Vademecum delle sanzioni. Quanto costa non rispettare la Privacy?

Fonte: Pharmasoft fea

sanzioniLe sanzioni per chi tratta “male e superficialmente “ i dati personali.
Vedremo di chiarire gli aspetti sanzionatori ponendoci alcuni quesiti e fornendo una semplice tavola riassuntiva delle sanzioni previste.

Chi tratta dati personali può incorrere in sanzioni in caso di condotte illegittime?

La risposta alla prima domanda è sì: chi tratta dati personali violando le regole del “Codice” ovviamente viene sanzionato e le sanzioni possono essere sia di tipo “AMMINISTRATIVO” che “PENALE”.

La norma attuale prevede un sistema sanzionatorio particolarmente importante proprio per quelle violazioni che apparentemente sembrano irrilevanti.

Quante volte si è sentito dire “ma quello è un dato pubblico…”, “ma io non tratto dati sensibili e quindi non devo fare la privacy…”, “la mia privacy è sicura…
Affermazioni di questo tipo purtroppo ancora molto frequenti, denotano una generalizzata scarsa consapevolezza dell’impostazione e dell’impianto privacy, nonostante i quasi 20 anni di legge e la prossima approvazione del EU Regulation Data Protection.

Le violazioni amministrative possono essere rilevate:

  • sia dall’Ufficio del Garante (Dipartimento delle attività ispettive e sanzioni),
  • sia da ogni ufficiale o agente di polizia giudiziaria che le abbia rilevate in caso di controlli, accertamenti o ispezioni.

Inoltre, in quasi tutte le violazioni del Codice, è prevista la possibilità che si paghi entro 60 giorni dalla notifica della contestazione, una somma pari al doppio del minimo previsto o di un terzo del massimo e comunque è sicuramente ben segnalato nel verbale di contestazione.

In alcuni casi non è possibile procedere al pagamento in misura ridotta e si deve attendere la conclusione del procedimento, i casi si riferiscono a:

  • mancata adozione delle misure minime di sicurezza (compresa la mancata dimostrazione dell’adozione delle stesse)
  • più violazioni in relazione a grandi banche dati

Oltre le sanzioni previste c’è sempre la scure del risarcimento del danno di cui all’art. 15 DLgs. 196/03, ovvero risarcimento dei danni civili patrimoniali e non patrimoniali sempre per effetto del trattamento illecito dei dati personali, anche in relazione al richiamo all’art. 2050 del codice civile.

Va infine ricordato che con il D.L. 30 dicembre 2008 n.207 (legge di stabilità), è stato introdotto l’art. 164 bis portando di fatto ad un inasprimento delle sanzioni previste dal titolo III capo I del codice Privacy e quindi delle sanzioni amministrative.

Pertanto, volendo fare un esempio concreto del calcolo effettuato, prendiamo a riferimento la prima ipotesi, ossia l’omessa o inidonea informativa all’interessato ex art. 161 DLgs. 196/03.

Il minimo indicato all’art. 161, è di 6.000 €, che ricalcolato ex art.164bis comma 1 (“in ragione delle minore gravità avendo anche riguardo alla natura economica o sociale dell’attività svolta”), si trasforma in 2.400 € (2/5 di 6.000 = 2.400).
Mentre il massimo ossia 2.400.000 €, è il frutto del seguente calcolo:

  • 300.000 € anziché i 36.000 € di cui all’art. 161 (art. 164bis, comma 2, per “violazione di una o di più disposizioni del presente capo”)
  • 300.000 € x 2 = 600.000 € (art. 164bis, comma 3, per i casi di “maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati”)
  • 600.000 € x 4 = 2.400.000 € (ex art. 164bis comma 4, “quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore”).

tabella sinottica delle sanzioni

Annunci

Spamming, risarcimento solo con prova rigorosa

spam_casella_posta_tranelloNo al risarcimento per spamming senza la prova del danno. È quanto afferma il Tribunale di Perugia (giudice Ilenia Miccichè) in una sentenza dello scorso 24 febbraio.

La controversia trae origine dalla richiesta di ristoro dei danni avanzata da un uomo nei confronti di un’associazione privata, che per diversi mesi gli aveva trasmesso alcune e-mail non richieste.

