Home » Privacy
Archivio Categoria: Privacy
Il nuovo vademecum per la privacy a scuola
Il Garante per la privacy il 15 maggio ha pubblicato un nuovo Vademecum per la tutela della privacy a scuola.
Esso è il frutto dell’aggiornamento di un precedente vademecum realizzato nel 2016 prima dell’applicazione del Regolamento UE 679/2016 (GDPR). Il Garante privacy, dunque, porta avanti una prassi avviata sin dal 2010 quando, per la prima volta, fu pubblicato l’opuscolo “La privacy sui banchi di scuola” seguito, nel 2012, dall’approfondimento “Dai tablet alla pagella elettronica. Le regole da ricordare”.
Le istituzioni scolastiche, i docenti, gli studenti e le famiglie hanno necessità di strumenti agili per conoscere le basilari regole poste a tutela della riservatezza e della dignità della persona, che devono sempre essere al centro della formazione di ogni cittadino di oggi e di domani.
Il Garante privacy censura l’uso del pennarello e del bianchetto per oscurare i dati sensibili
Con l’ordinanza n. 74 del 2 marzo 2023 il Garante privacy ha sanzionato la ASL di Bari a seguito di una segnalazione in cui è stato rilevato che sul sito internet dell’Ente sono stati pubblicati documenti recanti apprezzamenti espressi dagli assistiti, senza che fossero opportunamente oscurati i loro dati sensibili.
Infatti, nella sezione “Parlano bene di noi” del sito era possibile accedere a centinaia di file con scansioni di documenti di elogio costituiti da moduli, da e- mail e da lettere che contenevano, oltre ai dati anagrafici e di contatto degli assistiti, anche numerose informazioni relative al loro stato di salute. I dati anagrafici contenuti nei documenti erano stati coperti in modo approssimativo con il tratto di un pennarello nero oppure con il bianchetto e ciò non impediva di leggere le parti oscurate.
Il Garante privacy stabilisce le regole di condotta per il telemarketing e il teleselling
Il 24 marzo 2023, in attuazione dell’art.40 del GDPR, è stato pubblicato il Codice di condotta per le attività di telemarketing e teleselling, elaborato da alcune associazioni rappresentative di committenti, call center, teleseller e list provider e da alcune associazioni di consumatori: esso è aperto alle adesioni di tutti i soggetti interessati e dovrà essere applicato anche nei rapporti negoziali con fornitori o committenti che non vi aderiscano.
Sanzionabile il datore di lavoro che mantiene attivo l’account di posta elettronica dell’ex collaboratore
Il Garante privacy con ordinanza dell’11 gennaio 2023 ha sanzionato una società per non aver disattivato l’account di posta elettronica con estensione a sé riferibile, di una collaboratrice di una società sua partner, successivamente alla cessazione del rapporto e per aver preso visione del suo contenuto.
Le due società avevano siglato un accordo per promuovere un fornitore comune in occasione di un evento fieristico. Per consentire alla collaboratrice della società partner di relazionarsi con i potenziali clienti conosciuti all’evento, la resistente, nel 2018, attivava un account di posta elettronica. Cessata la collaborazione, nel gennaio 2019, la reclamante chiedeva la disattivazione dell’account che era effettuata solo alla fine del mese successivo.
Non abbiamo paura dell’Intelligenza Artificiale
I sistemi informatici di intelligenza artificiale sono stati studiati ed elaborati sin dagli anni ’50 del 1900 (Alan Turing, “Computing machinery and intelligence”), per riprodurre o emulare alcune funzioni dell’uomo. Essi trovano applicazione in svariati e molteplici ambiti tra i quali anche quelli particolarmente creativi come la scrittura, la fotografia, la grafica ecc.
Siccome mi occupo di scrittura e, in particolare, di produzione di contenuti giuridici, mi sono chiesta se il mio lavoro sia destinato ad essere svolto in modo più rapido ed economico da un sistema di intelligenza artificiale.
