Misure di sicurezza minime, idonee e… necessarie

cxf2263Oramai è entrato nel gergo aziendale il termine misura minima di sicurezza ad indicare l’elenco di accorgimenti obbligatori, previsti dal Codice e specificati nel suo Allegato B, al di sotto del quale il livello di sicurezza nel trattamento dati personali è ritenuto inaccettabile. (V. Dlgs 196/2003: Art. 4 c. 3 lett. a, Artt. Da 33 a 35, Allegato B).

Allo stesso modo si è giunti ad una certa dimestichezza con l’altro termine misure idonee di sicurezza, il quale indica l’innalzamento della soglia di attenzione, dal minimo previsto da Leggi e Regolamenti, all’optimum che mette l’Azienda al riparo, non solo da sanzioni amministrative e penali, ma anche da un’eventuale richiesta di risarcimento avanzata da terzi per danni derivanti da un trattamento di dati personali. (V. Dlgs 196/2003: Artt. 15, 31. Codice civile: art. 2050).

Ma le misure necessarie? Di cosa si tratta?

Si tratta di un tertium genus rimesso all’iniziativa del Garante e solidamente supportato da sanzioni amministrative cha vanno da 30.000 a 180.000 euro (Art. 162 c. 2-ter Dlgs 196/2003).

Tali nuove misure di sicurezza “necessarie” sono introdotte attraverso lo strumento del Provvedimento ex art. 154 comma 1 lett. c) e d) al fine di:

  • prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143;
  • vietare anche d’ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell’articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali.

Di tali adempimenti obbligatori non c’è traccia ne’ sul Codice privacy (Dlgs 196/2003) ne’ sul relativo Allegato B, ma la loro obbligatorietà è fuori discussione.

Gli esempi più rilevanti:

  1. “Disciplinare interno sull’uso di Internet e Posta elettronica”, documento obbligatorio attraverso il quale si comunica ai Dipendenti e Collaboratori la Policy aziendale circa l’uso corretto della posta elettronica e della rete Internet indicando chiaramente le modalità di uso degli strumenti messi a disposizione e  in che misura e con quali modalità vengano effettuati controlli (Provvedimento Garante 1 marzo 2007);
  2. Documentazione delle scelte relative al sistema di Videosorveglianza”: in caso di installazione di un sistema di videosorveglianza (anche senza registrazione), le ragioni delle scelte che hanno portato ad escludere altre misure meno invasive, la descrizione dell’impianto, delle aree riprese, etc. (v. Provvedimento Garante 29 aprile 2004) devono essere adeguatamente documentate in un atto autonomo conservato presso il titolare e il responsabile del trattamento (ciò anche ai fini dell’eventuale esibizione in occasione di visite ispettive, oppure dell’esercizio dei diritti dell’interessato o di contenzioso).
  3. Nuove misure per gli Amministratori di sistema: si veda al riguardo SMBlog. il termine per l’adozione di tali misure è stato prorogato al 30 giugno 2009.

Diritto d’accesso e obbligo di trasparenza dei Datori di lavoro

I lavoratori hanno diritto di conoscere tutti i dati personali che riguardano la gestione del rapporto di lavoro secondo le modalità previste dal Codice Privacy.unlock-credit

Lo ha ribadito il Garante per la protezione dei dati personali decidendo sul ricorso proposto da XY (conducente di mezzi pubblici) al quale era stata negata la possibilità di ottenere tutte le informazioni relative alla gestione del rapporto di lavoro, ed in particolare i dati sui turni di servizio giornalieri da lui effettuati nell’arco degli ultimi dieci anni. Tali dati, come dichiarato dallo stesso dipendente, sarebbero stati utili in un procedimento da promuovere innanzi al Giudice del lavoro.

La Società trasporti pubblici di Terra d’Otranto (S.t.p.) S.p.A. si era però opposta alla richiesta, sostenendo che quelle informazioni non potevano essere considerati “dati personali” e che la loro ricerca, visto l’arco temporale esteso, sarebbe stata complessa. Aveva infine invocato il “temporaneo differimento dell’accesso” a questi dati, sostenendo che il loro rilascio al dipendente avrebbe pregiudicato il proprio esercizio del diritto di difesa qualora si fosse effettivamente instaurato un contenzioso.