L’attore ha esposto che l’invio era contrario al Codice della privacy, mancando il suo consenso preventivo al trattamento dei dati personali. Ha quindi sostenuto che lo spamming gli aveva provocato danni patrimoniali, consistiti nel pagamento del costo telefonico della connessione a internet, nell’intasamento delle relative funzioni e nella perdita del tempo necessario alla lettura e all’eliminazione dei messaggi indesiderati. Inoltre, il fatto gli aveva causato anche danni non patrimoniali, dovuti all’«intrusione non autorizzata nella propria sfera di riservatezza». Così ha chiesto la condanna dell’associazione al pagamento di 3mila euro.

Nel respingere la domanda, il giudice di Perugia osserva, innanzitutto, che il danno da spamming è quello che deriva da comunicazioni elettroniche a carattere commerciale non sollecitate. Tuttavia, il danno in questione si può risarcire – si legge nella sentenza – solo se «ne sia offerta in giudizio rigorosa prova, in coerenza con il generalissimo principio posto dall’articolo 2697 del Codice civile».

Il Tribunale ricorda quindi che il risarcimento del danno patrimoniale è ammesso solo se ricorre «un pregiudizio economicamente valutabile e apprezzabile», non «meramente potenziale o possibile» ma «connesso all’illecito in termini di certezza o, almeno, con un grado di elevata probabilità». Sicché, in difetto di più specifiche deduzioni, il risarcimento chiesto dall’attore non si può fondare sul «generico richiamo a costi di connessione, a non comprovati fenomeni di intasamento delle funzioni internet» o a dispendio di tempo e denaro.

Inoltre, il danno non patrimoniale – prosegue la sentenza – è risarcibile in caso di «lesione di specifici valori della persona integranti diritti costituzionalmente tutelati e, dunque, inviolabili». Di conseguenza, non si possono indennizzare – aggiunge il Tribunale, richiamando la sentenza n. 26972/2008 della Cassazione – «i pregiudizi consistenti in disagi, fastidi, disappunti, ansie e in ogni altro tipo di insoddisfazione concernente gli aspetti più disparati della vita quotidiana».

Nel caso esaminato, l’attore aveva prodotto 15 e-mail provenienti della convenuta, senza però provare un concreto danno. Né – conclude il giudice – «il tempo occorrente per cancellare i messaggi di posta elettronica in questione assurge a pregiudizio serio», trattandosi di «un mero fastidio».

Vietato spiare la navigazione internet dei dipendenti

È illecito monitorare in modo sistematico e continuativo la navigazione in Internet  dei lavoratori.

Il principio è stato ribadito dal Garante privacy che ha vietato ad una società  il trattamento dei dati personali di un dipendente e ha segnalato il caso all’autorità giudiziaria.

La società aveva monitorato per nove mesi la navigazione on line di un lavoratore attraverso un software in grado di  memorizzare “in chiaro”, tra l’altro, le pagine e i siti web visitati, il numero di connessioni, il tempo trascorso sulle singole pagine. Nel definire il reclamo il Garante, con un provvedimento di cui è stato relatore Mauro Paissan, ha riconosciuto le ragioni del dipendente.

L’installazione di un software appositamente configurato per tracciare in modo sistematico la navigazione in Internet del lavoratore  viola, infatti, lo Statuto dei lavoratori, che vieta l’impiego di apparecchiature per il controllo a distanza dell’attività dei dipendenti. Peraltro la società non aveva neanche provveduto ad attivare le procedure stabilite dalla normativa qualora tale controllo fosse motivato da “esigenze organizzative e produttive” (accordo con le rappresentanze sindacali o, in assenza di questo,  autorizzazione della Direzione provinciale del lavoro).

Il Garante ha ritenuto, infine, che la società sia incorsa anche nella violazione dei principi di pertinenza e non eccedenza delle informazioni raccolte, poiché il monitoraggio, diretto peraltro nei confronti di un solo dipendente, è risultato prolungato e costante.

In base alle Linee guida fissate dall’Autorità i datori di lavoro possono infatti procedere a eventuali controlli ma in modo graduale, mediante verifiche di reparto, d’ufficio, di gruppo di lavoro prima di passare a controlli individuali.

