Nuove disposizioni in materia di call center: le FAQ del Mise e i Modelli da utilizzare

sfondo_call_center6Nuove disposizioni normative sulle attività di call center: sono riportate di seguito una serie di risposte alle richieste di chiarimenti che sono state poste o che potrebbero essere poste più frequentemente (FAQ), basate sulle interpretazioni attualmente condivise con gli altri soggetti istituzionali richiamati dalla norma.

In chiusura del post sono riportati i Modelli da utilizzare per la comunicazione al Mise.

Nuove disposizioni normative sulle attività di call center
Articolo 1, comma 243, della legge n. 232 del 2016 (c.d. legge di bilancio)
che sostituisce l’art. 24-bis, D.L. 22/06/2012, n. 83 convertito con modificazioni dalla legge 07/08/2012, n. 134/2012

Chi sono i soggetti tenuti agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico sulla base dalle nuove disposizioni normative?

Qualunque operatore economico che decida di localizzare o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese non membro dell’Unione europea.

Quali elementi informativi deve contenere la comunicazione al Ministero dello sviluppo economico?

La specifica comunicazione da effettuare al Ministero dello sviluppo economico da parte dell’operatore economico che localizza o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese extra UE deve contenere le numerazioni telefoniche messe a disposizione del pubblico ed i corrispettivi Paesi in cui sono localizzate.

Le numerazioni oggetto di obbligo di comunicazione al Ministero dello sviluppo economico includono anche il tradotto geografico internazionale?

Si, per ciascuna numerazione telefonica messa a disposizione del pubblico e utilizzata per i servizi delocalizzati occorre inserire anche il tradotto geografico internazionale.

Cosa si intende per “operatore economico”?

La nozione di operatore economico richiamata dalla normativa è coerentemente riferibile alla definizione riportata all’art.3, comma 1, lett. p) del Decreto Legislativo n.50/2016 (Codice dei contratti pubblici), ovvero sono operatori economici coloro che offrono beni e servizi sul mercato a prescindere dalla forma giuridica di riferimento. Pertanto sono esclusi dalla definizione le pubbliche amministrazioni nell’assolvimento dei loro compiti istituzionali nonché tutti i soggetti di qualsiasi natura nello svolgimento di un’attività che non sia correlata, direttamente o indirettamente, ad uno scopo di lucro.

L’ambito di applicazione della norma può ritenersi ancora limitato alle sole aziende che svolgono in via assolutamente prevalente attività di call center?

No, l’ambito di applicazione soggettivo dell’art. 24 bis, è riferibile all’operatore economico, indipendentemente dal numero di dipendenti occupati, che svolge attività di call center utilizzando numerazioni telefoniche messe a disposizione del pubblico, a prescindere dalla prevalenza o meno dell’attività di call center rispetto al resto della propria attività.

L’operatore economico che affida parzialmente o totalmente a terzi l’attività di call center è soggetto all’obbligo di comunicazione nei confronti del Ministero dello sviluppo economico?

Si, è soggetto alle prescrizioni di legge l’operatore economico che svolge servizi di call center tanto tramite una struttura interna all’azienda quanto in outsourcing. Nel caso di affidamento a terzi dei servizi di call center, la norma ha esplicitamente previsto una responsabilità solidale tra committente e gestore del call center.

L’operatore economico che svolge attività di call center attraverso società controllata facente parte del Gruppo societario è soggetto agli obblighi di legge?

Si, dalla normativa emerge la responsabilità dell’operatore economico sia che svolga esso stesso l’attività sia che si avvalga di servizi di call center esterno

L’operatore economico straniero che svolge un servizio di call center ubicato in un Paese extra UE, pur avendo un diverso core business, è soggetto agli obblighi di legge?