Nell’accogliere il ricorso del dipendente, il Garante ha innanzitutto evidenziato che le informazioni relative all’ordinaria gestione del rapporto di lavoro costituiscono senza dubbio dati personali e, in quanto tali, possono essere legittimamente oggetto di richiesta di accesso da parte dell’interessato. Sulla base degli atti e di quanto stabilito dal Codice Privacy, l’Autorità non ha inoltre riscontrato ragioni idonee a giustificare un differimento dell’accesso poiché, non essendosi avviata alcuna controversia, non esisteva allo stato alcun pregiudizio concreto che avrebbe potuto condizionare o alterare l’esercizio del diritto di difesa da parte della società.

Il Garante ha quindi ordinato all’azienda di fornire la documentazione richiesta dal dipendente e ha posto a carico della stessa azienda le spese del procedimento.

Archivi giornalistici online e diritto all’oblio: quanto dura l’ “attualità”?

Il 3 aprile scorso, il Garante è intervenuto in quella zona di dissolvenza tra la riservatezza delle nostra vita privata e il c.d. diritto di cronaca, ovvero il diritto dei media di rendere lecitamente pubbliche informazioni che riguardano la nostra vita privata.

La domanda cui il Garante ha risposto è: fino a quando un dato personale (condanna o precedente pregiudizievole che sia) può essere riproposto? E, nell’ottica del Diritto all’informazione: come bilanciare la privacy dei cittadini messa a repentaglio dai motori di ricerca con l’esigenza di preservare l’integrità storica e la piena fruibilità degli archivi dei giornali messi online?

L’occasione si è presentata a seguito di alcuni ricorsi [doc. web nn. 158286615831521583162] presentati nei confronti di Rcs Quotidiani Spa che ha recentemente reso fruibile ai più comuni motori di ricerca parte dell’archivio storico del Corriere della Sera. I ricorrenti lamentavano il fatto che, digitando il proprio nome su di un comune motore di ricerca, ottenevano come risultato notizie pubblicate anche quindici anni prima. In un caso, il ricorrente era stato completamente assolto dai reati citati nell’articolo, ma ciò non emergeva dai risultati della ricerca. In altri casi, gli interessati, pur avendo negli anni cambiato vita e avviato una diversa attività professionale, continuavano ad essere associati a vicende ormai lontane.

L’Autorità non ha accolto l’istanza degli interessati di far cancellare o modificare i dati in questione dall’archivio on-line del quotidiano, ma ha ritenuto legittima, in considerazione della specificità dei casi, la loro richiesta di veder tutelata la propria attuale identità.

Il Garante per la protezione dei dati personali ha, quindi, individuato alcune modalità tecniche che gli editori devono adottare per evitare che i motori di ricerca estraggano in automatico dagli archivi dei giornali tutti i dati personali che vi sono contenuti, anche quelli non più attuali o incompleti che possano ledere la riservatezza delle persone.

Ha quindi imposto alla società editrice di adottare le opportune misure tecniche, ad esempio:

  • predisponendo una versione dell’articolo che non riporti i dati personali dei ricorrenti nel caso in cui l’articolo possa essere estratto automaticamente da motori di ricerca esterni (i.e. Google);
  • oppure prevedendo differenti modalità di presentazione delle pagine sul web, in particolare garantendo che le notizie siano rintracciabili soltanto usando il motore di ricerca del giornale o del sito web.

Queste soluzioni consentono di tutelare gli interessati e di preservare, al contempo, l’integrità della memoria storica, la libertà di ricerca anche storica, il diritto allo studio e all’informazione poiché gli utenti potranno comunque continuare a consultare la versione integrale degli articoli attraverso funzioni di ricerca interne al sito del giornale.

Sempre in materia di archivi giornalistici on line, il Garante ha invece rigettato un altro ricorso presentato da una cittadina che chiedeva di bloccare la diffusione on-line di informazioni che la riguardavano per fatti avvenuti nel 2001. In questo caso l’Autorità ha considerato prevalente la rilevanza sociale del reato contestato oltre che il più breve lasso temporale trascorso dalla vicenda e dai successivi sviluppi giudiziari, e ha ritenuto ancora opportuno che non vi fossero ostacoli a un’ampia, utile, conoscibilità dei fatti in questione.