Inasprite le sanzioni e via libera alle “telefonate di disturbo”

Il 24 febbraio 2009 la Camera dei deputati ha convertito in Legge il DL 30 dicembre 2008 n°207, il cd decreto mille proroghe.

Come previsto, vengono così definitivamente approvati gli inasprimenti delle sanzioni previste dal “Codice in
materia di protezione dei dati personali” e autorizzate, fino al prossimo 31 dicembre 2009, le “telefonate commerciali indesiderate” usando i numeri presenti negli elenchi telefonici pubblici formati prima del 1 agosto 2005.

Le nuove sanzioni privacy

Sanzioni amministrative

Prima del DL 207/2008

Dopo il DL 207/2008

Omessa o inidonea informativa all’interessato

Da 3.000 a 18.000 €

Da 6.000 a 36.000 €

Cessione illecita dei dati

Da 5.000 a 30.000 €

Da 10.000 a 60.000 €

Violazioni relative ai dati personali idonei a rivelare lo stato di salute

Da 500 a 3.000 €

Da 1.000 a 6.000 €

Omessa o incompleta notificazione

Da 10.000 a 60.000 €

Da 20.000 a 120.000 €

Omessa informazione o esibizione di documenti al Garante

Da 4.000 a 24.000 €

Da 10.000 a 60.000 €

Trattamento di dati in violazione delle misure di sicurezza (nuovo comma 2bis, art. 162)

Da 20.000 a 120.000 €

Telefonate indesiderate

Importante novità (o, meglio, ritorno al passato) in materia di privacy e marketing diretto: il comma 1 bis dell’art. 44 del decreto mille proroghe, introduce la possibilità per i titolari del trattamento che hanno costituito delle banche dati in data anteriore al 1° agosto 2005 di utilizzare i dati personali in esse contenuti per fini promozionali fino al 31 dicembre del 2009, senza necessità di rilasciare l’informativa e raccogliere il consenso preventivo degli interessati (prima dell’approvazione del decreto i dati estratti dagli elenchi telefonici pubblicati prima del 1° agosto 2005 potevano essere utilizzati dal titolare del trattamento per contattare direttamente gli interessati a condizione che fosse stata fornita a suo tempo un’idonea informativa).

Disponibile un indice per materia dei provvedimenti
sul sito del Garante (era ora!)

Roma, 24 febbraio 2009

Finalmente un intervento di carattere sistematico sul sito istituzionale del Garante privacy: una nuova area, introdotta nel portale che raccoglie i principali provvedimenti dell’Authority suddivisi per materia e affianca quella cronologica.

L’indice rappresenta le principali tematiche affrontate dal Garante e propone documenti a carattere generale e particolare, selezionati secondo criteri di interesse e rilevanza.

… ed era ora! Ci auguriamo che, sulla scia delle semplificazioni rientri anche una migliore usability del portalino italiano della privacy che, a differenza di altri (si veda, uno su tutti, l’omologo inglese ICO) ancora stenta a mettersi al servizio di chi non sia operatore del diritto e della privacy cerchi il risvolto più pragmatico della quotidiana applicazione in azienda.

Coraggio Italia!

Amministratori di sistema: prorogati i termini per gli adempimenti

Il Garante privacy ha prorogato al 30 giugno 2009 i termini per l’adozione da parte di enti, amministrazioni pubbliche, società private delle misure tecniche e organizzative che riguardano la figura degli “amministratori di sistema”. Le regole erano state fissate dal Garante con il provvedimento del 27 novembre 2008

L’opportunità di unificare le scadenze previste per l’adozione di tali misure e prorogare quindi tutti i termini, è stata valutata dall’Autorità tenuto conto anche dell’ampia platea dei soggetti interessati e  dei quesiti pervenuti relativi all’esatta interpretazione degli adempimenti.

Il provvedimento è in corso di pubblicazione sulla Gazzetta Ufficiale.

Incaricati del trattamento: istruzioni per l’uso (delle informazioni altrui)

Eccoci nuovamente ad approfondire gli ultimi interventi semplificatori del Garante oramai divenuti Legge dello Stato dopo la pubblicazione sulla Gazzetta Ufficiale.

