione i numeri da contattare. La Fondazione, confrontando i numeri iscritti nel Registro, escluderà dall’elenco tutti i numeri iscritti nel Registro e restituirà all’operatore la lista “depurata” entro 24 ore. La lista così ottenuta sarà valida per 15 giorni. La procedura dovrà essere ripetuta, per tenere conto dei numeri successivamente iscritti nel Registro. L’iscrizione dell’abbonato nel Registro è gratuita, a tempo indeterminato e cessa solo in caso di revoca da parte dell’interessato o di decadenza automatica, che interviene in caso di cambio o cessazione dell’utenza telefonica. Le tariffe di accesso al servizio per gli operatori di telemarketing valide per il 2013 sono regolate dal D.M. 11.1.2013 e sono riportate sul sito internet del registro delle opposizioni. Con riferimento agli SMS e MMS promozionali il Garante ha precisato che è possibile inviarli da parte delle imprese (non solo telefoniche) solo con il consenso dell’interessato (v. provv. 10 giugno 2003; in senso conforme v. provv. 23 gennaio 2008 e provv. 10 giugno 2011).
Con provvedimento 24 febbraio 2005 (in tempi più recenti v. in senso conforme anche provv. 9 marzo 2006 e provv. 22 luglio 2010), il Garante ha dettato regole precise per
12
quanto riguarda informativa e consenso relativamente ad alcune tipiche attività di marketing, ossia la fidelizzazione, realizzata attraverso l’emissione di carte fedeltà che attribuiscono vantaggi al consumatore, la profilazione, effettuata attraverso l’analisi delle abitudini e scelte di consumo; e il marketing diretto propriamente detto. In particolare, il Garante ha stabilito che:
- per quanto riguarda la fidelizzazione, l’informativa al cliente relativamente al trattamento dei dati deve essere adeguatamente evidenziata e collocata in modo autonomo ed unitario in un apposito riquadro all’interno dei moduli di sottoscrizione, in modo da essere agevolmente rilevabile rispetto alle altre clausole del regolamento. In particolare, deve essere posto in rilievo l’eventuale utilizzo dei dati a fini di profilazione o di marketing, come pure l’intenzione di cedere i dati a terzi specificamente individuati, sottolineando che per queste attività il conferimento dei dati è libero e facoltativo. L’adesione al programma di fidelizzazione non può essere condizionata al consenso anche per attività di profilazione e di marketing. In ogni caso, per lo svolgimento di programmi di fidelizzazione l’uso di dati personali deve essere ridotto al minimo, e i sistemi informativi e i relativi programmi devono essere configurati in modo da ridurre al minimo l’utilizzo di informazioni relative a clienti identificabili. Non è necessario acquisire il consenso dell’interessato per il trattamento dei dati finalizzato all’attribuzione dei vantaggi connessi all’uso della carta, trattandosi di trattamento necessario per eseguire gli obblighi derivanti dal contratto sulla base del quale è stata rilasciata la carta, concluso fra il titolare del trattamento e l’interessato;
- ogni altra finalità del trattamento (profilazione, ricerche di mercato, marketing), qualora comporti l’identificabilità dell’interessato, richiede il consenso dello stesso. Il consenso deve essere informato, specifico e distinto per ciascuna attività: non è consentito raccogliere un consenso generale ed omnicomprensivo per tutte le finalità predette, ricorrendo ad una dichiarazione generica che comprenda anche casi in cui il consenso non è necessario;
- per quanto riguarda la profilazione, occorre il consenso dell’interessato per il trattamento delle informazioni relative agli acquisti interessati. Se l’attività di profilazione può essere svolta sulla base di dati anonimi o non identificativi, non è consentito utilizzare dati personali o identificativi. In nessun caso è consentito utilizzare a fini di profilazione dati sensibili, con particolare riguardo a quelli riguardanti lo stato di salute e la vita sessuale. Le banche di dati usate per l’attività di profilazione non devono essere interconnesse con quelle utilizzate per la fidelizzazione in senso stretto. Il consenso prestato per l’attività di profilazione è considerato valido per un anno, dopo di che deve essere rinnovato oppure deve cessare il trattamento;
- per quanto riguarda il marketing diretto, valgono i principi generali (il consenso deve essere specifico, informato, e prestato direttamente dall’interessato, e non da un suo familiare). Anche a questi riguardi il consenso è sottoposto a scadenza, ed è valido solo per due anni.