Si, sono soggetti agli adempimenti di legge anche gli operatori economici stranieri che svolgono essi stessi o si avvalgono di servizi di call center su numerazioni nazionali geografiche (qualsiasi numero del piano nazionale di numerazione per cui alcune cifre fungono da indicativo geografico e sono utilizzate per instradare le chiamate e le terminazioni di rete) e non geografiche (qualsiasi numero del piano nazionale di numerazione che non sia geografico ad esempio i numeri per servizi di comunicazione mobili e personali, i numeri di chiamata gratuita e i numeri a tariffazione specifica).

Cosa si intende per “attività di call center”?

Per l’individuazione di tale attività si dovrà fare riferimento alla definizione di call center contenuta nell’art. 1, lett. d) della Delibera n. 79/09/CSP dell’Autorità per le garanzie nelle comunicazioni, per il quale esso è un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, internet, posta). Tale attività ricade nell’ambito applicativo dell’art. 24 bis sia ove realizzata tramite strutture interne sia quando viene affidata in outsourcing, purché si utilizzino numerazioni telefoniche messe a disposizione del pubblico.

Le prescrizioni di legge si applicano sia alle attività di call center inbound che outbound?

Si, gli obblighi di legge si applicano in riferimento ai servizi di call center e relative numerazioni a prescindere dalla tipologia di svolgimento dell’attività (sia in entrata che in uscita, inbound/outbound).

L’informazione preliminare in merito al Paese in cui è fisicamente collocato l’operatore che risponde è dovuta anche nel caso in cui l’operatore è ubicato in Italia o in un Paese UE?

Si, l’obbligo informativo relativo al Paese in cui l’operatore con cui si parla è fisicamente collocato prescinde dalla localizzazione ed è applicabile anche agli operatori ubicati in Italia o in un Paese UE.

L’obbligo di informazione preliminare deve riguardare necessariamente la località in cui l’operatore è fisicamente collocato?

No, è sufficiente fornire l’informazione del Paese in cui è ubicato l’operatore del call center.

L’obbligo di informazione preliminare sulla localizzazione del call center si intende assolto anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere all’obbligo di legge tramite il sistema IVR e tramite operatore.

L’obbligo di informazione preliminare, qualora l’operatore è ubicato in un Paese extra UE, circa la possibilità di richiedere che il servizio sia reso da un operatore collocato nel territorio nazionale o in un Paese UE e l’immediato trasferimento della chiamata a seguito di specifica richiesta si intendono assolti anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere agli obblighi di legge tramite il sistema IVR e tramite operatore.

logo_mise_400

 

I Modelli per adempiere agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico.

Di seguito i due modelli (il cui contenuto è aggiornato rispetto a quello già reso disponibile in passato in uno al menzionato provvedimento del 10 ottobre 2013, n. 444) volti ad agevolare l’assolvimento degli obblighi comunicativi diretti all’Autorità, utilizzabili dagli operatori economici cui facciano capo le localizzazioni in Paesi terzi dell’attività di call center (inbound e outbound):

  1. un primo modello potrà essere utilizzato, ai sensi dell’art. 24-bis, comma 2, lett. c), da parte degli operatori economici che intendono localizzare l’attività di call center in Paesi terzi in tempi successivi all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 150.000 euro per ciascuna comunicazione omessa o tardiva (art. 24-bis, comma 7, d.l. n. 83/2012).

  1. un secondo modello potrà invece essere utilizzato, ai sensi dell’art. 24-bis, comma 3, per gli operatori che abbiano localizzato  l’attività di call center in Paesi terzi anteriormente all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 10.000 euro per ciascun giorno di ritardo (art. 24-bis, comma 3, d.l. n. 83/2012).

Privacy, Data Protection Officer incompatibile con il Manager IT

È una delle novità introdotte dal nuovo Regolamento Ue: si rischiano pesanti multe per i doppi ruoli e i conflitti d’interessi. E una società bavarese è già inciampata sulle nuove norme. 

eu-dpoUna delle novità introdotte dal nuovo Regolamento UE 2016/679, è quella relativa al Data Protection Officer (DPO). Anche se prima la direttiva 95/46/CE non obbligava imprese ed enti a designare questa figura, in realtà essa esisteva già da diversi anni in numerosi Stati membri dell’UE, tra i quali la Germania, dove tuttora il Federal Data Protection Act la impone ad esempio alle aziende che hanno almeno 10 persone che sono coinvolte nel trattamento automatizzato di dati personali.

