Informazioni commerciali a prova di privacy: il Garante vara il Codice di deontologia

Privacy-Garante-nuove-regole-su-spamFissate le regole per il corretto uso dei dati sull’affidabilità commerciale di imprenditori e manager:

  • Le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno raccogliere dati  solo da fonti pubbliche o direttamente dall’interessato.
  • I dossier dovranno essere sempre aggiornati e la conservazione dei dati avrà precisi limiti temporali.

Queste alcune tra le principali misure prescritte dal Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale, promosso dal Garante della privacy e redatto insieme a varie associazioni di categoria, imprenditoriali e dei consumatori, interessate al settore.

Il nuovo Codice, sottoscritto dalle  associazioni e pubblicato  il 13 ottobre 2015 sulla Gazzetta ufficiale, interviene a regolare un settore particolarmente importante per il corretto funzionamento del mercato. Le società che offrono informazioni commerciali, infatti, grazie al loro lavoro di valutazione della situazione economica, finanziaria e patrimoniale, sono in grado di segnalare eventuali rischi relativi a soggetti in affari.

Tuttavia, come ha più volte sottolineato il Garante, intervenuto negli anni a seguito di numerosi ricorsi e segnalazioni su queste attività,  il non corretto utilizzo di banche dati e di strumenti di analisi così invasivi può arrecare seri danni alla dignità e alla riservatezza delle persone coinvolte, nel  caso, ad esempio, in cui venissero raccolte e utilizzate informazioni inesatte, non aggiornate o che devono rimanere private.

Le nuove regole in sintesi

Ecco in sintesi le regole più rilevanti fissate dal Codice di deontologia alle quali dovranno attenersi tutti gli operatori del settore.

Ricerche limitate a persone con legami giuridici o economici

Per realizzare un dossier di informazione commerciale su un manager o un imprenditore, si possono utilizzare solo i suoi dati personali, oppure quelli di persone fisiche o giuridiche che con lui hanno o hanno avuto legami economici o giuridici.

Informazioni pubbliche o liberamente comunicate

Sono utilizzabili i dati provenienti da “fonti pubbliche”, come i pubblici registri, gli elenchi, i documenti conoscibili da chiunque (bilanci, informazioni contenute nel registro delle imprese presso le Camere di commercio, atti immobiliari e altri atti c.d. pregiudizievoli come l’iscrizione di ipoteca o la trascrizione di pignoramento, decreti ingiuntivi o altri atti giudiziari).

Per la prima volta, saranno utilizzabili a questi fini:

  • anche i dati estratti da “fonti pubblicamente e generalmente accessibili da chiunque”, come le testate giornalistiche cartacee o digitali,
  • oltre che informazioni attinte da elenchi telefonici, da siti web di enti pubblici o altre autorità di vigilanza e controllo.

Tutti questi dati, come previsto dal Codice della privacy, possono essere trattati senza il consenso degli interessati.

Potranno essere utilizzati anche i dati personali che il soggetto stesso ha liberamente deciso di comunicare al fornitore di informazioni commerciali.

Gli operatori dovranno sempre annotare la fonte da cui hanno tratto i dati personali sulla persona censita.

Informativa e pronto riscontro agli interessati

Tutte le società del settore dovranno pubblicare un’informativa completa almeno sul proprio sito web.

Quelle con un fatturato superiore a 300.000 euro (in questo ambito di attività) dovranno realizzare insieme un unico portale dove inserire le comunicazioni sulle attività di informazione commerciale.

E’ previsto inoltre l’obbligo per gli operatori del settore di garantire un riscontro telematico, tempestivo e completo, alle richieste in materia di privacy avanzate dalle persone censite.

Limiti all’utilizzo e alla conservazione dei dati

I dati personali possono essere conservati solo per periodi di tempo ben definiti e, comunque, trattati nel rispetto dei limiti alla conoscibilità, all’utilizzabilità e alla pubblicità dei dati previsti dalle normative di riferimento (ad esempio quella sulla trasparenza o sulla pubblicità legale degli atti).

Potranno essere trattati anche dati giudiziari (come quelli relativi  ad un’eventuale condanna, ad esempio, per bancarotta fraudolenta) della persona censita. Tali informazioni, se tratte da un giornale, o da un’altra fonte pubblicamente e generalmente accessibile, non possono risalire a più di sei mesi prima.

Dati sempre pertinenti e aggiornati

Gli operatori del settore dovranno utilizzare solo dati pertinenti e non eccedenti l’attività di informazione commerciale.

I dati dovranno essere sempre aggiornati.

Sicurezza delle informazioni

Le società dovranno adottare misure per garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali.

Il nuovo Codice di deontologia entrerà in vigore il 1 ottobre 2016, così da offrire agli operatori il tempo necessario per poter conformare le banche dati e i sistemi informativi alle prescrizioni stabilite. A partire da quella data, qualunque trattamento di dati personali per finalità di informazione commerciale non conforme al testo appena sottoscritto sarà considerato illecito.

Videosorveglianza con informativa anche senza registrazione

La ripresa di immagini è sempre videosorveglianza anche se non si fa registrazione e i volti ripresi sono sempre un dato personale, anche se la persona non viene identificata.

