Home » Privacy

Category Archives: Privacy

L’Autorità Garante per la privacy sulla rilevazione dei dati biometrici e la videosorveglianza negli istituti scolastici

Tre recentissimi provvedimenti dell’Autorità Garante per la privacy affrontano il problema della liceità dell’impiego di strumenti finalizzati alla rilevazione di dati biometrici e di sistemi di videosorveglianza in ambito scolastico.

In particolare, il Garante, a seguito di notizie rilevate a mezzo stampa e di specifiche segnalazioni, ha disposto ispezioni in tre istituti superiori.

A Taranto e a Martina Franca il problema sollevato dal personale docente e ATA riguardava l’installazione di un impianto di rilevazione delle impronte digitali e, dunque, attraverso esse dei dati biometrici, per controllare le presenze sul luogo di lavoro. Il Garante in più occasioni ha  individuato le condizioni in presenza delle quali il  trattamento di tali dati  può ritenersi lecito.

In particolare, l’Autorità ha precisato che tali dati possono essere, di regola, utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l’accesso ad “aree sensibili” in considerazione della natura delle attività ivi svolte.

In applicazione  dei principi di necessità nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) dei trattamenti effettuati in relazione alle finalità perseguite, il Garante ha, di regola, ritenuto sproporzionato l’impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori (cfr. Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669; v. già le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1; questo orientamento è stato condiviso, proprio in sede di impugnazione di un’ordinanza-ingiunzione dell’Autorità, dal Trib. Prato, 19 settembre 2011). Infatti, a tale fine possono essere utilizzate idonee modalità alternative che non incidano sulla libertà e la dignità stessa dei lavoratori interessati.

Il titolare del trattamento, allo scopo di verificare il puntuale rispetto dell’orario di lavoro può disporre di altri sistemi, meno invasivi della sfera personale nonché della libertà individuale del lavoratore, che non ne coinvolgano la dimensione corporale (cfr. Provv. 31 gennaio 2013, n. 38; con specifico riferimento all’impiego di analoghi sistemi di rilevazione in ambito scolastico cfr. Provv.ti 30 maggio 2013).

Peraltro, il trattamento dei dati biometrici per la registrazione delle presenze, oltre ad essere in linea di principio sproporzionato, potrebbe comunque, in concreto, rivelarsi di scarsa utilità nel contrasto di eventuali casi di allontanamento dal servizio atteso che tale modalità di rilevazione delle presenze, in difetto di efficaci sistemi di controllo e vigilanza sull’effettiva (operosa) presenza dei lavoratori durante l’arco dell’intera giornata lavorativa, non è di per sé in grado di assicurare la concreta presenza sul luogo di lavoro di dipendenti infedeli.

Va, inoltre, considerato che nel rispetto del principio di correttezza il trattamento dei dati biometrici dedotti dalle impronte digitali può avvenire solo a seguito di un accordo con i lavoratori e le loro rappresentanze sindacali e di una chiara esposizione delle modalità  peculiari del trattamento che si intende effettuare, nonché di una esauriente  informativa preventiva  agli interessati ai sensi dell’art. 13 del Codice. Infine il trattamento dei dati biometrici richiede la notificazione ai sensi dell’art. 37, comma 1, lett. a), del Codice.

Dalle ispezioni compiute presso gli istituti scolastici di Taranto e di Martina Franca è emerso che non ricorreva alcuna delle condizioni in precedenza indicate. Il Garante, in primo luogo, ha verificato che i dirigenti scolastici interessati non hanno fornito prova della necessità e pertinenza del trattamento. L’installazione del sistema di rilevazione delle impronte digitali era motivato dalla volontà di prevenire condotte abusive dei dipendenti. Tuttavia, non vi era prova che l’impiego di sistemi diversi e meno invasivi di rilevazione delle presenze come, ad esempio, quello del badge, non avessero funzionato. Anzi, in passato, in casi di ritardi e assenze ingiustificate dal lavoro, l’istituto scolastico era stato perfettamente in grado di contestare i relativi addebiti ai responsabili. Inoltre, non si era proceduto all’accordo con i lavoratori, non era stata fornita loro una soddisfacente informativa, né era stata effettuata la notificazione al Garante.