Infatti, sono state elaborate decine di software specializzati nella scrittura di testi di ogni genere tra i quali ChatGPT (Generative Pretrained Transformer) sviluppato da Open AI è solo il più noto. Attraverso tali strumenti che tecnicamente sono dei chatbot, chiunque può generare contenuti in tempo reale e a costi ridotti o nulli.
Il recruiting a mezzo social network come veicolo della minaccia hacker
L’Agenzia per la cybersicurezza nazionale (ACN) è stata istituita con il D.L. 14 giugno 2021, n. 82 allo scopo di tutelare gli interessi nazionali nel campo della cybersicurezza. A tale autorità è affidato il compito di promuovere azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese. L’Agenzia ha elaborato la Strategia Nazionale di Cybersicurezza che prevede il raggiungimento di 82 misure entro il 2026 in un percorso innovativo che tende a garantire una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo, ad anticipare e prevenire l’evoluzione della minaccia cyber, a contrastare la disinformazione online, a gestire le crisi cibernetiche e ad assicurare l’autonomia strategica nazionale ed europea nel settore del digitale.
Diritto all’oblio: il Garante privacy può ordinare la deindicizzazione globale a Google
Come affermava il prof. Stefano Rodotà “Il rispetto della persona e dei valori che l’accompagnano, rischia di scomparire quando ogni momento della sua vita viene implacabilmente scrutato e registrato. Di fronte a questa nuova realtà l’attenzione della politica deve essere massima.”
Attraverso il web è possibile reperire rapidamente notizie, informazioni e dati relativi alla vita passata e presente di un individuo. Se, poi, le vicende personali sono negative in quanto attengono ad eventuali precedenti penali, vi è il rischio che le tracce di un passato difficile compromettano il diritto di ciascuno a cominciare una nuova vita.
Il garante privacy accerta che Clubhouse, il social delle chat vocali, non tutela la privacy degli utenti
A seguito di notizie stampa che hanno rivelato l’esistenza di diverse problematiche relative alle modalità di trattamento dei dati personali posti in essere dal social network Clubhouse il garante per la privacy ha avviato d’ufficio un’istruttoria durante la quale l’autorità ha ricevuto anche una segnalazione di criticità relative a profili di sicurezza, esercizio dei diritti, mancanza di un rappresentante nell’Unione europea, attività di profilazione, conservazione dei dati personali.
La scelta e la conservazione della password
Il 20 ottobre 2021 le più importanti testate giornalistiche hanno riportato la notizia dell’attacco hacker che il Gruppo Everest ha portato alla Società Italiana degli autori ed editori (SIAE), cioè all’ente pubblico economico che, nel nostro paese, si occupa della protezione del diritto d’autore e delle opere d’ingegno svolgendo anche attività di intermediazione tra gli autori ed editori e i fruitori delle opere medesime.
La SIAE svolge anche attività di promozione culturale e di incentivazione alla produzione di nuove opere, nonché azioni di solidarietà e di conservazione del patrimonio artistico.
L’Ente è stata vittima di un precedente attacco informatico nel 2018.
Regolamento Europeo 679/2016 sulla Data Protection (GDPR)
Nel nostro Paese la tutela della riservatezza dei dati finora è stata affidata al Testo unico in materia di privacy approvato con il d.lgs. n.169 del 2003 che raccoglie la maggior parte delle disposizioni inerenti alla privacy e al trattamento dei dati, recependo le Direttive 95/46/CE e 58/2002/CE.
Tale disciplina si avvia ad essere sostituita dal Regolamento Europeo 679/2016 sulla General Data Protection Regulation (GDPR) approvato nell’aprile del 2016 che trova applicazione a decorrere dal 25 maggio 2018 ed è obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri. Si tratta, quindi, di una disciplina pan europea. Tuttavia, la sola esistenza ed applicazione del GDPR non comporta, l’abrogazione automatica del citato Testo unico e delle altre 27 diverse legislazioni nazionali finora vigenti.