I principi generali che regolano il trattamento dei dati personali pe finalità promozionali,
13
anche attraverso la posta elettronica, sono stati di recente riassunti nel provvedimento generale del Garante 4 luglio 2013, “Linee guida in materia di attività promozionale e contrasto allo spam”. Per tutti i trattamenti di cui si è detto sopra, il consenso deve essere espresso, e espresso in forma positiva, attraverso cioè il positivo esercizio di una scelta fra due possibilità (AUTORIZZA / NON AUTORIZZA, SI /NO) che devono essere ugualmente prospettate all'interessato. Allo stato attuale, l'UPA ritiene quindi di dover suggerire i seguenti testi, relativi specificamente al trattamento per finalità di direct marketing e al trattamento per finalità di profilazione. Formula da utilizzare per il trattamento a fini di direct marketing Autorizzo ……..(nome ed indirizzo dell’Azienda), titolare del trattamento, al trattamento dei miei dati sopra indicati, anche con sistema informatizzato1, per l’invio di materiale informativo, pubblicitario o promozionale relativo ai suoi prodotti. Sono consapevole che il conferimento dei dati è facoltativo. In ogni momento, a norma dell’art. 7 D. Lgs. 196/03, potrò ottenere, previa richiesta scritta da inviare all’indirizzo del titolare del trattamento (o del responsabile del trattamento, se nominato), la conferma dell’esistenza di un trattamento di dati che mi riguardano e la loro comunicazione in forma intelligibile, l’indicazione dell’origine di tali dati, nonché: 1) l’aggiornamento, la rettificazione, l’integrazione dei dati; 2) la cancellazione, la trasformazione in forma anonima o il blocco di dati trattati in
violazione di legge. Avrò inoltre il diritto ad oppormi, in tutto o in parte, all’ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a ……………..(nome ed indirizzo dell’Azienda) titolare del trattamento, Attenzione: se è stato designato un responsabile, la frase precedente verrà sostituita dalla seguente: Avrò inoltre il diritto ad oppormi, in tutto o in parte, all’ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a ……(nome ed indirizzo responsabile), responsabile del trattamento. SI ٱ NO ٱ Il consenso dovrà ritenersi validamente espresso solo nel caso in cui sia crocettato il quadratino accanto al SI . Formula da utilizzare per il trattamento a fini di profilazione: Autorizzo ……..(nome ed indirizzo dell’Azienda), titolare del trattamento, al trattamento - anche con sistema informatizzato¹- dei miei dati sopra indicati, nonché delle informazioni relative agli acquisti da me effettuati, per lo svolgimento di attività di profilazione mediante l’analisi delle mie abitudini e scelte di consumo. Sono consapevole che il conferimento dei dati è facoltativo. In ogni momento, a norma dell’art. 7 D. Lgs. 196/03, potrò ottenere, previa richiesta scritta
