a cura dell’avv. Ilaria Zamparo
Studio Legale Ivaldi
La tutela del diritto alla protezione dei dati personali è un diritto fondamentale della persona che spesso, soprattutto in ambito imprenditoriale, viene individuato come un mero ostacolo agli obiettivi dell’impresa, come un obbligo burocratico difficile da adempiere.
In realtà attraverso la concretizzazione di alcuni adempimenti le imprese potrebbero facilmente affrontare tale problema e garantire il rispetto della privacy all’interno delle proprie aziende.
Tra i soggetti che la legge indica come titolari del trattamento ci sono anche “le persone giuridiche, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono anche unitamente ad altro titolare le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati ivi compreso il profilo della sicurezza”.
Infatti, le imprese nell’ambito della loro attività interagiscono con clienti, dipendenti, fornitori ed altri soggetti ed in occasione di questi rapporti giuridici di sovente trattano e raccolgono dati personali, ovvero tutte le informazioni relative ad una persona fisica, e dati sensibili, ovvero dati che consentono di rivelare l’origine razziale ed etnica di una persona, le sue convinzioni religiose, filosofiche o di altro genere.
Per la raccolta, l’utilizzo e la conservazione di questi dati il D.lgs. 196/2003 e ss.mm.ii recante il “codice in materia di protezione dei dati personali” (di seguito anche solo Codice della Privacy) prescrive, anche a carico delle imprese, l’adozione di diversi adempimenti che si possono riassumere in quattro categorie:
- adempimenti nei confronti di tutti i soggetti che possono avere un contatto diretto o indiretto con l’impresa;
- adempimenti nell’ambito dei rapporti interni all’impresa;
- adempimenti relativamente all’uso di internet e posta elettronica.
Analizziamoli con ordine.
Un’impresa che tratti dati personali deve spiegare agli interessati (ad esempio ai propri clienti, fornitori, utenti, dipendenti, soci, amministratori, utenti che accedono ai siti internet aziendali) come vengono trattati i dati personali attraverso un’informativa redatta ai sensi dell’art. 13 del Codice della Privacy nell’ambito della quale dovranno essere chiarite, in particolare, le finalità e le modalità di trattamento, l’obbligatorietà o meno di conferire i dati, le modalità di conservazione dei dati nonché individuati il titolare del trattamento e/o il responsabile del trattamento.
Queste informazioni dovranno essere racchiuse in un documento denominato “Informativa privacy” che potrà essere anche pubblicato all’interno dell’impresa o sul sito internet o fornito tramite lettura a voce agli interessati, prima della raccolta dei dati stessi.
Un’ulteriore ma eventuale adempimento a carico delle imprese, sarà quello di riscontrare ogni richiesta di accesso ai dati personali avanzata da chiunque abbia l’interesse di sapere se l’azienda abbia o meno dati personali che lo riguardino nonché garantire agli interessati di opporsi al trattamento garantendo al cancellazione dei dati dagli archivi dell’impresa.
Nell’ambito della struttura interna dell’impresa, la Società, per garantire al suo interno, il corretto trattamento dei dati personali, dovrà essere dotata di una serie di atti di nomina.
Come stabilito dall’art. 28 del Codice della Privacy “quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è titolare nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”.
L’impresa, in persona del Presidente e/o Amministratore pro tempore, dovrà procedere a nominare tramite apposito atto scritto, il responsabile del trattamento, ovvero un soggetto che “per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza” .
Se, infatti, è vero che non sempre il Titolare può occuparsi degli aspetti pratici del trattamento e che, in tali casi, sia irrinunciabile la preposizione di uno o più Responsabili che lo coadiuvi nell’opera, è vero anche che, in situazioni di maggiore complessità organizzativa, un Responsabile unico difficilmente può, a sua volta, reggere con la dovuta perizia e attenzione il gravame dei vari compiti di privacy.
Non è facile stabilire a priori quale sia il quantum, ossia il numero idoneo di Responsabili di cui ciascuna realtà si deve dotare. La variabile può risentire del numero di dipendenti, dalla quantità di dati personali trattati, dal tipo e dalla delicatezza dei dati trattati, dal tipo di suddivisione interna delle varie attività, dalla dislocazione o meno degli uffici o filiali sul territorio, e molto altro ancora. Tuttavia, in aderenza allo spirito della legge sulla privacy e se si intende correttamente quanta e quale attenzione è richiesta, si possono - anche solo col buon senso - effettuare scelte che risulteranno adeguate nel caso in cui vengano puntati addosso i riflettori (da parte di interessati, ispettori o autorità giudiziaria, che siano).