E proprio in Germania, di recente il Garante per la privacy bavarese ha multato una società che aveva designato il proprio IT manager come data protection officer, e questo nonostante la normativa prevedesse la possibilità di nominare sia un dipendente che un professionista esterno.

Perché allora la società è stata sanzionata?

Il motivo per cui è scattata la sanzione non interessa solo le aziende tedesche ma tutte quelle dell’intera UE che ricadono nell’obbligo di dotarsi del cosiddetto privacy officer: se è vero che la contestazione sollevata dall’Autorità bavarese si basa sul Federal Data Protection Act, d’altra parte essa poggia sul principio dettato dall’articolo 38 del nuovo Regolamento Europeo, che dal 25 maggio 2018 sarà direttamente applicabile in tutti gli Stati membri, e che riguardo la posizione del data protection officer richiede che il titolare del trattamento “si assicura che tali compiti e funzioni non diano adito a un conflitto d’interessi”.

Nonostante sia consentito al dpo di svolgere anche altre mansioni, queste non devono però risultare incompatibili con la stessa posizione di data protection officer, che in casi come quello preso in esame dal Garante tedesco avrebbe dovuto in pratica controllare se stesso, verificando se le proprie attività di IT manager erano conformi alla normativa in materia di protezione di dati personali, e una forma di auto-monitoraggio contrasta con l’assenza di conflitti d’interessi e l’indipendenza richiesti al soggetto che svolge questo ruolo

Poiché i compiti del data protection officer comportano obblighi di controllo che generalmente sono prerogativa delle autorità, l’indipendenza di questo è un aspetto fondamentale, e come il conflitto d’interessi è stato rilevato in relazione alla sua funzione parallela di IT manager, ciò non esclude che lo stesso problema possa presentarsi anche in casi in cui l’intenzione del management sia quella di individuare il dpo tra dipendenti che sono già a capo di altri reparti significativamente implicati nel trattamento dei dati personali, come possono esserlo le risorse umane e l’amministrazione del personale, l’ufficio legale, o anche la direzione marketing.

A tal proposito, le Linee Guida WP 243 adottate il 13 dicembre dal Working Party articolo 29,  hanno sottolineato che, seppure sia permesso al data protection officer di svolgere allo stesso tempo altre funzioni, l’organizzazione deve garantire che “tali compiti e doveri non diano luogo ad un conflitto di interessi”, e ciò comporta che di caso in caso debba essere preventivamente accertato che la persona scelta per essere nominata DPO non ricopra funzioni in cui essa concorra a determinare le finalità e le modalità del trattamento dei dati personali.

Per tale ragione, le linee guida dettate dal Working Party 29 evidenziano che, a seconda delle attività, delle dimensioni e della struttura dell’organizzazione, per i titolari del trattamento che si apprestano a designare il data protection officer, può essere buona pratica identificare le posizioni incompatibili con la funzione di dpo, stabilire delle regole interne per evitare situazioni di conflitto d’interesse, sensibilizzare il tema fornendo una spiegazione generale su questo requisito, dichiarare specificamente che il proprio dpo non ha alcun conflitto per quanto riguarda questa funzione, e precisare che per ricoprire tale ruolo è indispensabile evitare qualsiasi forma di conflitto d’interessi.

Non è ancora noto a quanto ammonti la sanzione comminata alla società tedesca che aveva nominato il proprio IT manager come data protection officer, tuttavia quella del conflitto d’interessi con il nuovo Regolamento Europeo è una questione di primaria importanza che aziende pubbliche e private devono valutare attentamente per evitare violazioni che in questi casi potrebbero comportare multe fino a 10 milioni di euro o al 2% del fatturato globale annuo.