1 Ovviamente tale precisazione sarà necessaria solo se il trattamento verrà effettuato con modalità informatizzate.
14
da inviare all’indirizzo del titolare del trattamento (o del responsabile del trattamento, se nominato), la conferma dell’esistenza di un trattamento di dati che mi riguardano e la loro comunicazione in forma intelligibile, l’indicazione dell’origine di tali dati, nonché: 3) l’aggiornamento, la rettificazione, l’integrazione dei dati; 4) la cancellazione, la trasformazione in forma anonima o il blocco di dati trattati in
violazione di legge. Avrò inoltre il diritto ad oppormi, in tutto o in parte, all’ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a ……………..(nome ed indirizzo dell’Azienda) titolare del trattamento, Attenzione: se è stato designato un responsabile, la frase precedente verrà sostituita dalla seguente: Avrò inoltre il diritto ad oppormi, in tutto o in parte, all’ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a ……(nome ed indirizzo responsabile), responsabile del trattamento. SI ٱ NO ٱ Il consenso dovrà ritenersi validamente espresso solo nel caso in cui sia crocettato il quadratino accanto al SI . Per quanto riguarda l’utilizzazione dei dati nell’ambito di un’attività di fidelizzazione, e per le sole finalità di fidelizzazione, non sarà necessario il consenso dell’interessato, ma solo l’inserimento dell’informativa nell’ambito del modulo contrattuale con il quale il cliente richiede l’emissione della carta fedeltà: La informiamo che i Suoi dati personali, quali sopra indicati, saranno trattati – a mezzo di un sistema informatico - da ……...(nome ed indirizzo dell’Azienda), titolare del trattamento, per l’adempimento degli obblighi conseguenti all’emanazione della carta fedeltà da Lei richiesta. Il conferimento dei dati è obbligatorio, in quanto in caso di mancato conferimento .... (nome dell’Azienda) potrà trovarsi nell’impossibilità di far fronte a tutti o ad alcuni di tali obblighi. In ogni momento, a norma dell’art. 7 D. Lgs. 196/03, Lei potrà ottenere, previa richiesta scritta, la conferma dell’esistenza di un trattamento di dati che la riguardano e la loro comunicazione in forma intelligibile, l’indicazione dell’origine di tali dati, nonché: 5) l’aggiornamento, la rettificazione, l’integrazione dei dati; 6) la cancellazione, la trasformazione in forma anonima o il blocco di dati trattati in
violazione di legge. Lei avrà inoltre il diritto di opporsi, in tutto o in parte, per motivi legittimi, all’ulteriore utilizzo dei suoi dati per le finalità di cui sopra, scrivendo a ……………..(nome ed indirizzo dell’Azienda) titolare del trattamento, Attenzione: se è stato designato un responsabile, la frase precedente verrà sostituita dalla seguente: Lei avrà inoltre il diritto di opporsi, in tutto o in parte, per motivi legittimi, all’ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a ……(nome ed indirizzo responsabile), responsabile del trattamento. In nessuna delle formule sopra riportate compare l’autorizzazione alla comunicazione e
15
diffusione dei dati, perché tali operazioni sono solitamente prive di interesse per le Aziende UPA. In caso di contitolarità del trattamento, il consenso può essere richiesto da un primo titolare anche per utilizzo da parte di altri e successivi titolari, purché questi siano indicati specificamente a priori all'interessato e purché sia stata data l'informativa relativa al trattamento praticato da questi ulteriori titolari. Nel caso invece il titolare del trattamento voglia utilizzare i dati anche per l’invio di materiale pubblicitario relativo ad altre società, questo andrà esplicitato nell’informativa ("a fini di informazione e promozione di prodotti o servizi della società o di terzi"), ma i dati non potranno essere comunicati a tali società. . E' invece ormai acquisito che iniziative sviluppate dalla stessa impresa per sue marche anche diverse o linee di prodotto diverse rientrino in un unico trattamento dati e quindi necessitino di unico consenso e informativa. MISURE DI SICUREZZA (artt. 31 - 36; Allegato B) Il titolare del trattamento deve adottare le misure minime di sicurezza di natura tecnica, informatica, organizzativa, logistica volte ad assicurare un livello minimo di protezione dei dati personali; in particolare, si tratta di misure di custodia e di controllo dei dati che prevengono i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Nell’individuare queste misure che devono essere adottate dall’Azienda per il trattamento dei dati personali, il Codice distingue tra trattamento dei dati effettuato con strumenti elettronici (Art. 34; All. B, punti da 1 a 25) e trattamento effettuato con strumenti diversi da quelli elettronici (Art. 35; All. B, punti da 27 a 29). l) MISURE DI SICUREZZA IN CASO DI TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE AUTOMATIZZATI (art. 34; Allegato B) Per “strumenti elettronici” devono