1/03/2010
PRIVACY – SPECIALE D. Lgs. 196/03
Per informazioni rivolgersi a:
d.ssa Sandra Campioli (scampioli@consulentiassociati.com)
dott. Alessandro Faletti (afaletti@consulentiassociati.com)
Reggio Emilia, 3 Marzo 2010
Varato il piano ispettivo per il primo semestre 2010.
Carte di credito, banche, sanità elettronica sotto la lente del Garante
Banche, carte di credito, fascicolo sanitario elettronico, vendita di banche dati per finalità di marketing, sistema informativo del fisco, enti previdenziali. E’ su questi delicati settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani che si concentrerà l’attività di accertamento del Garante per la privacy nei primi sei mesi dell’anno. Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico che in quello privato, anche riguardo all’adozione delle misure di sicurezza, alla durata di conservazione dei dati, all’informativa da fornire ai cittadini, al consenso da richiedere nei casi previsti dalla legge. Oltre 250 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con le Unità Speciali della Guardia di Finanza – Nucleo Privacy. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati.
Nello scorso anno applicate sanzioni per circa 1.600.000 euro
Un primo bilancio sull’attività ispettiva relativa al 2009 svolta, come di consueto, in collaborazione con il Nucleo Privacy della Guardia di Finanza, mostra il significativo lavoro di controllo svolto dall’Autorità: sono state circa 500 le ispezioni effettuate e 368 i procedimenti sanzionatori avviati. Sono state riscosse somme per circa 1 milione e 600 mila euro, di cui oltre 62.000 relativi alla mancata adozione di misure di sicurezza da parte di aziende e pubbliche amministrazioni.
Sul fronte sanzioni va ricordato che nel 2009 sono state applicate le nuove sanzioni introdotte dal decreto “mille proroghe” del dicembre 2008. L’Autorità ha contestato per la prima volta – a una società che commercializza dati per finalità di marketing – la sanzione, che va da 50.000 a 300.000 euro, prevista nei casi in cui si riscontrino più violazioni commesse in relazione a banche dati di particolare rilevanza o dimensione.
43, infine, sono state nel 2009 le segnalazioni all’autorità giudiziaria che hanno riguardato, tra l’altro, casi di mancata di adozione delle misure di sicurezza, trattamento illecito dei dati, falsità nelle dichiarazioni e nelle notificazioni, il mancato adempimento ai provvedimenti del Garante.
Vietati software spia in azienda
La sentenza della Cassazione 4375 del 2010 risolve una vicenda che ha fatto molto discutere gli addetti ai lavori sul tema dei controlli a distanza inerenti l’utilizzo del personal computer aziendale. La sentenza prende le mosse dalla decisione del tribunale di Milano 1048/2004 poi confermata dalla Corte d’appello (668/2006), infine anche dalla Cassazione. Il tribunale ha modificato la nozione di controlli difensivi elaborata dalla Cassazione con la sentenza 4746/2002, secondo cui l’impiego di tecnologie di controllo per la tutela dei beni aziendali contro l’illecito non rientrava nelle previsioni dell’articolo 4 della legge 300/70 (Statuto dei Lavoratori).
La questione riguarda una società che aveva sottoposto a ripetuti controlli l’uso del pc aziendale di una dipendente con un sistema chiamato Super scout (un applicativo software il cui impiego era appunto di controllo della navigazione internet). La dipendente è stata licenziata due volte per la stessa tipologia di fatti. I giudici, tutti, dicono che il primo licenziamento è in violazione del comma 2 dell’articolo 4 dello Statuto dei lavoratori che ammette i cosiddetti controlli a distanza preterintenzionali (funzionali a esigenze organizzative, produttive o di sicurezza) solo in presenza di accordo sindacale con la rappresentanza aziendale o di provvedimento del servizio ispettivo della Dpl. Del secondo dicono che è tardivo, assorbendo in ciò ogni questione.
La Cassazione ora aggiunge che i tentativi di raddrizzare il timone richiamando le norme che presidiano la tutela penale del bene informatico (articolo 615 ter) sono tardivi e inammissibili e comunque fuori dalle contestazioni operate, così come inconferenti, sono i richiami all’allegato II, punto 3, della 626/94 (ora allegato XXXIV, punto 3, del testo unico 81/08), che non modifica la portata dell’articolo 4 dello Statuto. Le conclusioni della Cassazione sono comprensibili sul caso specifico e appaiono compatibili con una ricostruzione moderna della materia. Infatti, la nozione di strumenti di controllo va attualizzata al mondo digitale. A questo riguardo è bene distinguere i sistemi operativi necessari per il funzionamento del pc e i sistemi applicativi (o software applicativi) che svolgono funzioni specifiche. L’accertamento di condotte attraverso l’analisi dei dati dei sistemi operativi (log di sistema) da cui risulti il comportamento illecito del lavoratore è ragionevolmente estranea al sistema tutelato dallo Statuto. Perché non si tratta di software applicativi (com’era Super scout) che hanno la funzione di elaborare dati del sistema. Un diverso ragionamento porterebbe alla conclusione che per il solo fatto del mutamento tecnologico non sarebbe possibile il controllo di conformità dell’esecuzione della prestazione, come risultato implicante anche il controllo sull’uso proprio dello strumento di lavoro affidato. D’altronde non appare possibile che il datore rimanga privo di ogni strumento di verifica dell’adempimento del prestatore. In altri termini, sono ammissibili i controlli finalizzati alla tutela contro l’illecito penale e alla ricostruzione della prova di esso utilizzando gli strumenti che il sistema in sé consente (ossia, il sistema operativo). In modo particolare quando ciò riguardi la violazione dei sistemi informativi.