L’Autorità Garante per la privacy sulla rilevazione dei dati biometrici e la videosorveglianza negli istituti scolastici
Tre recentissimi provvedimenti dell’Autorità Garante per la privacy affrontano il problema della liceità dell’impiego di strumenti finalizzati alla rilevazione di dati biometrici e di sistemi di videosorveglianza in ambito scolastico.
In particolare, il Garante, a seguito di notizie rilevate a mezzo stampa e di specifiche segnalazioni, ha disposto ispezioni in tre istituti superiori.
A Taranto e a Martina Franca il problema sollevato dal personale docente e ATA riguardava l’installazione di un impianto di rilevazione delle impronte digitali e, dunque, attraverso esse dei dati biometrici, per controllare le presenze sul luogo di lavoro. Il Garante in più occasioni ha individuato le condizioni in presenza delle quali il trattamento di tali dati può ritenersi lecito.
In particolare, l’Autorità ha precisato che tali dati possono essere, di regola, utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l’accesso ad “aree sensibili” in considerazione della natura delle attività ivi svolte.
In applicazione dei principi di necessità nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) dei trattamenti effettuati in relazione alle finalità perseguite, il Garante ha, di regola, ritenuto sproporzionato l’impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori (cfr. Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669; v. già le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1; questo orientamento è stato condiviso, proprio in sede di impugnazione di un’ordinanza-ingiunzione dell’Autorità, dal Trib. Prato, 19 settembre 2011). Infatti, a tale fine possono essere utilizzate idonee modalità alternative che non incidano sulla libertà e la dignità stessa dei lavoratori interessati.
Il titolare del trattamento, allo scopo di verificare il puntuale rispetto dell’orario di lavoro può disporre di altri sistemi, meno invasivi della sfera personale nonché della libertà individuale del lavoratore, che non ne coinvolgano la dimensione corporale (cfr. Provv. 31 gennaio 2013, n. 38; con specifico riferimento all’impiego di analoghi sistemi di rilevazione in ambito scolastico cfr. Provv.ti 30 maggio 2013).
Peraltro, il trattamento dei dati biometrici per la registrazione delle presenze, oltre ad essere in linea di principio sproporzionato, potrebbe comunque, in concreto, rivelarsi di scarsa utilità nel contrasto di eventuali casi di allontanamento dal servizio atteso che tale modalità di rilevazione delle presenze, in difetto di efficaci sistemi di controllo e vigilanza sull’effettiva (operosa) presenza dei lavoratori durante l’arco dell’intera giornata lavorativa, non è di per sé in grado di assicurare la concreta presenza sul luogo di lavoro di dipendenti infedeli.
Va, inoltre, considerato che nel rispetto del principio di correttezza il trattamento dei dati biometrici dedotti dalle impronte digitali può avvenire solo a seguito di un accordo con i lavoratori e le loro rappresentanze sindacali e di una chiara esposizione delle modalità peculiari del trattamento che si intende effettuare, nonché di una esauriente informativa preventiva agli interessati ai sensi dell’art. 13 del Codice. Infine il trattamento dei dati biometrici richiede la notificazione ai sensi dell’art. 37, comma 1, lett. a), del Codice.
Dalle ispezioni compiute presso gli istituti scolastici di Taranto e di Martina Franca è emerso che non ricorreva alcuna delle condizioni in precedenza indicate. Il Garante, in primo luogo, ha verificato che i dirigenti scolastici interessati non hanno fornito prova della necessità e pertinenza del trattamento. L’installazione del sistema di rilevazione delle impronte digitali era motivato dalla volontà di prevenire condotte abusive dei dipendenti. Tuttavia, non vi era prova che l’impiego di sistemi diversi e meno invasivi di rilevazione delle presenze come, ad esempio, quello del badge, non avessero funzionato. Anzi, in passato, in casi di ritardi e assenze ingiustificate dal lavoro, l’istituto scolastico era stato perfettamente in grado di contestare i relativi addebiti ai responsabili. Inoltre, non si era proceduto all’accordo con i lavoratori, non era stata fornita loro una soddisfacente informativa, né era stata effettuata la notificazione al Garante.