intendersi gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento (art 4, terzo comma, lettera b). Il trattamento di dati personali effettuato con tali strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B del Codice, alcune misure minime, tra le quali: l’autenticazione informatica (cioè l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità di colui che accede ai dati, quali codici identificativi dell’incaricato e parole chiave, da modificare periodicamente – sei mesi in caso di dati personali/tre mesi in caso di dati sensibili o giudiziari - per maggior segretezza), l’utilizzazione di un sistema di autorizzazione (cioè l’insieme degli strumenti e delle procedure che abilitano l’incaricato all’accesso ai dati ed alle modalità di trattamento degli stessi), la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti dei dati stessi, mediante l’attivazione di
16
strumenti automatizzati da aggiornare con cadenza almeno semestrale. In caso di trattamento di dati sensibili o di dati giudiziari il titolare del trattamento deve adottare ulteriori misure (All. B, numeri da 20 a 24), quali l’uso di supporti rimovibili per la memorizzazione dei dati al fine di evitare accessi non autorizzati e trattamenti non consentiti, nonché specifiche procedure per la custodia di copie di sicurezza. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati vanno distrutti o resi inutilizzabili; gli incaricati potrebbero riutilizzarli solo se le informazioni contenute in tali supporti non sono intellegibili o in alcun modo ricostruibili. Devono essere adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento in tempi non superiori a sette giorni. Con il Decreto semplificazioni (D.L. n. 5/2012 convertito, con modif., dalla L. n. 35/2012) è stato soppresso per le aziende, a partire dal 10 febbraio 2012, l’obbligo di tenere e aggiornare annualmente un documento programmatico per la sicurezza (DPS) ex art. 34, comma 2, lett. g), del Codice Privacy (norma ora abrogata), con la conseguenza che la tenuta del DPS è ora facoltativa. Nel DPS devono essere indicati, fra l’altro, l’elenco dei trattamenti dei dati personali, la distribuzione dei compiti e delle responsabilità all’interno delle strutture preposte al trattamento dei dati, nonché le misure da adottare per garantire l’integrità e la disponibilità dei dati stessi. 2) MISURE DI SICUREZZA IN CASO DI TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI DIVERSI DA QUELLI ELETTRONICI O COMUNQUE AUTOMATIZZATI (art. 35; Allegato B) Le misure di sicurezza richieste sono minori, e possono essere sintetizzate come segue. Il titolare (o il responsabile, ove nominato) deve: a) individuare l’ambito del trattamento consentito ai singoli incaricati ed aggiornarlo
periodicamente; b) adottare procedure che garantiscano un’idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti; c) apprestare procedure per la conservazione di determinati atti in archivi ad accesso
selezionato e disciplinare le modalità di accesso al fine di identificare gli incaricati. 3) MISURE SEMPLIFICATE (provv. Garante 27.11.2008) Con il provvedimento in data 27 novembre 2008 il Garante ha stabilito che i soggetti pubblici o privati a) che utilizzano dati personali non sensibili o che trattano come unici dati sensibili quelli dei propri dipendenti o collaboratori relativi allo stato di salute/malattia o all’adesione ad organizzazioni sindacali o b) che trattano dati personali per correnti finalità amministrative e contabili (in particolare presso liberi professionisti, artigiani e piccole e medie imprese) possono avvalersi di misure di sicurezza semplificate, come specificate nel provvedimento in questione, tra le quali ricordiamo:
i) trattamenti effettuati con strumenti elettronici: - le istruzioni in materia di misure minime di sicurezza possono essere impartite agli
17
incaricati anche oralmente; - si può utilizzare un qualsiasi sistema di autenticazione basato su un codice
identificativo (username), associato ad una password. L’username va disattivato quando l’incaricato non ha più la qualità che rende legittimo l’utilizzo dei dati. In caso di prolungata assenza o impedimento dell’incaricato, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite. Riguardo a tali modalità, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad es., prescrivendo ai lavoratori che si assentino dall’ufficio per ferie l’attivazione di modalità che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile: cfr. Linee guida in materia di lavoro per posta elettronica e Internet approvate dal Garante e pubblicate nella G.U. 10 marzo 2007, n. 58);
- gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici vanno effettuati almeno annualmente; se il computer non è connesso ad Internet, l’aggiornamento deve essere fatto almeno ogni biennio;
- i dati possono essere salvaguardati anche attraverso il loro salvataggio almeno mensile.