Oggi affronteremo un passaggio molto delicato sia dal punto di vista del rischio d’impresa che da quello degli obblighi contrattuali del singolo lavoratore: il conferimento dell’incarico al trattamento dei dati personali.

Chi è l’Incaricato?

Codice Privacy, Art. 30. Incaricati del trattamento

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.

Dalla pubblicazione del Provvedimento del Garante 27 novembre 2008 ho letto di tutto in merito alle nuove nomine degli Incaricati per le categorie di Titolari che rientrano nell’alveo delle semplificazioni privacy. In questo post cercheremo di fare chiarezza.

Anzitutto:

  • la nomina ad Incaricato va sempre effettuata per iscritto così come per iscritto vanno dettagliatamente indicati i trattamenti consentiti.
  • La semplificazione riguarda esclusivamente le istruzioni da impartire agli Incaricati in materia di misure minime di sicurezza, ovvero:
  1. Quali cautele adottare per assicurare la segretezza della componente riservata della credenziale di autenticazione e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’Incaricato (punto 4 All. B);
  2. Le istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (punto 9 All. B);
  3. Le istruzioni organizzative e tecniche per il backup dati con frequenza almeno mensile (punto 18 All. B);
  4. Le istruzioni per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti (punto 21 All. B).

A questo punto mi sovviene una domanda: una volta spiegato oralmente ai miei Incaricati del trattamento come adottare le misure minime di sicurezza, in caso di eventuali contestazioni, come faccio a dimostrare:

  • Di averlo effettivamente fatto?
  • Il livello e l’efficacia di contenuti e dettagli nelle istruzioni impartite?

A parte la sanzione (pesante) prevista dal Codice per omessa adozione di misure minime di sicurezza (somma da €20.000 a 120.000!), in questa sede interessa rilevare il caso in cui venga cagionato un danno a terzi per effetto di maldestre operazioni di trattamento effettuate da un Incaricato.

Codice Privacy, Art. 15. Danni cagionati per effetto del trattamento

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.

Ovvero: il trattamento dati personali è equiparato all’esercizio di un’attività pericolosa con conseguente inversione dell’onere della prova a carico del Titolare il quale sarà tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno. Siamo, evidentemente, nell’ambito della c.d. colpa oggettiva: salvo caso fortuito, ci sarà sempre una misura idonea che non è stata adottata, diversamente il danno non si sarebbe prodotto.

Secondo la giurisprudenza prevalente della Cassazione, la responsabilità sarà pertanto imputata a chi, al momento del danno, esercitava il controllo sull’attività del trattamento: l’imprenditore è pertanto sempre tenuto ad organizzare l’attività di trattamento in maniera tale da poter ricondurre gli eventi dannosi ai soli episodi di caso fortuito.

Ritorniamo al caso in cui un Incaricato abbia cagionato un danno a terzi come conseguenza di un trattamento illecito di dati personali per violazione delle misure minime di sicurezza: nessun dubbio che spetti al Titolare il risarcimento nei confronti del terzo, ma, qualora il danno sia dovuto a negligenza o errore imputabile all’Incaricato, il Titolare potrà su di esso rivalersi solo se proverà di aver adottato tutte le cautele del caso, ed in particolare, se dimostrerà di aver impartito chiare, precise, corrette istruzioni al momento del conferimento dell’Incarico o di un cambio di mansioni o d’introduzione di nuovi significativi strumenti.

Questo significa che: in caso di violazione da parte dell’Incaricato delle disposizioni impartite e degli obblighi di fedeltà (Art. 2105 c.c.) e diligenza (art. 2104 c.c.) oltre ad applicare le sanzioni disciplinari previste (art. 2106 c.c.), il Titolare potrà rivalersi su di esso in quanto parte contrattuale inadempiente, richiedendo quindi il risarcimento dei danni subiti.