Con un altro provvedimento, invece, l’Autorità Garante ha affrontato anche il problema dell’impiego della videosorveglianza. In un istituto scolastico di Roma, all’insaputa del personale, erano presenti alcune telecamere installate in tempi successivi. Rispetto ad una di queste collocata nel corridoio di accesso all’area amministrativa non erano state rese note, né le ragioni della sua installazione, né l’orario in cui essa era attiva, né se venivano effettuate registrazioni, né chi era a conoscenza delle password per accedere alle riprese o alle registrazioni. In breve, non erano stati apposti i dovuti cartelli di segnalazione e, men che meno, era stata resa nota l’informativa dettagliata imposta dalla legge. Ulteriori telecamere, poi, effettuavano riprese di alcune aree del’’istituto frequentate da studenti durante il periodo di apertura del medesimo. Inoltre, era presente in istituto anche un impianto di rilevazione dei dati biometrici.
Le circostanze segnalate al Garante erano confermate dalle verifiche compiute dall’Ispettorato del Lavoro che, ai sensi dell’art.4 dello Statuto dei Lavoratori, disponeva l’ordine di disinstallazione dell’impianto di videosorveglianza e del sistema di rilevazione delle impronte digitali.
L’Autorità Garante, con il provvedimento in commento ha dichiarato che le rilevazioni effettuate dall’Istituto scolastico con l’impianto di videosorveglianza posto presso gli uffici amministrativi non sono lecite in quanto violano la disciplina prevista dagli artt. 13, 114 del Codice e 4, comma 2, l. n. 300/1970. Peraltro, tale trattamento, essendo idoneo a riprendere anche gli studenti che frequentavano l’istituto, non risultava conforme a quanto stabilito dal Garante, nel provvedimento generale in materia di videosorveglianza dell’8 aprile 2010, atteso che in ambito scolastico l’utilizzo di sistemi di videosorveglianza deve ritenersi ammissibile solo “in casi di stretta indispensabilità, al fine di tutelare l’edificio ed i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate ed attivando gli impianti negli orari di chiusura degli istituti; è vietato, altresì, attivare le telecamere in coincidenza con lo svolgimento di eventuali attività extrascolastiche che si svolgono all’interno della scuola”(punto 4.3.1).
Mi viene da considerare che, probabilmente, in un’ottica di uso efficiente delle scarse risorse finanziarie disponibili nelle scuole, anziché investire in costosi impianti di videosorveglianza e di rilevazione delle impronte digitali, sarebbe stata più opportuna una seria consulenza e formazione in materia di tutela della privacy.
Riflessioni a margine della sentenza della Corte di Cassazione n.18443 del 1 agosto 2013: il Disciplinare per l’utilizzo di internet e della posta elettronica sui luoghi di lavoro
La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013 mi dà lo spunto per soffermarmi su una questione che da tempo è oggetto di confronto e di dibattito. Nella mia esperienza di consulente per l’attuazione della normativa posta a tutela della privacy (d.lgs. n. 196 del 2003) ho potuto verificare che durante gli incontri formativi nei quali sono coinvolti datori di lavoro pubblici e/o privati e dipendenti, appassiona il problema della legittimità dell’accesso e del trattamento dei dati di navigazione in internet e, più in generale, dell’attività svolta al computer, dal dipendente.
La citata pronuncia della Corte di Cassazione, ha affrontato tale questione confermando quanto statuito nel merito dal Tribunale di Palermo al quale era stato sottoposto un provvedimento con cui l’Autorità Garante per la Tutela della Privacy aveva censurato la condotta di un datore di lavoro che aveva intimato il licenziamento per giusta causa ad un suo dipendente. Il lavoratore era stato licenziato perché durante l’orario di lavoro aveva navigato in internet, visitando siti che non avevano alcuna attinenza con l’attività lavorativa svolta e che avevano contenuto pornografico. Il controllo della navigazione internet da parte del datore di lavoro aveva comportato l’accesso a dati sensibili relativi al lavoratore che, dunque, considerando illecito il trattamento degli stessi, si è rivolto all’Autorità garante segnalando l’accaduto.