Fonte: SOLE 24 ORE 25 febbraio 2010
Propaganda elettorale, le regole del Garante della privacy
Si avvicinano le elezioni regionali e amministrative e l’Autorità Garante per la privacy ha approvato di recente un apposito provvedimento (G.U. del 22 febbraio, n.43) che conferma le regole già previste dal provvedimento generale del 2005. Come già fatto in occasione di ogni campagna elettorale, l’Autorità ricorda a partiti politici e candidati le modalità in base alle quali chi effettua propaganda elettorale può utilizzare correttamente i dati personali dei cittadini (es. indirizzo, telefono, e- mail etc.).
Dati utilizzabili senza consenso. Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza il consenso dei cittadini i dati contenuti nelle liste elettorali detenute dai Comuni nonché i dati personali di iscritti ed aderenti. Possono essere usati anche altri elenchi e registri in materia di elettorato passivo ed attivo (es. elenco degli elettori italiani residenti all’estero) ed altre fonti documentali detenute da soggetti pubblici accessibili a chiunque, come gli albi professionali (nei limiti in cui lo statuto del rispettivo Ordine preveda la conoscibilità sotto forma di elenchi degli iscritti).
I titolari di cariche elettive possono utilizzare dati raccolti nel quadro delle relazioni interpersonali da loro avute con cittadini ed elettori.
Dati utilizzabili con il previo consenso. A meno che i dati personali siano stati forniti direttamente dall’interessato, è necessario il consenso per particolari modalità di comunicazione elettronica come sms, e-mail, mms, per telefonate preregistrate e fax. Stesso discorso nel caso si utilizzino dati raccolti automaticamente su Internet o ricavati da forum o newsgroup, liste abbonati ad un provider, dati presenti sul web per altre finalità.
Sono utilizzabili anche i dati degli abbonati presenti negli elenchi telefonici accanto ai quali figurino i due simboli che attestano la disponibilità a ricevere posta o telefonate. Sono ugualmente utilizzabili, se si è ottenuto preventivamente il consenso degli interessati, i dati relativi a simpatizzanti o altre persone già contattate per singole iniziative o che vi hanno partecipato (es. referendum, proposte di legge, raccolte di firme).
Dati non utilizzabili. Non sono in alcun modo utilizzabili, neanche da titolari di cariche elettive, gli archivi dello stato civile, l’anagrafe dei residenti, indirizzi raccolti per svolgere attività e compiti istituzionali dei soggetti pubblici o per prestazioni di servizi, anche di cura; liste elettorali di sezione già utilizzate nei seggi; dati annotati privatamente nei seggi da scrutatori e rappresentanti di lista, durante operazioni elettorali.
Informazione ai cittadini. I cittadini devono essere informati sull’uso che si fa dei loro dati. Se i dati non sono raccolti direttamente presso l’interessato, l’informativa va data al momento del primo contatto o all’atto della registrazione. Per i dati raccolti da registri ed elenchi pubblici o in caso di invio di materiale propagandistico di dimensioni ridotte (c.d. “santini”), il Garante ha consentito a partiti e candidati una temporanea sospensione dell’informativa fino al 31 maggio 2010.
Dati di traffico telefonico e Internet: no a conservazione illimitata
Gestori telefonici e internet provider di nuovo sotto la lente del Garante privacy. L’Autorità ha vietato a tre società che operano nel settore della telefonia e Internet l’uso di dati trattati in modo illecito e ne ha ordinato la cancellazione. Tempi di conservazione dei dati di traffico telefonico e telematico superiori al consentito e conservazione di informazioni sui siti visitati dagli utenti alcune delle gravi violazioni emerse nel corso degli accertamenti ispettivi effettuati dall’Autorità.
I dati di traffico telefonico (numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante in caso di cellulare ecc.) e Internet (indirizzi e-mail contattati, data, ora, durata degli accessi alla rete ecc.) non riguardano il contenuto della comunicazione, ma sono comunque particolarmente delicati poiché consentono di ricostruire tutte le relazioni di una persona e le sue abitudini.
Le società dovranno innanzitutto cancellare i dati di traffico telefonico e telematico conservati oltre i tempi previsti dalla normativa italiana per finalità di accertamento e repressione dei reati (ventiquattro mesi per i dati di traffico telefonico; dodici mesi per i dati telematici). In un caso, i dati di traffico telefonico risalivano addirittura a marzo 1999 e quelli di traffico telematico a giugno 2007. Da cancellare anche tutte le informazioni in grado di rivelare gusti, opinioni, tendenze degli utenti che non avrebbero mai dovuto essere archiviate nei data base (ad esempio, l’oggetto dei messaggi di posta elettronica inviati e ricevuti; i dati personali relativi alla navigazione in Internet, anche quando rappresentati dal solo indirizzo Ip di destinazione). Fonte: Garante Privacy