Con un altro provvedimento, invece, l’Autorità Garante ha affrontato anche il problema dell’impiego della videosorveglianza. In un istituto scolastico di Roma, all’insaputa del personale, erano presenti  alcune telecamere installate in tempi successivi. Rispetto ad una di queste collocata nel corridoio di accesso all’area amministrativa non erano state rese note, né le ragioni della sua installazione, né l’orario in cui essa era attiva, né se venivano effettuate registrazioni, né chi era a conoscenza delle password per accedere alle riprese o alle registrazioni. In breve, non erano stati apposti i dovuti cartelli di segnalazione e, men  che meno, era stata resa nota l’informativa dettagliata imposta dalla legge. Ulteriori telecamere, poi, effettuavano riprese di alcune aree del’’istituto frequentate da studenti durante il periodo di apertura del medesimo. Inoltre, era presente in istituto anche un impianto di rilevazione dei dati biometrici.

Le circostanze segnalate al Garante erano confermate dalle verifiche compiute dall’Ispettorato del Lavoro che, ai sensi dell’art.4 dello Statuto dei Lavoratori, disponeva l’ordine di disinstallazione dell’impianto di videosorveglianza e del sistema di rilevazione delle impronte digitali.

L’Autorità Garante, con il provvedimento in commento ha dichiarato che le rilevazioni effettuate dall’Istituto scolastico  con l’impianto di videosorveglianza posto presso gli uffici amministrativi non sono lecite in quanto violano la disciplina prevista dagli artt. 13, 114 del Codice e 4, comma 2, l. n. 300/1970.  Peraltro,  tale trattamento, essendo idoneo a riprendere anche gli studenti che frequentavano l’istituto, non risultava conforme a quanto stabilito dal Garante, nel provvedimento generale in materia di videosorveglianza dell’8 aprile 2010, atteso che  in ambito scolastico l’utilizzo di sistemi di videosorveglianza deve ritenersi ammissibile solo “in casi di stretta indispensabilità, al fine di tutelare l’edificio ed i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate ed attivando gli impianti negli orari di chiusura degli istituti; è vietato, altresì, attivare le telecamere in coincidenza con lo svolgimento di eventuali attività extrascolastiche che si svolgono all’interno della scuola”(punto 4.3.1).

Mi viene da considerare che, probabilmente, in un’ottica di uso efficiente delle scarse risorse finanziarie disponibili nelle scuole, anziché investire in costosi impianti  di videosorveglianza e di rilevazione delle impronte digitali, sarebbe stata più opportuna una seria consulenza e formazione in materia di tutela della  privacy.

Riflessioni a margine della sentenza della Corte di Cassazione n.18443 del 1 agosto 2013: il Disciplinare per l’utilizzo di internet e della posta elettronica sui luoghi di lavoro

La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013 mi dà lo spunto per soffermarmi su una questione che da tempo è oggetto di confronto e di dibattito. Nella mia esperienza di consulente per l’attuazione della normativa posta a tutela della privacy (d.lgs. n. 196 del 2003) ho potuto verificare che durante gli incontri formativi nei quali sono coinvolti datori di lavoro pubblici e/o privati e dipendenti, appassiona il problema della legittimità dell’accesso e del trattamento dei dati di navigazione in internet e, più in generale, dell’attività svolta al computer, dal dipendente.

La citata pronuncia della Corte di Cassazione, ha affrontato tale questione confermando quanto statuito nel merito dal Tribunale di Palermo  al quale era stato sottoposto un provvedimento con cui l’Autorità  Garante per la Tutela della Privacy aveva censurato la condotta di un datore di lavoro che aveva intimato il licenziamento per giusta causa ad un suo dipendente. Il lavoratore era stato licenziato perché durante l’orario di lavoro aveva navigato in internet, visitando siti che non avevano alcuna attinenza con l’attività lavorativa svolta e che avevano contenuto pornografico. Il controllo della navigazione internet da parte del datore di lavoro aveva comportato  l’accesso a dati sensibili relativi al lavoratore che, dunque, considerando illecito il trattamento degli stessi, si è rivolto all’Autorità garante segnalando l’accaduto.