Con apposito provvedimento del 02.02.2006 il Garante ha rilevato la natura illecita del trattamento dei dati emersi dal controllo dei log di connessione. Il datore di lavoro, infatti, non ha informato il lavoratore del controllo che non rientrava nelle ordinarie o straordinarie attività di manutenzione dei computer. Inoltre, il trattamento dei dati sensibili emersi dalla navigazione non era legittimato nemmeno dall’art.26 comma 4, lett. c), del Codice, in quanto tali dati non erano necessari al datore di lavoro per far valere o difendere un proprio diritto in giudizio.
Infatti, il lavoratore, per le mansioni svolte non aveva alcuna necessità di navigare in internet; pertanto il licenziamento avrebbe potuto essere validamente motivato per la semplice circostanza della navigazione, senza alcuna necessità di controllare i log di connessione e di accedere e trattare dati sensibili in violazione del codice a tutela della privacy. Peraltro, il diritto fatto valere dal datore di lavoro attraverso il licenziamento non era di rango pari a quello dell’interessato cioè non consisteva in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. In altri termini, la tutela del diritto datoriale non poteva giustificare una limitazione della tutela del diritto alla riservatezza del lavoratore.
Naturalmente il datore di lavoro si è rivolto al Tribunale di Palermo, ai sensi dell’art. 152 d.lgs. n. 196/2003. Il giudice di merito, con sentenza del 26.06.2008, ha confermato l’assunto dell’Autorità Garante e, dunque, ha concluso per l’inutilizzabilità dei dati posti a fondamento del licenziamento. La vicenda giudiziaria si è conclusa con la sentenza n. 18443 del 1 agosto del 2013 con cui la Corte di Cassazione, in primo luogo, ha effettuato alcune precisazione definitorie e, con particolare riferimento all’accesso a siti internet con contenuti pornografici, ha precisato che, come statuito in sede penale, oggetto di tutela da parte del d.lgs. n. 196/2003 «non sono solo i gusti sessuali di un individuo (astrattamente e genericamente considerati), ma, anche, le concrete scelte che, in questo campo, il soggetto va ad operare» (Sez. 5 penale, Sentenza n. 44940 del 2011).
Pertanto, è indubbio che sono dati personali idonei a rilevare la vita sessuale – «da intendersi come complesso delle modalità di soddisfacimento degli aspetti sessuali di una persona» (Sez. 5 penale, Sentenza n. 46454 del 2008) – quelli relativi alla “navigazione” in internet con accesso a siti pornografici.
In secondo luogo, la Corte di Cassazione, ha confermato quanto statuito dal Garante, prima, e dal Tribunale di Palermo, poi.
La legittima esigenza di monitoraggio del datore di lavoro, dunque, ha avuto la peggio rispetto alla tutela della privacy del lavoratore.
Situazioni come quella che ha occasionato la pronuncia in esame, possono essere evitate facendo tesoro di quanto statuito dall’Autorità Garante per la privacy nelle Linee guida per posta elettronica e internet del 1 marzo del 2007.
In virtù del divieto sancito dall’art.4 dello Statuto dei lavoratori, il datore di lavoro, non può deliberatamente controllare l’attività svolta dal lavoratore durante l’orario di lavoro attraverso i dati di navigazione in internet e, men che meno, installando appositi programmi volti solo a monitorare l’impiego del computer. L’accesso ai dati, tuttavia, può avvenire in maniera casuale e non deliberata durante le sessioni di manutenzione ordinaria e straordinaria dell’hardware e del software finalizzate a garantire la sicurezza dell’azienda e del lavoro in generale.