La Cassazione (sentenza n. 17440 del 2 settembre 2015) cambia la sua giurisprudenza e fa chiarezza sulle regole generali della videosorveglianza e conferma la sanzione comminata dal garante della privacy a una torrefazione calabrese, che non aveva esposto il cartello informativo previsto per la videosorveglianza.

Nel caso specifico si è trattato di una telecamera:

  • presente all’interno di un negozio,
  • collegata a un monitor sistemato nel soppalco dell’esercizio commerciale,
  • utilizzata dal titolare per sorvegliare l’accesso degli avventori.

La vicenda è stata sanzionata dal Garante della privacy per violazione dell’obbligo di informativa ai sensi dell’articolo 13 del codice della privacy (Dlgs 196/2003).

Il commerciante ha presentato opposizione in cui ha sostenuto che non aveva trattato dati personali e questo perché non c’era la registrazione delle immagini e perché riprendeva le immagini senza poter identificare le persone.
In effetto un orientamento giurisprudenziale risalente al 2009 (sentenza n. 12997 della Cassazione) sosteneva che l’immagine non fosse di per sé un dato personale, senza una didascalia o un sonoro che individuasse la persona.
Questo orientamento è stato accolto dal giudice di primo grado, che ha annullato la sanzione, ritenendo che l’immagine di una persona non potesse essere definita dato personale in assenza di elementi oggettivi che ne consentano una potenziale identificazione.
In particolare, il Tribunale ha valorizzato le modalità e la funzione della videoripresa, finalizzata unicamente a consentire al titolare dell’esercizio di controllare l’accesso di persone sospette nel proprio locale al piano terreno per il tempo in cui lo stesso si trovava nel laboratorio collocato su un soppalco, in assenza di ogni potenziale identificabilità delle persone riprese, peraltro da un apparecchio di non elevata definizione, senza alcuna possibilità di registrazione delle immagini stesse.

Con la sentenza in commento la Cassazione cambia idea, riforma la sentenza di primo grado e sostiene che l’immagine è un dato immediatamente idoneo a identificare la persona, a prescindere dalla sua notorietà.

In particolare, con riferimento all’attività di videosorveglianza senza registrazione, la Cassazione ricorda che il trattamento è legittimo e riporta quanto prescritto dal garante e cioè che «nei casi in cui le immagini sono unicamente visionate in tempo reale, oppure conservate solo per poche ore mediante impianti a circuito chiuso (Cctv), possono essere tutelati legittimi interessi rispetto a concrete ed effettive situazioni di pericolo per la sicurezza di persone e beni, anche quando si tratta di esercizi commerciali esposti ai rischi di attività criminali in ragione della detenzione di denaro, valori o altri beni (ad esempio gioiellerie, supermercati, filiali di banche, uffici postali)».

Il trattamento è legittimo, ma proprio per questo è soggetto all’obbligo dell’informativa.
E in caso di violazione di questo obbligo scatta la sanzione amministrativa pecuniaria prevista dall’articolo 161 del codice della privacy.

Jobs Act e controlli a distanza dei Lavoratori: nessuna liberalizzazione

jobs-act_controllo_a_distanza_pc-smartphone-300x225Publichiamo di seguito un Intervento chiave del Ministero del lavoro in merito alla c.d. liberalizzazione dei controlli datoriali dell’attività lavorativa che ridimensiona la supposta portata rivoluzionaria del nuovo Art. 4 Statuto dei Lavoratori.

Fonte: Ministero del Lavoro e delle Politiche Sociali

La norma sugli impianti audiovisivi e gli altri strumenti di controllo contenuta nello schema di decreto legislativo in tema di semplificazioni, adegua la normativa contenuta nell’art.4 dello Statuto dei lavoratori – risalente al 1970 – alle innovazioni tecnologiche nel frattempo intervenute.

Premesso che il 24 settembre 2015 è entrato in vigore il nuovo Articolo 4 Statuto Lavoratori, si precisa quanto segue.

La norma non “liberalizza”, dunque, i controlli ma si limita a fare chiarezza circa il concetto di “strumenti di controllo a distanza” ed i limiti di utilizzabilità dei dati raccolti attraverso questi strumenti, in linea con le indicazioni che il Garante della Privacy ha fornito negli ultimi anni e, in particolare, con le linee guida del 2007 sull’utilizzo della posta elettronica e di internet.

Come già la norma originaria dello Statuto, anche questa nuova disposizione prevede che gli strumenti di controllo a distanza, dai quali derivi anche la possibilità di controllo dei lavoratori, possono essere installati

  • esclusivamente per: esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
  • ed esclusivamente previo accordo sindacale o, in assenza, previa autorizzazione della Direzione Territoriale del Lavoro o del Ministero.

La modifica all’articolo 4 dello Statuto chiarisce, poi, che non possono essere considerati “strumenti di controllo a distanza” gli strumenti che vengono assegnati al lavoratore “per rendere la prestazione lavorativa” (una volta si sarebbero chiamati gli “attrezzi di lavoro”), come pc, tablet e cellulari.