I predetti controlli, inoltre, sono consentiti solo dopo l’adozione di un idoneo “Disciplinare interno sull’uso di Internet e Posta elettronica”, documento obbligatorio attraverso il quale si comunica ai Dipendenti e Collaboratori la Policy aziendale circa l’uso corretto della posta elettronica e della rete Internet indicando chiaramente le modalità di uso degli strumenti messi a disposizione e  in che misura e con quali modalità vengano effettuati controlli (Provvedimento Garante 1 marzo 2007). La sua mancata adozione espone, inoltre, l’azienda al rischio del pagamento di una sanzione amministrativa da € 30.000 a € 180.000.

Social network: legge applicabile e responsabilità degli utenti

I Garanti UE tornano sulla spinosa questione del trattamento dati personali nei Social Network chiarendo, anzitutto che si, la normativa europea è applicabile anche a Facebook, nonostante server e trattamenti localizzati negli Stati Uniti, e che si, gli utenti devono chiedere il consenso ai rispettivi interessati prima di mettere in circolazione loro dati personali.

Tutto questo era già comunque presente nel Codice privacy e, per la precisione, nell’art. 5 del Dlgs 196/2003, Oggetto ed ambito di applicazione (del codice privacy):

Comma 2: Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

Comma 3: Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

Ma andiamo a vedere più da vicino l’intervento dei Garanti europei (http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp163_en.pdf):

In primo luogo, si chiarisce, per l’appunto, che i gestori di tali piattaforme, anche quelle gestite da Paesi extra-Ue, sono soggetti alle disposizioni della direttiva europea sulla protezione dei dati (e, quindi, delle leggi nazionali in materia), nella misura in cui il funzionamento dei social network richiede l’utilizzo di “strumenti” situati fisicamente sul territorio dell’Ue (Art.5, comma 2 Dlgs196/2003).

In secondo luogo, i Garanti chiedono che i gestori dei social network rispettino una serie di obblighi:

  • avvertire gli utenti sulla necessità di ottenere il consenso informato dell’utente prima di permettere a terzi di accedere ai dati contenuti nel suo profilo;
  • cancellare i dati personali contenuti nei profili-utente che siano disattivati (fatta salva la loro conservazione, in casi specifici, per contrastare comportamenti illeciti);
  • mettere a disposizione strumenti facili e immediati per consentire agli utenti l’esercizio dei diritti previsti dalla normativa (accesso, rettifica, cancellazione), come ad esempio un unico “sportello reclami” raggiungibile da tutti i Paesi;
  • dare la possibilità agli utenti di navigare e utilizzare i servizi anche attraverso pseudonimi;
  • adottare idonee misure di sicurezza (tecniche ed organizzative), anche con riguardo ai rischi di spam;
  • è necessario, inoltre, che i gestori di social network forniscano, per default, una configurazione in grado di escludere la possibilità che motori di ricerca esterni indicizzino le informazioni contenute nel profilo-utente;
  • va fornita, infine, un’informativa completa sulla natura del servizio e sui possibili rischi: quello di una informazione facilmente comprensibile dagli utenti è infatti uno degli aspetti cruciali sui quali sensibilizzare gestori di social network.

I Garanti europei si sono poi preoccupati di mettere in luce anche le specifiche responsabilità che sono in capo agli utenti di social network, prima fra tutte quella di chiedere il consenso delle persone i cui dati siano fatti circolare, soprattutto se il numero di contatti e “amici” è particolarmente elevato (Art.5, comma 3 Dlgs196/2003).

Un capitolo a sé è dedicato ai minori.Il parere ricorda l’obbligo di adottare particolari cautele in questo ambito, soprattutto per i problemi connessi alla verifica del consenso prestato da soggetti minorenni. Occorre una strategia multi-livello che comprenda educazione all’uso, sviluppo di tecnologie di protezione, promozione dell’autoregolamentazione da parte dei gestori di social network, interventi normativi per scoraggiare e sanzionare le violazioni di legge.

Incaricati del trattamento: istruzioni per l’uso (delle informazioni altrui)

Eccoci nuovamente ad approfondire gli ultimi interventi semplificatori del Garante oramai divenuti Legge dello Stato dopo la pubblicazione sulla Gazzetta Ufficiale.

Oggi affronteremo un passaggio molto delicato sia dal punto di vista del rischio d’impresa che da quello degli obblighi contrattuali del singolo lavoratore: il conferimento dell’incarico al trattamento dei dati personali.

Chi è l’Incaricato?

Codice Privacy, Art. 30. Incaricati del trattamento

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.