ii) trattamenti realizzati senza l’ausilio di strumenti elettronici: - le istruzioni finalizzate al controllo e alla custodia dei dati possono essere impartite
agli incaricati anche oralmente; - la documentazione contenente dati sensibili o giudiziari è controllata e custodita dagli
incaricati fino al termine delle operazioni loro affidate e andrà successivamente restituita.
TRASFERIMENTO DI DATI ALL'ESTERO (artt. 42-45) In omaggio al principio di libera circolazione dei beni e servizi all’interno dell’Unione Europea, i dati possono formare oggetto di trasferimento all’interno dell’Unione stessa. Il trasferimento dei dati in Paesi terzi è consentito nei casi elencati nell’art. 43, tra i quali segnaliamo il caso in cui l’interessato abbia prestato il proprio consenso espresso (o scritto, se si tratta di dati sensibili) al trasferimento; il caso in cui il trasferimento sia necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a richieste dell’interessato, ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato; il caso in cui il trasferimento sia necessario per la salvaguardia di interessi pubblici rilevanti o per la vita e l’incolumità di un terzo o, ancora, per il corretto svolgimento di attività difensive o investigative o comunque finalizzate alla difesa di un diritto in sede giudiziaria. Fuori da tali ipotesi, il trasferimento deve essere autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato. In ogni caso, il trasferimento è vietato qualora l’ordinamento dello Stato di destinazione o di transito dei dati non assicuri un livello di tutela adeguato.
18
ADOZIONE DEI CODICI DEONTOLOGICI (art. 12; art.140) La nuova disciplina prevede l’adozione di codici deontologici e di buona condotta per una serie di trattamenti, tra cui quelli effettuati “a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale”. Nei casi in cui il trattamento non presuppone il consenso dell’interessato, verranno previste forme semplificate per manifestare l’eventuale dichiarazione di non voler ricevere determinate comunicazioni (art. 140). In ogni caso, il rispetto delle condizioni previste in tali codici costituirà condizione essenziale per la liceità del trattamento dei dati (art. 12). ACQUISTO Dl DATI DA TERZI Suggeriamo alle Aziende che non raccolgono direttamente i dati ma ne acquistano la disponibilità da terzi di garantirsi con la massima attenzione e col massimo scrupolo sulla reale effettuazione di tutti gli adempimenti di legge relativi alla raccolta e al trattamento dei dati. A tal proposito, si veda il recente provvedimento del Garante in data 11 ottobre 2012 con cui è stata accertata l’illiceità del trattamento da parte di una società operante nel settore del telemarketing per aver utilizzato dati personali contenuti nel database acquisito tramite altra azienda, senza che questa società abbia rilasciato agli interessati idonea informativa ai sensi dell’art. 13 e senza aver acquisito il necessario consenso, libero, specifico e documentato per iscritto degli interessati ex artt. 23, co. 3, e 130, commi 1 e 2. COOKIES I cookies sono disciplinati dall’art. 122 del Codice privacy, il quale consente l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o utente, come pure l’accesso a informazioni già archiviate, solo a condizione che l’interessato abbia espresso il proprio consenso, dopo aver ricevuto l’informativa con modalità semplificate. Fanno eccezione i cd. cookies tecnici, per i quali non è necessario il consenso, ma