Il garante, dunque, precisa che il datore di lavoro è chiamato a promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori. Pertanto dal punto di vista organizzativo, è opportuno che:
« (…)
- si valuti attentamente l’impatto sui diritti dei lavoratori (prima dell’installazione di apparecchiature suscettibili di consentire il controllo a distanza e dell’eventuale trattamento);
- si individui preventivamente (anche per tipologie) a quali lavoratori è accordato l’utilizzo della posta elettronica e l’accesso a Internet;
- si determini quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abusivo. »
Il datore di lavoro ha anche l’onere di adottare tutte le misure tecnologiche volte a minimizzare l’uso di dati identificativi.
I lavoratori e le loro rappresentanze sindacali, poi, devono essere informati delle potenzialità invasive delle apparecchiature informatiche che utilizzano per lo svolgimento del proprio lavoro.
Infatti, in base al principio di correttezza, il trattamento dei dati relativi alla navigazione in internet e all’uso del pc del lavoratore rilevati casualmente dal datore di lavoro, deve essere ispirato ad un canone di trasparenza. Pertanto, «Grava sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.»
Il datore di lavoro, quindi, deve informare in maniera chiara e compiuta i lavoratori in merito a ciò che possono e che non possono fare attraverso l’uso del pc, della rete internet e della posta elettronica e degli eventuali controlli che possono avvenire in occasione della manutenzione ordinaria e straordinaria.
A tal fine, secondo il Garante, può risultare opportuno adottare un Disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori, ecc.) definito coinvolgendo anche le rappresentanze sindacali nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica, da sottoporre ad aggiornamento periodico. Tale Disciplinare doveva essere menzionato nel Documento Programmatico per la Sicurezza (DPS) che, com’è noto, è stato inopinatamente abolito nella forma descritta dal d.lgs. 196 del 2003.
«A seconda dei casi andrebbe ad esempio specificato:
- se determinati comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
- in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
- quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
- se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );
- se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
- quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
- le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
- se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell’interessato;
- quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l’eventuale segreto professionale cui siano tenute specifiche figure professionali;
- le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice, nonché Allegato B).”»
La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013, dunque, fornisce l’occasione per ricordare che il Disciplinare per l’utilizzo di internet e della posta elettronica rappresenta un fondamentale strumento di prevenzione e non un ulteriore adempimento burocratico finalizzato solo a complicare la vita ai datori di lavoro. Predisposto con la partecipazione delle rappresentanze sindacali dei lavoratori e aggiornato periodicamente, è bene che il Disciplinare sia esplicato in una apposita sessione formativa durante la quale è possibile fornire tutti i chiarimenti tecnici e giuridici.
Inoltre esso deve essere adeguatamente pubblicizzato e reso noto in modo che sia conoscibile a tutti coloro che stabilmente o, a maggior ragione, occasionalmente prestano collaborazione a favore del datore di lavoro. Laddove il datore di lavoro non vi provveda è assoluto interesse dei lavoratori sollecitarne l’adozione. Le regole non devono spaventare: esse aiutano ad evitare situazioni incresciose e problematiche.
La prescrizione del danno da violazione della privacy
Con la recentissima sentenza n.1229 del 2013 il Tribunale di Benevento ha deciso un contenzioso nel quale la parte attrice lamentava di aver subito un danno per effetto del trattamento illecito dei dati relativi al proprio conto corrente da parte di un istituto di credito. In particolare, la Banca avrebbe fornito al conduttore di un immobile di proprietà del correntista, gli estremi del suo nuovo conto corrente, in tal modo permettendogli di versare regolarmente il canone di locazione. Parte attrice, dunque, si doleva che il conduttore avesse effettuato il bonifico sul conto corrente appena acceso senza che la stessa gliene avesse comunicato gli estremi di cui, secondo il suo assunto, era venuto a conoscenza illecitamente in violazione della normativa relativa alla protezione dei dati personali. Pertanto, chiedeva l’accertamento della responsabilità e la condanna al risarcimento dei danni a carico dell’istituto di credito e del conduttore.