In tal modo, viene fugato ogni dubbio – per quanto teorico- circa la necessità del previo accordo sindacale anche per la consegna di tali strumenti.

L’espressione “per rendere la prestazione lavorativa” comporta che l’accordo o l’autorizzazione non servono se, e nella misura in cui, lo strumento viene considerato quale mezzo che “serve” al lavoratore per adempiere la prestazione: ciò significa che,

nel momento in cui tale strumento viene modificato (ad esempio, con l’aggiunta di appositi software di localizzazione o filtraggio) per controllare il lavoratore, si fuoriesce dall’ambito della disposizione.

In quest’ultimo caso, infatti, da strumento che “serve” al lavoratore per rendere la prestazione il pc, il tablet o il cellulare divengono strumenti che servono al datore per controllarne la prestazione. Con la conseguenza che queste “modifiche” possono avvenire solo alle condizioni ricordate sopra: la ricorrenza di particolari esigenze, l’accordo sindacale o l’autorizzazione.

Perciò, è bene ribadirlo:

  • non si autorizza nessun controllo a distanza;
  • piuttosto, si chiariscono solo le modalità per l’utilizzo degli strumenti tecnologici impiegati per la prestazione lavorativa ed i limiti di utilizzabilità dei dati raccolti con questi strumenti.

Il nuovo articolo 4, peraltro, rafforza e tutela ancor meglio rispetto al passato la posizione del lavoratore, imponendo:

  • che al lavoratore venga data adeguata informazione circa l’esistenza e le modalità d’uso delle apparecchiature di controllo (anche quelle, dunque, installate con l’accordo sindacale o l’autorizzazione della DTL o del Ministero);
  • e, per quanto più specificamente riguarda gli strumenti di lavoro, che venga data al lavoratore adeguata informazione circa le modalità di effettuazione dei controlli, che, comunque, non potranno mai avvenire in contrasto con quanto previsto dal Codice privacy. Qualora il lavoratore non sia adeguatamente informato dell’esistenza e delle modalità d’uso delle apparecchiature di controllo e delle modalità di effettuazione dei controlli dal nuovo articolo 4 discende che i dati raccolti non sono utilizzabili a nessun fine, nemmeno a fini disciplinari

Schiaffo a Facebook: la Corte Ue blocca l’accordo con gli Usa sullo scambio di dati.

I singoli Stati dell’Unione Europea potrebbero fermare il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti.

È quanto ha stabilito la Corte di giustizia europea accogliendo le conclusioni dell’avvocato generale della Corte. È stata quindi dichiarata invalida la decisione della Commissione Ue del 2000 secondo cui gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali.

La causa era stata presentata contro Facebook nel 2011 da Max Schrems, cittadino austriaco attivista per i diritti della privacy, dopo il Datagate, lo scandalo delle intercettazioni illegali da parte dei servizi segreti americani che aveva rivelato lo spionaggio di diversi leader europei.

Le conseguenze della sentenza sono importanti e coinvolgono giganti di Internet come Facebook e Google, che ora potrebbero essere costretti a sottoporsi allo scrutinio delle autorità di regolamentazione della privacy di ogni Stato membro della Ue e obbligati a immagazzinare i dati in Europa. Questo potrebbe tradursi in un vero e proprio labirinto burocratico perché le società americane dovranno seguire oltre 20 diverse regole nazionali di tutela della privacy.

La Corte ha fatto presente che negli Usa le esigenze della sicurezza nazionale prevalgono «sul regime dell’approdo sicuro» per i dati privati dei cittadini europei. Per questo i colossi del web sono obbligati a derogare «senza limiti, alle norme di tutela previste» con il rischio di «ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone».

Per la Corte di Lussemburgo, «una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata».

Facebook raccoglie i dati dei suoi utenti europei in un server che ha base in Irlanda e poi li trasferisce negli Stati Uniti. Con questa sentenza, la Corte Ue ha rimesso alle autorità di controllo di Dublino di «esaminare la denuncia» del cittadino austriaco e di valutare se sia necessario «sospendere il trasferimento dei dati degli iscritti europei verso gli Stati Uniti, poiché gli Usa non offrono un livello di protezione adeguato dei dati personali».

«Questo è una cattiva notizia per il commercio tra Usa e Stati Uniti», ha dichiarato Richard Cumbley, Global Head di tecnologia, media e telecomunicazioni presso studio legale Linklaters. «Senza Safe Harbor, le imprese saranno chiamate a trovare accordi».

Questa decisione potrebbe segnare la fine del Safe Harbor, l’intesa sottoscritta nel 2000 dai due blocchi per regolamentare il trasferimento di dati sui due lati dell’Atlantico. E quindi per aiutare le aziende a condurre affari.

La causa muove dalla denuncia di uno studente di legge austriaco Max Schrems per cercare di fermare i trasferimenti di dati verso gli Stati Uniti. Secondo la denuncia di Schrems, alla luce delle rivelazioni di Snowden sullo spionaggio effettuato dall’Nsa, le leggi americane non offrirebbero alcuna reale protezione contro il controllo da parte del Governo Usa.