solo l’informativa. CENNI SULLA TUTELA GIUDIZIARIA E SULLA TUTELA AMMINISTRATIVA (Parte III, Titolo I, artt.141-152) L’interessato può far valere i diritti di cui all’art. 7 o dinanzi all’autorità giudiziaria ordinaria (A.G.O.), o con ricorso al Garante Tutte le controversie relative all’applicazione delle disposizioni del Codice Privacy, comprese quelle inerenti alle opposizioni ai provvedimenti del Garante proposte dall’interessato o dal titolare o relative alla mancata adozione dei provvedimenti del Garante, sono devolute all’A.G.O. e sono disciplinate dall’art. 10 del d.lgs. n. 150/2011 (cd. Decreto taglia-riti), che stabilisce, innanzitutto, che esse sono regolate dal rito del lavoro. Le norme del Decreto predetto sono entrate in vigore dal 6 ottobre 2011.L'opposizione va
19
proposta con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati entro trenta giorni dalla comunicazione del provvedimento o dalla data del rigetto tacito, ovvero entro 60 gg. se il ricorrente risiede all’estero, pena la sua inammissibilità. L’efficacia esecutiva del provvedimento del Garante può essere sospesa secondo quanto disposto dall’art. 5 d.lgs. n. 150/2011, ossia:
- quando ricorrano gravi e circostanziate ragioni; oppure - in caso di pericolo imminente di un danno grave e irreparabile..
La sentenza del tribunale non è soggetta ad appello, può disporre le misure necessarie che devono essere adottate, anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno e la refusione delle spese di lite. L’art. 10, ult. comma, del D.Lgs. n. 150/2011 diversamente dall’art. 152 del Codice Privacy (ora abrogato) non prevede più che le sentenza che definisce in un unico grado (in quanto non appellabile) una controversia in materia di privacy sia ricorribile in Cassazione. Nonostante ciò è da ritenere che il ricorso per cassazione sarà ammesso qualora ricorrano le condizioni previste dall’art. 360 e ss. del codice di procedura civile. SANZIONI: Il titolo terzo del Codice Privacy è dedicato alle sanzioni e si suddivide in due capi, di cui il primo riguarda gli illeciti amministrativi (artt. 161-166) e il secondo gli illeciti penali (artt. 167-172).
I) VIOLAZIONI AMMINISTRATIVE (artt. 161-166) L’omessa o inidonea informativa di cui all’art. 13 del Codice Privacy all’interessato viene sanzionata con il pagamento di una somma che va da euro 6.000 ad euro 36.000 (art. 161). La cessione dei dati senza rispettare la previsione dell’art. 16, co.1, lett. b (i.e.: per una finalità incompatibile con il trattamento effettuato dal cedente) o in violazione di altre disposizioni di legge in materia di trattamento dei dati personali è punita con la sanzione amministrativa che va da 10.000 a 60.000 euro (art. 162, co. 1). Il secondo comma dell’art. 162 punisce con la sanzione pecuniaria da 1.000 a 6.000 euro la violazione dell’art. 84, comma 1, che disciplina la comunicazione all’interessato di dati relativi allo stato di salute, consentendola agli organismi sanitari, solo per il tramite di un medico designato dall’interessato medesimo o dal titolare. Nel caso di trattamento illecito di dati personali (ad es. perché effettuato in violazione delle misure minime di sicurezza prescritte nell’art. 33 o senza l’acquisizione del preventivo consenso dell’interessato), oltre alle sanzioni penali previste dalle disposizioni degli artt. 167 e 169, è altresì applicata in sede amministrativa la sanzione pecuniaria da 10.000 a 120.000 euro (art. 162, comma 2-bis).