Con apposito provvedimento del 02.02.2006 il Garante ha rilevato la natura illecita del trattamento dei dati emersi dal controllo dei log di connessione. Il datore di lavoro, infatti, non ha informato il lavoratore del controllo che non rientrava nelle ordinarie o straordinarie attività di manutenzione dei computer.  Inoltre, il trattamento dei dati sensibili emersi dalla navigazione non era legittimato nemmeno dall’art.26 comma 4, lett. c), del Codice, in quanto tali dati non erano necessari al datore di lavoro per far valere o difendere un proprio diritto in giudizio.

Infatti,  il lavoratore, per le mansioni svolte non aveva alcuna necessità di navigare in internet; pertanto il licenziamento avrebbe potuto essere validamente motivato per la semplice circostanza della navigazione, senza alcuna necessità di controllare i log di connessione e di accedere e trattare dati sensibili in violazione del codice a tutela della privacy. Peraltro, il diritto fatto valere dal datore di lavoro attraverso il licenziamento non era di rango pari a quello dell’interessato cioè non consisteva in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. In altri termini, la tutela del diritto datoriale non poteva giustificare una limitazione della tutela del diritto alla riservatezza del lavoratore.

Naturalmente il datore di lavoro si è rivolto al Tribunale di Palermo, ai sensi dell’art. 152 d.lgs. n. 196/2003. Il giudice di merito, con sentenza del  26.06.2008, ha confermato l’assunto dell’Autorità Garante e, dunque, ha concluso per l’inutilizzabilità dei dati posti a fondamento del  licenziamento. La vicenda giudiziaria si è conclusa con la sentenza n. 18443 del 1 agosto del 2013 con cui la Corte di Cassazione,  in primo luogo, ha effettuato alcune precisazione definitorie e, con particolare riferimento all’accesso a siti internet con contenuti pornografici, ha precisato che,  come statuito in sede penale,  oggetto di tutela da parte del d.lgs. n. 196/2003 «non sono solo i gusti sessuali di un individuo (astrattamente e genericamente considerati), ma, anche, le concrete scelte che, in questo campo, il soggetto va ad operare» (Sez. 5 penale, Sentenza n. 44940 del 2011).

Pertanto, è indubbio che sono dati personali idonei a rilevare la vita sessuale – «da intendersi come complesso delle modalità di soddisfacimento degli aspetti sessuali di una persona» (Sez. 5 penale, Sentenza n. 46454 del 2008) – quelli relativi alla “navigazione” in internet con accesso a siti pornografici.

In secondo luogo, la Corte di Cassazione, ha confermato quanto statuito dal Garante, prima, e dal Tribunale di Palermo, poi.

La legittima esigenza di monitoraggio  del datore di lavoro, dunque, ha avuto la peggio rispetto alla tutela della privacy del lavoratore.

Situazioni come quella che ha occasionato la pronuncia in esame, possono essere evitate facendo tesoro di quanto statuito dall’Autorità Garante per la privacy nelle Linee guida per posta elettronica e internet del 1 marzo del 2007.

In virtù del divieto sancito dall’art.4 dello Statuto dei lavoratori, il datore di lavoro, non può deliberatamente controllare l’attività svolta dal lavoratore durante l’orario di lavoro  attraverso i dati di navigazione in internet e, men che meno, installando appositi programmi volti solo a monitorare l’impiego del computer. L’accesso ai dati, tuttavia, può avvenire  in maniera casuale e non deliberata durante le sessioni di manutenzione ordinaria e straordinaria dell’hardware e del software finalizzate a garantire la sicurezza dell’azienda e del lavoro in generale.