Dossier sanitario: stop agli accessi indiscriminati ai dati dei pazienti

DSENo all’accesso indiscriminato al dossier sanitario elettronico. I dati devono essere accessibili solo ai professionisti sanitari che assistono in quel momento il paziente e solo per il tempo necessario alla cura.

I principi, già affermati in casi analoghi, sono stati ribaditi dal Garante privacy con un provvedimento [doc. web n. 4449114] in cui ha dettato all’Azienda Usl 11 di Empoli una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.

Il dossier è uno strumento costituito da un organismo sanitario (ospedale, clinica privata) contenente informazioni sullo stato di salute di un  assistito di quella struttura relative ad eventi clinici presenti e passati (es. referti, documentazione sui ricoveri, accessi al pronto soccorso).

Le irregolarità, emerse nel corso di accertamenti ispettivi, riguardavano, in particolare:

  • l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e
  • la costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda.

Va ricordato infatti, che il  paziente deve poter scegliere in modo libero e consapevole se far costituire o meno il dossier.

Gli accessi indiscriminati al sistema informatico, inoltre, a differenza di quanto stabilito nelle Linee guida del 2015, permettevano ad ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

L’Azienda – come prescritto dall’Autorità – entro il 31 marzo 2016 dovrà quindi adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti.

Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica).

Il personale amministrativo, invece, potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni.

L’Azienda, infine, dovrà modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa, necessari per mettere in condizione il paziente di fare scelte consapevoli:

  • sulla costituzione del dossier,
  • sui documenti sanitari da far inserire o escludere e
  • sui diritti che può esercitare.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

Vademecum delle sanzioni. Quanto costa non rispettare la Privacy?

Fonte: Pharmasoft fea

sanzioniLe sanzioni per chi tratta “male e superficialmente “ i dati personali.
Vedremo di chiarire gli aspetti sanzionatori ponendoci alcuni quesiti e fornendo una semplice tavola riassuntiva delle sanzioni previste.

Chi tratta dati personali può incorrere in sanzioni in caso di condotte illegittime?

La risposta alla prima domanda è sì: chi tratta dati personali violando le regole del “Codice” ovviamente viene sanzionato e le sanzioni possono essere sia di tipo “AMMINISTRATIVO” che “PENALE”.

La norma attuale prevede un sistema sanzionatorio particolarmente importante proprio per quelle violazioni che apparentemente sembrano irrilevanti.

Quante volte si è sentito dire “ma quello è un dato pubblico…”, “ma io non tratto dati sensibili e quindi non devo fare la privacy…”, “la mia privacy è sicura…
Affermazioni di questo tipo purtroppo ancora molto frequenti, denotano una generalizzata scarsa consapevolezza dell’impostazione e dell’impianto privacy, nonostante i quasi 20 anni di legge e la prossima approvazione del EU Regulation Data Protection.

Le violazioni amministrative possono essere rilevate:

  • sia dall’Ufficio del Garante (Dipartimento delle attività ispettive e sanzioni),
  • sia da ogni ufficiale o agente di polizia giudiziaria che le abbia rilevate in caso di controlli, accertamenti o ispezioni.

Inoltre, in quasi tutte le violazioni del Codice, è prevista la possibilità che si paghi entro 60 giorni dalla notifica della contestazione, una somma pari al doppio del minimo previsto o di un terzo del massimo e comunque è sicuramente ben segnalato nel verbale di contestazione.

In alcuni casi non è possibile procedere al pagamento in misura ridotta e si deve attendere la conclusione del procedimento, i casi si riferiscono a:

  • mancata adozione delle misure minime di sicurezza (compresa la mancata dimostrazione dell’adozione delle stesse)
  • più violazioni in relazione a grandi banche dati

Oltre le sanzioni previste c’è sempre la scure del risarcimento del danno di cui all’art. 15 DLgs. 196/03, ovvero risarcimento dei danni civili patrimoniali e non patrimoniali sempre per effetto del trattamento illecito dei dati personali, anche in relazione al richiamo all’art. 2050 del codice civile.