 

In conclusione

Considerato che integrare la Lettera d’Incarico con le procedure da seguire in materia di misure minime di sicurezza non comporta un grande sforzo logistico e intellettuale, visti i possibili scenari in caso di danni come conseguenza del trattamento, consiglio vivamente di lasciar perdere istruzioni orali, salvo che siano collocate nel contesto di un vero e proprio intervento formativo effettuato da professionisti con tanto di rilascio di certificazione.

Pertanto: Lettere d’Incarico chiare e particolareggiate con tanto di procedure per l’adozione e il rispetto delle misure minime di sicurezza aziendali, supportate e integrate da un idoneo Disciplinare interno per l’uso di Internet e della posta elettronica (anch’esso obbligatorio ex art. 154, comma 1, lettera c, Codice Privacy) da pubblicizzare adeguatamente (e da sottoporre ad aggiornamento periodico) che indichi le modalità di utilizzo degli strumenti elettronici messi a disposizione.

 

Viaggio nel nuovo DPS semplificato

Chi non può usufruire dell’Autocertificazione (v. Provvedimento Garante n°27 Novembre 2008) può sempre confidare di rientrare nel gruppone di coloro che trattano dati personali unicamente per finalità amministrative e contabili e, pertanto, redigere un DPS decisamente alleggerito (Per individuare i Destinatari delle semplificazioni: v. Post 11 febbraio 2009).

In questo post sveleremo questo nuovo DPS Semplificato così come è stato delineato dal Garante nel Provvedimento sopra indicato.

Prima di tutto ci tengo a ricordare che nulla è cambiato in ordine al regime di gestione del Documento:

  • deve sempre essere redatto prima dell’inizio del trattamento,
  • deve essere aggiornato entro il 31 marzo di ogni anno (solo nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento).

Passiamo ora alla parte pratica: come va dunque redatto il nuovo DPS Semplificato?

Ecco un percorso dettagliato nei suoi contenuti minimi:

  1. Vanno anzitutto indicati gli estremi del Titolare;
  2. Responsabili: se nominati (la loro nomina non è mai obbligatoria) vanno indicati sia nominalmente sia specificando:
    1. compiti;
    2. se interni o esterni;
    3. e, se è prevista una modifica frequente dei Responsabili designati, vanno indicate le modalità attraverso le quali conoscere l’elenco aggiornato di tutti i Responsabili (es.: link, indirizzo email, etc.)
  3. Descrizione dei trattamenti effettuati:
    1. dati o categorie di dati trattati;
    2. categorie di persone interessate;
    3. finalità del trattamento;
    4. destinatari o categorie di destinatari a cui possono essere comunicati
  4. Incaricati del trattamento:
    1. stilarne un elenco (anche per classi omogenee d’incarico);
    2. descriverne mansioni e responsabilità.
  5. Descrizione delle misure di sicurezza adottate per prevenire i rischi di:
    1. distruzione o perdita, anche accidentale, dei dati;
    2. accesso non autorizzato;
    3. trattamento non consentito o non conforme alle finalità della raccolta.

Le misure di sicurezza descritte nel DPS Semplificato devono almeno rispettare i nuovi parametri di sicurezza minimi individuati dal Garante (v. Provvedimento Garante n°27 Novembre 2008), ovvero:

  1. le istruzioni in materia di misure minime di sicurezza previste dall’Allegato B) possono essere impartite agli Incaricati anche oralmente;
  2. Per l’accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su uno username associato a una password (come procedura di autenticazione può essere adottata anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete).
  3. Qualora sia necessario diversificare l’ambito del trattamento consentito, possono essere assegnati agli incaricati (singolarmente o per categorie omogenee)  corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

  4. Aggiornamento Antivirus: almeno annualmente (se il computer non è connesso a Internet, l’aggiornamento deve essere almeno biennale).

  5. Backup: frequenza almeno mensile (il backup può non riguardare i dati non modificati dal momento dell’ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino).

Prossimamente pubblicheremo un facsimile di DPS Semplificato.