Dalla pubblicazione del Provvedimento del Garante 27 novembre 2008 ho letto di tutto in merito alle nuove nomine degli Incaricati per le categorie di Titolari che rientrano nell’alveo delle semplificazioni privacy. In questo post cercheremo di fare chiarezza.

Anzitutto:

  • la nomina ad Incaricato va sempre effettuata per iscritto così come per iscritto vanno dettagliatamente indicati i trattamenti consentiti.
  • La semplificazione riguarda esclusivamente le istruzioni da impartire agli Incaricati in materia di misure minime di sicurezza, ovvero:
  1. Quali cautele adottare per assicurare la segretezza della componente riservata della credenziale di autenticazione e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’Incaricato (punto 4 All. B);
  2. Le istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (punto 9 All. B);
  3. Le istruzioni organizzative e tecniche per il backup dati con frequenza almeno mensile (punto 18 All. B);
  4. Le istruzioni per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti (punto 21 All. B).

A questo punto mi sovviene una domanda: una volta spiegato oralmente ai miei Incaricati del trattamento come adottare le misure minime di sicurezza, in caso di eventuali contestazioni, come faccio a dimostrare:

  • Di averlo effettivamente fatto?
  • Il livello e l’efficacia di contenuti e dettagli nelle istruzioni impartite?

A parte la sanzione (pesante) prevista dal Codice per omessa adozione di misure minime di sicurezza (somma da €20.000 a 120.000!), in questa sede interessa rilevare il caso in cui venga cagionato un danno a terzi per effetto di maldestre operazioni di trattamento effettuate da un Incaricato.

Codice Privacy, Art. 15. Danni cagionati per effetto del trattamento

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.

Ovvero: il trattamento dati personali è equiparato all’esercizio di un’attività pericolosa con conseguente inversione dell’onere della prova a carico del Titolare il quale sarà tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno. Siamo, evidentemente, nell’ambito della c.d. colpa oggettiva: salvo caso fortuito, ci sarà sempre una misura idonea che non è stata adottata, diversamente il danno non si sarebbe prodotto.

Secondo la giurisprudenza prevalente della Cassazione, la responsabilità sarà pertanto imputata a chi, al momento del danno, esercitava il controllo sull’attività del trattamento: l’imprenditore è pertanto sempre tenuto ad organizzare l’attività di trattamento in maniera tale da poter ricondurre gli eventi dannosi ai soli episodi di caso fortuito.

Ritorniamo al caso in cui un Incaricato abbia cagionato un danno a terzi come conseguenza di un trattamento illecito di dati personali per violazione delle misure minime di sicurezza: nessun dubbio che spetti al Titolare il risarcimento nei confronti del terzo, ma, qualora il danno sia dovuto a negligenza o errore imputabile all’Incaricato, il Titolare potrà su di esso rivalersi solo se proverà di aver adottato tutte le cautele del caso, ed in particolare, se dimostrerà di aver impartito chiare, precise, corrette istruzioni al momento del conferimento dell’Incarico o di un cambio di mansioni o d’introduzione di nuovi significativi strumenti.

Questo significa che: in caso di violazione da parte dell’Incaricato delle disposizioni impartite e degli obblighi di fedeltà (Art. 2105 c.c.) e diligenza (art. 2104 c.c.) oltre ad applicare le sanzioni disciplinari previste (art. 2106 c.c.), il Titolare potrà rivalersi su di esso in quanto parte contrattuale inadempiente, richiedendo quindi il risarcimento dei danni subiti.

 

In conclusione

Considerato che integrare la Lettera d’Incarico con le procedure da seguire in materia di misure minime di sicurezza non comporta un grande sforzo logistico e intellettuale, visti i possibili scenari in caso di danni come conseguenza del trattamento, consiglio vivamente di lasciar perdere istruzioni orali, salvo che siano collocate nel contesto di un vero e proprio intervento formativo effettuato da professionisti con tanto di rilascio di certificazione.

Pertanto: Lettere d’Incarico chiare e particolareggiate con tanto di procedure per l’adozione e il rispetto delle misure minime di sicurezza aziendali, supportate e integrate da un idoneo Disciplinare interno per l’uso di Internet e della posta elettronica (anch’esso obbligatorio ex art. 154, comma 1, lettera c, Codice Privacy) da pubblicizzare adeguatamente (e da sottoporre ad aggiornamento periodico) che indichi le modalità di utilizzo degli strumenti elettronici messi a disposizione.