Il garante, dunque, precisa che  il datore di lavoro è chiamato a  promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori. Pertanto dal punto di vista organizzativo, è opportuno che:

« (…)

  • si valuti attentamente l’impatto sui diritti dei lavoratori (prima dell’installazione di apparecchiature suscettibili di consentire il controllo a distanza e dell’eventuale trattamento);
  • si individui preventivamente (anche per tipologie) a quali lavoratori è accordato l’utilizzo della posta elettronica e l’accesso a Internet; 
  •  si determini quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abusivo. »

Il datore di lavoro ha anche l’onere di adottare tutte le misure tecnologiche volte a minimizzare l’uso di dati identificativi.

I lavoratori e le loro rappresentanze sindacali, poi, devono essere informati delle potenzialità invasive delle apparecchiature informatiche che utilizzano per lo svolgimento del  proprio lavoro.

Infatti, in base al principio di correttezza, il trattamento dei dati relativi alla navigazione in internet e all’uso del pc del lavoratore rilevati casualmente dal datore di lavoro, deve essere ispirato ad un canone di trasparenza. Pertanto, «Grava sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.»

Il datore di lavoro, quindi, deve informare in maniera chiara e compiuta i lavoratori in merito a ciò che possono e che non possono fare attraverso l’uso del pc, della rete internet e della posta elettronica e degli eventuali controlli che possono avvenire in occasione della manutenzione ordinaria e straordinaria.

A tal fine,  secondo il Garante, può risultare opportuno adottare un Disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori, ecc.) definito coinvolgendo anche le rappresentanze sindacali  nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica, da sottoporre ad aggiornamento periodico. Tale Disciplinare doveva essere menzionato nel Documento Programmatico per la Sicurezza (DPS) che, com’è noto, è stato inopinatamente abolito nella forma descritta dal d.lgs. 196 del 2003.

«A seconda dei casi andrebbe ad esempio specificato:

  • se determinati comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
  • in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
  • quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
  • se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );
  • se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
  • quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
  • le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
  • se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell’interessato;
  • quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l’eventuale segreto professionale cui siano tenute specifiche figure professionali;
  • le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice, nonché Allegato B).”»

 

La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013, dunque, fornisce l’occasione per ricordare che il Disciplinare per l’utilizzo di internet e della posta elettronica rappresenta un fondamentale strumento di prevenzione e non un ulteriore adempimento burocratico finalizzato solo a complicare la vita ai datori di lavoro. Predisposto con la partecipazione delle rappresentanze sindacali dei lavoratori e aggiornato periodicamente, è bene che il Disciplinare sia esplicato in una apposita sessione formativa durante la quale è possibile fornire tutti i chiarimenti tecnici e giuridici.

Inoltre esso deve essere adeguatamente  pubblicizzato e reso noto in modo che sia conoscibile a tutti coloro che stabilmente o,  a maggior ragione,  occasionalmente prestano collaborazione a favore del datore di lavoro. Laddove il datore di lavoro non vi provveda è assoluto interesse dei lavoratori sollecitarne l’adozione. Le regole non devono spaventare: esse aiutano ad evitare situazioni incresciose e problematiche.

La prescrizione del danno da violazione della privacy

Con la recentissima sentenza n.1229 del 2013 il Tribunale di Benevento ha deciso un contenzioso nel quale la parte attrice lamentava di aver subito un danno per effetto del trattamento illecito dei dati relativi al proprio conto corrente da parte di un istituto di credito. In particolare, la Banca avrebbe fornito al conduttore di un immobile di proprietà del correntista, gli estremi del suo nuovo conto corrente, in tal modo permettendogli di versare regolarmente il canone di locazione. Parte attrice, dunque, si doleva che il conduttore avesse effettuato il bonifico sul conto corrente appena acceso senza che la stessa gliene avesse comunicato gli estremi di cui, secondo il suo assunto, era venuto a conoscenza illecitamente in violazione della normativa relativa alla protezione dei dati personali. Pertanto, chiedeva l’accertamento della responsabilità e la condanna al risarcimento dei danni a carico dell’istituto di credito e del conduttore.