20
Nel caso di inosservanza di provvedimenti del Garante relativi all’adozione di misure necessarie per rendere il trattamento conforme alle disposizioni vigenti o al divieto di trattamento illecito o al blocco dei dati, oltre alle sanzioni penali previste dall’art. 170, è altresì applicata in sede amministrativa la sanzione pecuniaria da 30.000 a 180.000 euro (art. 162, comma 2-ter). Nel caso di violazione del diritto di opposizione si applica una sanzione amministrativa pecuniaria da 10.000 a 120.000 euro (art. 162, comma 2-quater) La violazione delle disposizioni relative alla durata della conservazione dei dati relativi al traffico telefonico di cui all’art. 132, commi 1 e 1-bis, da parte di un fornitore di servizi di comunicazione elettronica è punita con il pagamento di una somma che va da euro 10.000 ad euro 50.000 (art. 162-bis). L’art. 162-ter detta una serie di norme relative alle sanzioni nei confronti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico e/o dei soggetti affidatari dell’erogazione dei servizi in questione. L’omessa comunicazione al Garante della violazione di dati personali ex art. 32-bis, co. 1, verrà sanzionata con il pagamento di una somma che va da 25.000 a 150.00 euro (art. 162-ter, comma 1); mentre l’omessa comunicazione di tale violazione al contraente ex art. 32-bis, comma 2, verrà punita con la sanzione da 150 euro a 1.000 euro per ciascun interessato coinvolto (art. 162-ter, comma 2). Quest’ultima sanzione non può essere applicata in misura superiore al 5% del volume d’affari realizzato dal fornitore nell’ultimo esercizio precedente alla notifica della contestazione amministrativa (art. 162-ter, comma 3). La violazione dell’obbligo di tenere un aggiornato inventario delle violazioni di dati personali ex art. 32-bis, comma 7, è invece punita con la sanzione amministrativa pecuniaria che va da 20.000 euro a 120.000 euro. L’omessa o incompleta notifica del trattamento ex artt. 37 e 38 è punita con la sanzione amministrativa pecuniaria che va da 20.000 a 120.000 euro (art. 163). L’omessa informazione o esibizione di documenti quando richiesto dal Garante ex art. 157 nonché la mancata adozione delle misure necessarie a tutela dei diritti dell’interessato prescritte dal Garante a seguito del ricorso proposto ex art. 150, comma 2, comporta l’applicazione di una sanzione amministrativa pecuniaria che va da euro 10.000 ad euro 60.000 (art. 164). L’art. 164-bis disciplina i casi di minore gravità e le ipotesi aggravate. Quanto ai primi i limiti minimi e massimi stabiliti dagli articoli da 161 a 164 sono applicati in misura pari a 2/5, avuto riguardo alla natura dell’attività svolta dal trasgressore. Le circostanze aggravanti previste dalla norma predetta sono relative invece alle seguenti fattispecie: a) violazioni amministrative relative a banche dati di particolare rilevanza o dimensioni (sanzione amministrativa pecuniaria da 50.000 a 300.000 euro, con esclusione del pagamento in misura ridotta); b) casi di maggiore rilevanza del pregiudizio per uno o più interessati
21
ovvero ipotesi in cui sono coinvolti numerosi interessati (i minimi e i massimi delle sanzioni sono applicati in misura pari al doppio); c) condizioni economiche del contravventore che possono rendere inefficaci le sanzioni (aumento sino al quadruplo). L’art. 165 prevede l’irrogazione della sanzione accessoria della pubblicazione dell’ordinanza ingiunzione, in uno o più giornali, a cura e spese del contravventore. L’applicazione di tale sanzione è facoltativa, essendo rimessa alla discrezionalità del Garante. Il Garante è il soggetto competente ad irrogare le sanzioni amministrative di cui al Capo I; per il procedimento di applicazione delle sanzioni si osservano le disposizioni della legge n. 689/1981 per quanto compatibili; i proventi delle sanzioni, nella misura del 50% del totale annuo, sono destinati al fondo costituito per il funzionamento dell’ufficio del Garante (art 166).