Newsletter del Garante n. 319 del 12 febbraio 2009 – piano ispettivo per i primi sei mesi del 2009

Il Garante per la protezione dei dati personali ha pubblicato la newsletter n. 319 del 12 febbraio 2009. Tre gli argomenti affrontati:

  • Il Garante vara il piano ispettivo per i primi sei mesi
  • Abusi su minori troppi dettagli nelle cronache, arriva lo stop del Garante
  • Avvisi condominiali a prova di privacy

Nel seguito riportiamo integralmente il testo relativo alle “piano ispettivo per i primi sei mesi“. Per gli altri contenuti si rimanda alla newsletter.

 

Il Garante vara il piano ispettivo per i primi sei mesi

Nel 2008 applicate sanzioni per 1 milione 400mlia euro

Sistema informativo del fisco, banche, sistema sanitario. Saranno questi tre grandi settori ad essere innanzitutto interessati dall’attività di accertamento del Garante per la privacy. L’Autorità ha varato, infatti, il piano di ispezioni per il primo semestre 2009. Il piano prevede, inoltre, sia nel settore pubblico che in quello privato, specifici controlli sugli obblighi relativi all’adozione delle misure di sicurezza, all’informativa da fornire ai cittadini, al consenso da richiedere nei casi previsti dalla legge. Oltre 200 gli accertamenti ispettivi previsti che verranno effettuati anche in collaborazione con il Nucleo Privacy della Guardia di Finanza. L’Autorità effettuerà inoltre, come di consueto, le attività ispettive che si renderanno necessarie in ordine a segnalazioni e reclami presentati.

 

Significativo è il bilancio dell’attività relativa all’anno appena trascorso. Nel 2008, gli ispettori del Garante hanno effettuato, presso amministrazioni pubbliche e società private, 500 ispezioni in loco. Gli accertamenti hanno riguardato, tra l’altro, gestori telefonici, cliniche private, agenzie assicurative, soggetti pubblici che svolgono attività di riscossione, commercialisti, finanziarie, aziende che effettuano attività di vendita on line, scuole che raccolgono dati anche via Internet, centri medici di chirurgia estetica.

 

Sono stati adottati numerosi provvedimenti di blocco del trattamento e di prescrizione, oltre alla contestazione di 338 sanzioni amministrative, gran parte delle quali relative all’omesso obbligo, da parte di chi gestisce banche dati, di informare gli interessati sull’uso che viene fatto dei loro dati personali.

 

A seguito delle sanzioni applicate sono stati riscossi circa 1.400.000 euro: di questi, oltre 335 mila sono relativi alla mancata adozione di misure si sicurezza da parte di aziende e pubbliche amministrazioni.

 

Nel corso delle attività sono state anche inviate 12 segnalazioni all’Autorità giudiziaria per violazioni di carattere penale per trattamento illecito di dati personali, false dichiarazioni al Garante, inadempimento di provvedimenti del Garante e mancata adozione di misure minime di sicurezza.

Autocertificazione al posto del DPS? Lasciate perdere

Questo il mio parere di consulente legale dopo un’attenta disamina dei più recenti interventi di semplificazione (o banalizzazione) delle misure minime di sicurezza nel settore data protection.

Tralasciando per qualche istante best practices e buonsenso mi sono chiesto: ma chi può realmente e in tutta tranquillità bypassare il DPS con un’autocertificazione?

Partiamo dalla fetta più consistente di destinatari delle nuove norme: liberi professionisti, artigiani e PMI che, con strumenti elettronici, trattano:

a)        solo dati personali non sensibili (indirizzi, numeri di telefono, etc.) oppure che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale;

b)        dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese.

I Titolari che rientrano nel Punto a) possono sostituire il Documento con una più agile Autocertificazione nella quale attestano di trattare soltanto tali dati (v. Punto a) in osservanza delle altre misure di sicurezza prescritte (v. Codice e suo Allegato b), mentre i Titolari che rientrano nel Punto b) devono redigere si il DPS, ma in forma semplificata.

 

Chi può passare all’autocertificazione?

Vediamo un po’ chi effettivamente rientra nel Punto a) e può tranquillamente usufruire dell’Autocertificazione sostitutiva del DPS.