In base all’art.15 comma primo del d.lgs. n.196 del 2003 la violazione delle norme poste a tutela della riservatezza configura un’ipotesi di responsabilità ex art.2050 c.c. Infatti, tale norma dispone che chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno. Trattandosi di responsabilità extracontrattuale, in base all’art.2947 c.c., l’azione per l’accertamento della responsabilità e il conseguente risarcimento del danno si prescrivono in cinque anni decorrenti dal fatto illecito.

Nel caso deciso dal Tribunale di Benevento il presunto illecito trattamento dei dati del conto corrente da parte della banca, in base alla ricostruzione attorea,  sarebbe  avvenuto  nel settembre 2002. Tale trattamento è stato segnalato anche all’Autorità garante per la privacy ed è stato oggetto di una querela inoltrata al Comandante della locale stazione dei carabinieri. Tuttavia, la domanda è stata proposta solo nel giugno 2010, pertanto si è senz’altro prescritta. Il Tribunale, rilevato che la Banca ha sollevato tempestivamente l’eccezione di prescrizione, senza entrare nel merito, ha rigettato la domanda per intervenuta prescrizione precisando che la segnalazione all’Autorità Garante e la querela ai Carabinieri non costituiscono validi atti interruttivi del termine prescrizionale ai sensi dell’art. 2943 c.c. . Infatti si tratta di atti con i quali il danneggiato non ha esercitato il proprio diritto al risarcimento nei confronti dei presunti autori del fatto illecito obbligati al risarcimento.

Con riferimento all’altro convenuto cioè al conduttore dell’immobile, invece, il Tribunale ha deciso anche nel merito, considerando inammissibile l’eccezione di prescrizione tardivamente sollevata. Ebbene, la domanda proposta nei confronti del conduttore è stata rigettata per carenza di prova. Infatti, come, peraltro, confermato dalla Cassazione nella sentenza n. 8451 del 2012, in  applicazione  dei  criteri  stabiliti  dal  citato  articolo  2050 c.c.  in  tema  di  responsabilità  per  esercizio  di  attività  pericolosa,  la  presunzione  di  colpa  a  carico del danneggiante posta da tale norma, presuppone il previo accertamento dell’esistenza del  nesso eziologico – la cui prova incombe al danneggiato – tra l’esercizio dell’attività e l’evento dannoso, non  potendo il soggetto agente essere investito da una presunzione di responsabilità rispetto ad un evento che  non è ad esso in alcun modo riconducibile. Sotto il diverso profilo della colpa, incombe, invece, sull’esercente  l’attività pericolosa l’onere di provare di avere adottato tutte le misure idonee a prevenire il danno (Cass.5080/06; Cass. 19449/08; Cass. 4792/01; Cass. 12307/98). Nel caso di specie, dunque, l’attore non ha fornito alcuna prova del danno e del nesso eziologico con il presunto illecito trattamento dei dati.

La semplificazione in materia di Privacy: l’abolizione del DPS

l 4 aprile 2012 è stata approvata dalla Camera la legge di conversione del decreto legge n.5 del 9 febbraio 2012 noto come “Semplifica Italia”. E’ dunque definitiva l’abolizione dell’obbligo imposto dal d.lgs. 196 del 2003 di redigere entro il 31 marzo di ogni anno il Documento Programmatico sulla Sicurezza, ovvero la mappa delle misure minime di sicurezza adottate per la tutela della privacy da soggetti pubblici e privati che trattano dati personali, sensibili e/o giudiziari.