Va infine ricordato che con il D.L. 30 dicembre 2008 n.207 (legge di stabilità), è stato introdotto l’art. 164 bis portando di fatto ad un inasprimento delle sanzioni previste dal titolo III capo I del codice Privacy e quindi delle sanzioni amministrative.

Pertanto, volendo fare un esempio concreto del calcolo effettuato, prendiamo a riferimento la prima ipotesi, ossia l’omessa o inidonea informativa all’interessato ex art. 161 DLgs. 196/03.

Il minimo indicato all’art. 161, è di 6.000 €, che ricalcolato ex art.164bis comma 1 (“in ragione delle minore gravità avendo anche riguardo alla natura economica o sociale dell’attività svolta”), si trasforma in 2.400 € (2/5 di 6.000 = 2.400).
Mentre il massimo ossia 2.400.000 €, è il frutto del seguente calcolo:

  • 300.000 € anziché i 36.000 € di cui all’art. 161 (art. 164bis, comma 2, per “violazione di una o di più disposizioni del presente capo”)
  • 300.000 € x 2 = 600.000 € (art. 164bis, comma 3, per i casi di “maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati”)
  • 600.000 € x 4 = 2.400.000 € (ex art. 164bis comma 4, “quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore”).

tabella sinottica delle sanzioni

No al far west nel mercato del lavoro su Internet

ricerca-lavoro-onlineIntervento a tutela di migliaia di aspiranti lavoratori iscritti ad un sito web: maggiore trasparenza e correttezza nel mercato del lavoro via Internet.

E’ quanto chiede il Garante privacy [doc. web n. 2865637] che ha vietato ad una società l’uso dei dati personali di oltre 400 mila aspiranti lavoratori raccolti e gestiti in modo illecito.

La società che svolgeva attività di intermediazione attraverso il proprio sito web senza la prescritta autorizzazione ministeriale, non aveva neppure conferito, come necessario, i dati dei candidati a Cliclavoro, il portale del Ministero del lavoro che costituisce la Borsa continua nazionale del lavoro. 

L’azienda raggiunta dal divieto del Garante non si limitava a mettere a disposizione una mera “bacheca digitale” in cui rendere pubbliche le offerte di lavoro e le candidature, ma offriva veri e propri servizi di intermediazione (consultazione di un database con centinaia di migliaia di curricula, comunicazione di informazioni sui candidati, invio di offerte di lavoro “su misura”, ecc.). Un’attività effettuata, peraltro, senza fornire agli utenti che si registravano al sito una informativa trasparente con l’indicazione di tutte le operazioni realmente svolte.

La grave situazione è emersa nel corso di verifiche ispettive disposte dall’Autorità a seguito di alcune segnalazioni in cui si lamentavano irregolarità nel trattamento dei dati personali. I candidati denunciavano il fatto che per poter completare la procedura di registrazione al sito e concorrere così alle offerte di lavoro erano obbligati a dare il consenso, tramite un’opzione preselezionata, alla ricezione di informazioni promozionali per posta, telefono, email, sms.

Judge_HammerAlla luce delle verifiche svolte, il Garante:

  • oltre ad inibire l’uso dei dati raccolti senza autorizzazione,
  • ha dichiarato illeciti e ha vietato anche questi trattamenti perché effettuati in violazione della norma del Codice privacy che garantisce a chiunque la possibilità di esprimere un consenso libero e informato per ogni tipo di operazione che la società intende svolgere.

Dopo l’intervento del Garante la società non potrà più utilizzare le informazioni raccolte né per attività di intermediazione né per attività promozionali.