A prima vista sembrerebbe che la stragrande maggioranza dei Titolari di trattamento, limitandosi a gestire informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate anche in relazione a obblighi contrattuali e normativi per correnti finalità amministrative e contabili, possa mandare in soffitta il DPS, ma attenzione ad un dettaglio di non trascurabile rilevanza.

Se per quanto riguarda i dati comuni non sorge alcun dubbio, non altrettanto si può dire per la tipologia di dati sensibili che rientrano nell’agevolazione. Il nuovo Art. 34 comma 1-bis del Codice Privacy parla di “dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto, costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi”, ed è su quest’ultima locuzione che vorrei spendere qualche riflessione.

 

Quali sono i dati idonei a rivelare lo stato di salute di lavoratori trattati in Azienda?

1)   Comunicazioni all’INPS: per le assenze per motivi di salute, il lavoratore utilizza un’apposita modulistica, consistente in un attestato di malattia da consegnare al datore di lavoro (con la sola indicazione dell’inizio e della durata presunta dell’infermità: c.d. “prognosi”) e in un certificato di diagnosi da consegnare, a cura del lavoratore stesso, all’Istituto nazionale della previdenza sociale (Inps) o alla struttura pubblica indicata dallo stesso Istituto d’intesa con la regione, se il lavoratore ha diritto a ricevere l’indennità di malattia a carico dell’ente previdenziale.

2)   Denuncia all’INAIL: la denuncia all’Istituto assicuratore (Inail) ha ad oggetto infortuni e malattie professionali occorsi ai lavoratori. Essa, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965). In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro, resta fermo a suo carico l’obbligo di limitarsi a comunicare all’ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata.

3)   Benefici di legge: trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap.

4)   Accesso a programmi riabilitativi o terapeutici:  il datore di lavoro può venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l’onere di presentare (nei termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell’art. 124, commi 1 e 2, d.P.R. n. 309/1990).

5)   Medico competente: il D.L 626/1994 pone direttamente in capo al medico competente in materia di igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, il correlativo trattamento dei dati contenuti in cartelle cliniche).

In quest’ambito, il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 DPR 303/1956; art. 16 D.L. 626/1994) e istituisce (curandone l’aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies e 70 d.lg. n. 626/1994).

Detta cartella è custodita presso l’azienda o l’unità produttiva, “con salvaguardia del segreto professionale, e [consegnata in] copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta” (art. 4, comma 8, d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all’Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (art. 72-undecies, comma 3, d.lg. n. 626/1994), in originale e in busta chiusa.

Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un’efficace custodia nei locali aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma, come detto, “con salvaguardia del segreto professionale” .

 

Ancora sicuri di poter ricorrere all’Autocertificazione?

Ricordando, poi, che per il Codice operazioni di trattamento sono anche la conservazione di dati personali anche se non registrati in una banca dati, faccio presente che è sufficiente una semplice email con scannerizzata una denuncia Inail per far scattare l’obbligo di redazione del DPS seppur in forma semplificata.

 

Quali rischi?

Il rischio a cui si espone il Titolare del trattamento non è più quello relativo alla violazione dell’art. 169, bensì quello dell’art. 168 del Codice Privacy. Tale ipotesi di reato attiene alle “Falsità nelle dichiarazioni e notificazione rese al Garante”: Chiunque, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da 6 mesi a 3 anni.

E’ evidente, quindi, il diverso tenore della sanzione che il Titolare rischia di vedersi comunque infliggere se autocertifica e attesta falsamente in tale documento di trattare solo dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto (…) senza indicazione della relativa diagnosi, poiché si prevede la pena (ben superiore) della reclusione da sei mesi a tre anni (al posto dell’arresto sino a due anni previsto dall’art. 169 anche per il mancato adeguamento del DPS nella situazione ante modifica).

 

In conclusione

Considerato il non gravoso impegno della redazione del nuovo DPS in forma semplificata, consiglio caldamente a tutti coloro che trattano dati dei propri dipendenti con strumenti elettronici di eccedere pure in prudenza e proseguire con gli aggiornamenti del DPS entro il 31 marzo di ogni anno alleggerendolo pure di tutte quelle parti non ritenute più necessarie dall’ordinamento.