Sin dalla pubblicazione del decreto legge e dalla sua entrata in vigore, la notizia è stata commentata soprattutto osservando che l’abolizione del DPS avrebbe determinato un considerevole risparmio di tempo e di denaro per i titolari del trattamento dei dati. Tuttavia, tale lettura della innovazione normativa appare decisamente superficiale e anche pericolosamente fuorviante. Infatti, basta esaminare la normativa dettata dal d.lgs. n.196 del 2003 per verificare che la redazione del DPS costituiva solo uno degli adempimenti documentali imposti al fine di garantire il corretto trattamento dei dati. E’ d’uopo ricordare che a fronte dell’abrogazione del solo art.34 I comma lett. g del citato decreto legislativo resta obbligatorio adottare tutte le altre misure minime di sicurezza indicate dall’art.29, dall’art. 30, dall’art.34 comma I lett. a, b, c, d, e, f, h e dall’art.35, così come specificate dall’Allegato B.

In particolare preme segnalare che, da un punto di vista documentale, resta fermo l’obbligo di tenere accuratamente aggiornate le nomine dei responsabili e degli incaricati del trattamento dei dati. Chi, in conformità con quanto disposto dalla legge, negli anni passati ha redatto per ciascun responsabile ed incaricato, delle nomine specifiche dalle quali si evinca con chiarezza l’ambito del trattamento dei dati consentito, le funzioni svolte, gli obblighi da rispettare, l’elenco delle banche dati cartacee e informatiche alle quali è permesso l’accesso e gli estremi del pc utilizzato da ciascun soggetto, dovrà comunque continuare a farlo. Ed è evidente che la redazione e l’aggiornamento di tali nomine costituisce il lavoro prodromico ed essenziale per la redazione del DPS.

In altri termini, fermi restando tutti gli adempimenti imposti dal d.lgs. n.196 del 2003, si eviterà solo di sintetizzarli in un documento unico. Pertanto, i titolari del trattamento, soprattutto di dati sensibili, non possono sentirsi in alcun modo autorizzati a ritenere che a seguito dell’abolizione del DPS, entro il 31 marzo di ogni anno, non ci sia più nulla da fare. Anzi dovranno anche essere consapevoli che nel caso di un controllo da parte delle autorità competenti oppure in sede contenziosa, su di loro incomberà comunque l’onere della prova di aver adempiuto agli obblighi imposti dalla legge a tutela della privacy entro la data stabilita. Mentre finora tale onere poteva essere adempiuto esibendo il DPS con data certa, per effetto dell’abolizione del documento, sarà molto più difficile dimostrare di essere in regola.

A ciò si aggiunga che la legge di conversione del decreto “Semplifica Italia” nulla statuisce in merito alla formazione dei responsabili e degli incaricati. Atteso che la norma abrogata, nel definire il contenuto del DPS, prevedeva che in tale documento si facesse espresso riferimento alla formazione annuale dei responsabili e degli incaricati, si è sbrigativamente concluso che anche questo impegno non dovesse essere più assolto. Tuttavia, per esperienza personale, ho verificato che gli incontri formativi, soprattutto se intesi come un momento di confronto dinamico con tutti coloro che quotidianamente trattano i dati personali, sensibili e giudiziari, sono più utili di qualsiasi altro adempimento. Infatti, permettono di esaminare tematiche e questioni che spesso appaiono astratte e di sensibilizzare le persone rispetto alla necessità di sviluppare un interesse maggiore per la tutela della riservatezza e, dunque della personalità dell’individuo, e di trasmettere il messaggio soprattutto ai più giovani. Inoltre, in sede formativa emergono i dubbi e si trovano le soluzioni alle problematiche applicative del d.lgs. 196 del 2003.

Concludendo, dunque, è decisamente consigliabile continuare ad adempiere agli obblighi imposti dal d.lgs. 196 del 2003 adottando le misure minime di sicurezza in esso indicate aggiornando regolarmente la documentazione e, quindi, soprattutto le nomine dei responsabili e degli incaricati del trattamento, il registro che attesta il cambiamento delle password e le informative.

Siti suggeriti da Tesi in diritto



Questo sito utilizza i cookie per migliorare servizi ed esperienza degli utenti. Continuando la navigazione nel sito acconsenti al loro uso. Maggiori informazioni | Chiudi