II) ILLECITI PENALI (artt. 167-172) Ai sensi dell’art. 167, comma primo, Codice Privacy il trattamento di dati personali configura un reato nei seguenti casi:
- trattamenti effettuati da soggetti pubblici al di fuori dei limiti e delle condizioni previsti dagli articoli 18 e 19;
- trattamento dei dati senza il consenso dell’interessato (art. 23); - trattamento dei dati relativi al traffico riguardanti contraenti ed utenti di reti pubbliche
di comunicazione o di un servizio di comunicazione elettronica al di fuori di limiti e condizioni stabiliti nell’articolo 123;
- effettuazione di comunicazioni indesiderate nei confronti di contraenti e utenti di servizi di comunicazione(artt. 129 e 130).
Tali condotte vengono punite con la reclusione da 6 a 18 mesi o, se il fatto consiste nella comunicazione o diffusione dei dati, con la reclusione da 6 a 24 mesi. Il secondo comma dell’art. 167 punisce con la reclusione da 1 a 3 anni le seguenti condotte, qualora sia sussistente la finalità di profitto o del danno altrui:
- effettuazione di trattamenti che presentano rischi specifici senza le garanzie prescritte dalla norma di cui all’art. 17;
- effettuazione di trattamenti di dati sensibili e giudiziari da parte di soggetti pubblici senza rispettare le condizioni previste dagli artt. 20, 21 o 22, commi 8 e 11;
- diffusione e comunicazione dei dati violando i divieti di cui all’articolo 25; - mancato rispetto delle garanzie previste dalla legge per il trattamento dei dati
sensibili (art. 26) e giudiziari (art. 27); - effettuazione di trasferimenti di dati all’estero vietati dall’art. 45.
E’ punita con la reclusione da 6 mesi a 3 anni ex art. 168 la condotta consistente nel fornire
22
comunicazioni e dichiarazioni false al Garante: a) nelle comunicazioni che il fornitore di servizi di comunicazione elettronica deve rendere al Garante in caso di violazione di dati personali ai sensi dell’art. 32-bis, commi 1 e 8; b) nella notificazione di cui all’art. 37; c) in atti o documenti resi o esibiti in un procedimento davanti al Garante; d) nel corso di accertamenti compiuti dal Garante. L’omessa adozione delle misure minime di sicurezza previste dall’art. 33 è punita con l’arresto sino a due anni ai sensi dell’art. 169, comma 1. E’ ammesso il pagamento di una sanzione ridotta nel caso di successiva adozione o regolarizzazione delle misure di sicurezza, con conseguente estinzione del reato (art. 169, comma 2). Ai sensi dell’ art. 170 è punita con la reclusione da 3 mesi a 2 anni l’inosservanza di provvedimenti del Garante adottati ai sensi degli artt. 26, comma 2 (autorizzazione al trattamento di dati sensibili); 90 (autorizzazione al trattamento dei dati genetici); 150, commi 1 e 2 (provvedimento a seguito del ricorso dell’interessato relativo al blocco dei dati o alla sospensione di una o più operazioni di trattamento o all’ordine di cessazione del comportamento illegittimo); e 143, comma 1, lettera c (provvedimento, adottato a seguito di reclamo, che dispone il blocco o vieta il trattamento illecito dei dati). L’art. 171 appresta una tutela penale per le ipotesi di violazione degli artt. 113 e 114. La prima delle disposizioni richiamate riguarda la raccolta di dati sensibili da parte del datore di lavoro. L’art. 114 disciplina invece il divieto di controllo a distanza del dipendente da parte del datore di lavoro. Le sanzioni previste dall’art. 38 dello Statuto dei lavoratori, cui l’art. 171 fa rinvio, consistono nell’ammenda da euro 150 ad euro 1.500 o nell’arresto da 15 gg. ad 1 anno. Nei casi più gravi le due pene possono essere applicate congiuntamente e ad esse può aggiungersi la pubblicazione della sentenza penale di condanna. L’art. 172 prevede per tutti i delitti previsti nel capo dedicato agli illeciti penali la pena accessoria della pubblicazione della sentenza di condanna.
![europe direct [Sola lettura]](https://static.fdocumenti.com/doc/165x107/62e7370bfccc4974bc264f26/europe-direct-sola-lettura.jpg)