I dati potranno essere solo conservati in vista di un’eventuale acquisizione da parte dell’autorità giudiziaria o per la tutela dei diritti in sede giudiziaria. L’Autorità si è riservata l’applicazione di una sanzione amministrativa per l’inidonea informativa agli utenti. Il provvedimento è stato inviato al Ministero del lavoro per le valutazioni di competenza

 

Responsabilità degli Enti in sede penale anche per delitti in materia di privacy

Matteo Moi 10 settembre 2013

privacy_pls_4

Dal 17 agosto 2013 alcuni importanti delitti in materia di privacy si aggiungono ai reati presupposto che fanno scattare la responsabilità dell’ente, in sede penale, ai sensi del DLgs 231/2001.

Si tratta dei delitti di:

  • trattamento illecito dei dati (art. 167 del DLgs 196/2003)
  • falsità nelle dichiarazioni al Garante (art. 168 del DLgs 196/2003)
  • inosservanza di provvedimenti del Garante (art. 168 del DLgs 196/2003)

Lo prevede l’articolo 9 del Decreto Legge 93/2013 (il cosiddetto “decreto sul femminicidio”, che in realtà contiene anche altre norme rilevanti) che ha ampliato l’art. 24-bis del DLgs 231/2001 (Frode informatica e trattamento illecito dei dati).

231231, responsabilità e sanzioni

Il DLgs 231/2001 estende agli enti collettivi (persone giuridiche, società e associazioni) la responsabilità per alcuni reati commessi nell’interesse o a vantaggio degli stessi, da persone fisiche in posizione apicale o subordinata. Tale responsabilità, accertata in tribunale da un giudice penale, prevede sanzioni formalmente amministrative (pecuniarie o interdittive) ma particolarmente afflittive e di natura sostanzialmente penale.

In aggiunta alla responsabilità della persona fisica che realizza l’eventuale fatto illecito in materia di privacy è ora prevista anche la responsabilità dell’Ente; alle sanzioni per le persone fisiche già previste dal DLgs 196/2003 (da 3 mesi a 3 anni di reclusione) si aggiungono quindi le sanzioni per l’Ente previste dal DLgs 231/2001 :

  • sanzioni pecuniarie da 100 a 500 quote, quindi da un minimo di 25.800,00 € ad un massimo di 774.500,00  (una quota singola può variare da un minimo di 258 fino a un massimo di 1.549 euro), quantificate in modo proporzionale alle capacità economiche e patrimoniali dell’azienda, tenendo conto della gravità del fatto, del grado di responsabilità e dell’eventuale ravvedimento posto in essere
  • l´interdizione dall’esercizio dell´attività
  • la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell´illecito
  • il divieto di pubblicizzare beni o servizi

 

pro_civInversione dell’onere della prova e principio dell’esimente

Se il reato privacy è stato commesso da persone in posizione apicale la responsabilità dell’ente è presunta (presunzione di colpevolezza), in tal caso l’onere della prova è a carico dell’ente che deve dimostrare la propria innocenza (“probatio diabolica”).

Il meccanismo adottato nella norma è quindi un’ «inversione dell’onere della prova» rispetto al nostro ordinamento che, normalmente, considera ciascuno innocente fin tanto che non sia provata la sua colpevolezza.

Nell’ottica del decreto 231, invece, per essere ritenuta incolpevole ed evitare la responsabilità amministrativa, l’azienda/ente titolare del trattamento di dati dovrà dimostrare al giudice di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy indicati nel DL 93.

Se il reato è stato invece commesso da persone in posizione subordinata rimane la presunzione di innocenza dell’ente, in tal caso l’onere della prova è a carico del pubblico ministero

In entrambi i casi l’Ente non è responsabile (principio dell’esimente) se

  • l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi.
  • il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento e’ stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza, OdV)
  •  le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
  •  non vi e’ stata omessa o insufficiente vigilanza da parte dell’OdV

 

complianceCosa fare per adeguarsi

Chi aveva già adottato un modello organizzativo, dovrà:

  • Riesaminare la mappatura delle attività sensibili. Identificare le attività nel cui ambito possono essere commessi i tre delitti privacy e le potenziali modalità di commissione dei reati, attraverso un’accurata analisi di processi e procedure;
  • Analizzare e valutare i rischi, in termini di impatto e probabilità, valutando anche l’idoneità delle procedure/protocolli già in essere per la compliance privacy.