In sostanza, dove è bene che vi sia una vigilanza attiva e specifica, è bene preporre un Responsabile capace e disponibile, altrimenti conviene rinunciarvi, perché tali eccessi possono costituire un boomerang che ritorna addosso al Titolare sotto forma di culpa in eligendo et in vigilando per cattiva assegnazione delle responsabilità di privacy.
Il Titolare o il Responsabile del Trattamento al fine di consentire operazioni di trattamento di dati personali all’interno delle imprese dovranno nominare degli incaricati del trattamento che opereranno sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
La designazione degli incaricati dovrà essere effettuata per iscritto con specifica individuazione dell’ambito di trattamento consentito.
Il Garante della Privacy, oltre a questi adempimenti derivanti direttamente dal Codice della Privacy, con provvedimento n. 13 del 1° marzo 2007 ha dettato apposite linee guida per l’utilizzo della posta elettronica ed internet nel rapporto di lavoro.
Con tale provvedimento il Garante ha prescritto ai datori di lavoro, pubblici e privati, le misure necessarie a garanzia degli interessati e le linee guida per l’uso aziendale di Internet e della posta elettronica. In particolare, le imprese dovrebbero predisporre un disciplinare tecnico che dovrebbe prevedere:
- quali comportamenti siano tollerati rispetto alla navigazione Internet e alla tenuta dei file in rete;
- in quale misura sia consentito ai dipendenti l’uso personale di Internet e posta elettronica;
- quali informazioni sull’uso di tali strumenti siano memorizzate temporaneamente e chi vi possa accedere;
- quali informazioni siano detenute dall’impresa per un tempo più lungo e se in forma centralizzata;
- se e in quale misura vengano svolti controlli dal datore di lavoro (con l’indicazione di ragioni e modalità);
- quali siano le conseguenze disciplinari dell’uso indebito di tali strumenti elettronici;
- quali siano le soluzioni prefigurate, con la cooperazione del lavoratore, per garantire la continuità dell’attività lavorativa in caso di sua assenza;
- quali misure siano adottate per garantire l’eventuale segreto professionale cui possono essere tenute specifiche figure professionali in particolari realtà lavorative;
- quali siano le prescrizioni interne sulla sicurezza dei dati.
Alla luce di questi chiarimenti, atteso che l’utilizzo delle risorse informatiche e telematiche deve sempre ispirarsi ai principi di semplificazione, armonizzazione, efficacia, diligenza e correttezza, le Imprese dovrebbero adottare un Regolamento interno, redatto ai sensi delle Linee Guida impartite dal Garante, al fine di evitare che comportamenti inconsapevoli possano provocare violazioni del Codice della Privacy.
Infatti, le problematiche che si riscontrano nell’applicazione delle norme sulla privacy possono avere conseguenze anche molto gravi. Per le violazioni alle prescrizioni del Codice è previsto infatti un articolato quadro sanzionatorio che possono comportare sia l’applicazione di sanzioni amministrative (in caso ad esempio di omessa notificazione o omessa informativa) oppure di sanzioni penali (ad esempio in caso di trattamento illecito dei dati). Alcune di queste sanzioni possono inoltre accompagnarsi con la sanzione accessoria costituita dalla pubblicazione dell’ordinanza su uno o più giornali. All’Autorità Garante, infine, la legge assegna, in particolari situazioni, il potere di “blocco” del trattamento.
Nel caso in cui le Imprese riscontrino problemi specifici nella gestione della privacy è quindi opportuno che intervengano tempestivamente al fine di rimuovere le insufficienze tecniche ed organizzative prima che queste possano determinare violazioni del Codice della Privacy e dei provvedimenti del Garante con le conseguenze sanzionatorie sopra esposte.
-------------------------------------
Lo Studio Legale Ivaldi in Genova, con il quale Legacoop Liguria ha stipulato una convenzione, presta la propria consulenza professionale ai fini della redazione di ogni documento utile a migliorare l’organizzazione dell’Impresa e a ridurre sensibilmente i potenziali rischi cui la stessa si espone in materia di tutela della privacy, in particolare predisponendo:
- l’Informativa Privacy ai sensi dell’art. 13 del Codice della Privacy;
- gli atti di nomina di Responsabile del Trattamento ai sensi dell’art. 29 del Codice della Privacy;
- gli atti di nomina di Incaricato del Trattamento ai sensi dell’art. 30 del Codice della Privacy;
- il regolamento di utilizzo di internet e posta elettronica, ai sensi e per gli effetti del Provvedimento del Garante per la Privacy pubblicato sulla Gazzetta Ufficiale n. 58 del 10 marzo 2007.
I suddetti documenti saranno essere redatti solo dopo un’attenta disamina della realtà aziendale.