 Nel caso in cui i livelli di rischio siano sensibili, dovrà anche

  • Introdurre eventuali nuove misure idonee a prevenire i delitti privacy (modifiche al codice etico, nuove procedure, parti speciali del modello 231, organigramma della privacy, formazione, audit, etc)
  • Introdurre specifici obblighi informativi verso l’organismo di vigilanza
  • prevedere un sistema disciplinare sanzionatorio per chi non rispetta le regole privacy
  • introdurre per l’organismo di vigilanza (Odv) l’attività di vigilanza sul funzionamento e sull’osservanza anche delle parti speciali/procedure/protocolli relativi al trattamento dei dati

common-practices-300x298Obbligatorietà o facoltatività del Modello?

L’adozione di un modello organizzativo inclusivo dell’ambito privacy è tecnicamente facoltativo anche se, come detto, l’idoneità del modello esistente esime l’azienda da responsabilità 231.

Nella prassi, tale conformità spesso costituisce un presupposto per partecipare a gare pubbliche o selezioni private, vista la crescente sensibilità dei committenti al rispetto di atteggiamenti aziendali anticrimine, da parte dell’intera filiera di cui essi sono parte.

La dotazione di un sistema di buona organizzazione data protection assurge a requisito che il mondo industriale invoca oramai a livello internazionale, anche per il rispetto di un generale principio di sana concorrenza.

L’ente, infatti, attraverso la ricognizione delle attività a rischio e della individuazione delle responsabilità interne, è in grado di monitorare e meglio utilizzare le risorse umane e strategiche, apprezzandone le inevitabili economie di scala che ne incrementano la competitività.

20110606142415Codice privacy e Garante

Come segnala la Corte di Cassazione, con la recente Relazione III/01/2013 del 22/8/2013, la previsione dei delitti in tema di privacy risulta di grande impatto, soprattutto per la configurazione della responsabilità da reato per l’illecito trattamento dei dati.

Si tratta di violazioni potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del DLgs 231/2001.

Nei prossimi Post approfondiremo nel dettaglio i nuovi delitti privacy che dal 17 agosto sono entrati nel DLgs 231 aggiungendosi così ai reati presupposto che fanno scattare la responsabilità dell’ente, ovvero:

  • Trattamento illecito dei dati
  • Falsità nelle dichiarazioni al Garante
  • Inosservanza di provvedimenti del Garante

No allo spam, sì a offerte commerciali “amiche” dei consumatori

spam (1)Le Linee guida del Garante privacy contro le offerte commerciali indesiderate

Offerte commerciali a utenti di social network o di servizi di messaggistica come Skype e WhatsApp solo con il loro consenso; no a e-mail e sms indesiderati; maggiori controlli da parte di chi commissiona le campagne promozionali; misure semplificate per le promozioni delle imprese che rispettano le regole.

Il Garante vara le nuove “Linee guida in materia di attività promozionale e contrasto allo spam” [doc. web n. 2542348] per combattere il marketing selvaggio e favorire pratiche commerciali “amiche” di utenti e consumatori.

Il provvedimento generale (in via di pubblicazione sulla Gazzetta ufficiale) definisce un primo quadro unitario di misure e accorgimenti utili sia alle imprese che vogliono avviare campagne per pubblicizzare prodotti e servizi, sia a quanti desiderano difendersi dall’invadenza di chi utilizza senza il loro consenso recapiti e informazioni personali per tempestarli di pubblicità. Una particolare attenzione è stata posta dall’Autorità sulle nuove frontiere dello spamming – come quello diffuso sui social network (il cosiddetto social spam) o tramite alcune pratiche di “marketing virale” o “marketing mirato” – che possono comportare modalità sempre più insidiose e invasive della sfera personale degli interessati.

Queste in sintesi le principali regole contenute nelle Linee guida.

opt-in1Offerte commerciali e spam

  • Invio di offerte commerciali solo con il consenso preventivo. Per poter inviare comunicazioni promozionali e materiale pubblicitario tramite sistemi automatizzati (telefonate preregistrate, e-mail, fax, sms, mms) è necessario aver prima acquisito il consenso dei destinatari (cosiddetto opt-in). Tale consenso deve essere specifico, libero, informato e documentato per iscritto.
  • Maggiori controlli su chi realizza campagne di marketing. Chi commissiona campagne promozionali deve esercitare adeguati controlli per evitare che agenti, subagenti o altri soggetti a cui ha demandato i contatti con i potenziali clienti effettuino spam.
  • Consenso per l’uso dei dati presenti su Internet e social network. E’ necessario lo specifico consenso del destinatario per inviare messaggi promozionali agli utenti di Facebook, Twitter e altri social network (ad esempio pubblicandoli sulla loro bacheca virtuale) o di altri servizi di messaggistica e Voip sempre più diffusi come Skype, WhatsApp, Viber, Messenger, etc. Il fatto che i dati siano accessibili in Rete non significa che possano essere liberamente usati per inviare comunicazioni promozionali automatizzate o per altre attività di marketing “virale” o “mirato”.
  • “Passaparola” senza consenso. Non è necessario il consenso per inviare e-mail o sms con offerte promozionali ad amici a titolo personale (il cosiddetto “passaparola”).

omuletiSemplificazioni per le aziende in regola

  • E-mail promozionali ai propri clienti. Ok all’invio di messaggi promozionali, tramite e-mail, ai propri clienti su beni o servizi analoghi a quelli già acquistati (cosiddetto soft spam).
  • Promozioni per “fan” di marchi o aziende. Una impresa o società può inviare offerte commerciali ai propri “follower” sui social network quando dalla loro iscrizione alla pagina aziendale si evinca chiaramente l’interesse o il consenso a ricevere messaggi pubblicitari concernenti il marchio, il prodotto o il servizio offerto.
  • Consenso unico valido per diverse attività.
    • Basta un unico consenso per tutte le attività di marketing (come l’invio di materiale pubblicitario o lo svolgimento di ricerche di mercato);
    • il consenso prestato per l’invio di comunicazioni commerciali tramite modalità automatizzate (come e-mail o sms) copre anche quelle effettuate tramite posta cartacea o con telefonate tramite operatore.
    • Le aziende che intendono raccogliere i dati personali degli utenti per comunicarli o cederli ad altri soggetti a fini promozionali, possono acquisire un unico consenso valido per tutti i soggetti terzi indicati nell’apposita informativa fornita all’interessato.

Tutele e sanzioni contro lo spam

  • Tutele per i singoli utenti. Le persone che ricevono spam possono presentare segnalazioni, reclami o ricorsi al Garante e comunque esercitare tutti i diritti previsti dal Codice privacy, inclusa la richiesta di sanzioni contro chi invia messaggi indesiderati (nei casi più gravi possono arrivare fino a circa 500.000 euro).
  • Tutele per le società. Le “persone giuridiche”, pur non potendo più chiedere l’intervento formale del Garante per la privacy, possono comunque comunicare eventuali violazioni. Hanno invece la possibilità di rivolgersi all’Autorità giudiziaria per azioni civili o penali contro gli spammer.

Contestualmente alle Linee guida, allo scopo di semplificare ulteriormente gli adempimenti in materia di marketing diretto, il Garante ha adottato anche un apposito provvedimento generale [doc. web n. 2543820] sul consenso al trattamento dei dati personali, sempre in via di pubblicazione sulla Gazzetta ufficiale.