In base all’art.15 comma primo del d.lgs. n.196 del 2003 la violazione delle norme poste a tutela della riservatezza configura un’ipotesi di responsabilità ex art.2050 c.c. Infatti, tale norma dispone che chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno. Trattandosi di responsabilità extracontrattuale, in base all’art.2947 c.c., l’azione per l’accertamento della responsabilità e il conseguente risarcimento del danno si prescrivono in cinque anni decorrenti dal fatto illecito.
Nel caso deciso dal Tribunale di Benevento il presunto illecito trattamento dei dati del conto corrente da parte della banca, in base alla ricostruzione attorea, sarebbe avvenuto nel settembre 2002. Tale trattamento è stato segnalato anche all’Autorità garante per la privacy ed è stato oggetto di una querela inoltrata al Comandante della locale stazione dei carabinieri. Tuttavia, la domanda è stata proposta solo nel giugno 2010, pertanto si è senz’altro prescritta. Il Tribunale, rilevato che la Banca ha sollevato tempestivamente l’eccezione di prescrizione, senza entrare nel merito, ha rigettato la domanda per intervenuta prescrizione precisando che la segnalazione all’Autorità Garante e la querela ai Carabinieri non costituiscono validi atti interruttivi del termine prescrizionale ai sensi dell’art. 2943 c.c. . Infatti si tratta di atti con i quali il danneggiato non ha esercitato il proprio diritto al risarcimento nei confronti dei presunti autori del fatto illecito obbligati al risarcimento.
Con riferimento all’altro convenuto cioè al conduttore dell’immobile, invece, il Tribunale ha deciso anche nel merito, considerando inammissibile l’eccezione di prescrizione tardivamente sollevata. Ebbene, la domanda proposta nei confronti del conduttore è stata rigettata per carenza di prova. Infatti, come, peraltro, confermato dalla Cassazione nella sentenza n. 8451 del 2012, in applicazione dei criteri stabiliti dal citato articolo 2050 c.c. in tema di responsabilità per esercizio di attività pericolosa, la presunzione di colpa a carico del danneggiante posta da tale norma, presuppone il previo accertamento dell’esistenza del nesso eziologico – la cui prova incombe al danneggiato – tra l’esercizio dell’attività e l’evento dannoso, non potendo il soggetto agente essere investito da una presunzione di responsabilità rispetto ad un evento che non è ad esso in alcun modo riconducibile. Sotto il diverso profilo della colpa, incombe, invece, sull’esercente l’attività pericolosa l’onere di provare di avere adottato tutte le misure idonee a prevenire il danno (Cass.5080/06; Cass. 19449/08; Cass. 4792/01; Cass. 12307/98). Nel caso di specie, dunque, l’attore non ha fornito alcuna prova del danno e del nesso eziologico con il presunto illecito trattamento dei dati.
La semplificazione in materia di Privacy: l’abolizione del DPS
l 4 aprile 2012 è stata approvata dalla Camera la legge di conversione del decreto legge n.5 del 9 febbraio 2012 noto come “Semplifica Italia”. E’ dunque definitiva l’abolizione dell’obbligo imposto dal d.lgs. 196 del 2003 di redigere entro il 31 marzo di ogni anno il Documento Programmatico sulla Sicurezza, ovvero la mappa delle misure minime di sicurezza adottate per la tutela della privacy da soggetti pubblici e privati che trattano dati personali, sensibili e/o giudiziari.
Sin dalla pubblicazione del decreto legge e dalla sua entrata in vigore, la notizia è stata commentata soprattutto osservando che l’abolizione del DPS avrebbe determinato un considerevole risparmio di tempo e di denaro per i titolari del trattamento dei dati. Tuttavia, tale lettura della innovazione normativa appare decisamente superficiale e anche pericolosamente fuorviante. Infatti, basta esaminare la normativa dettata dal d.lgs. n.196 del 2003 per verificare che la redazione del DPS costituiva solo uno degli adempimenti documentali imposti al fine di garantire il corretto trattamento dei dati. E’ d’uopo ricordare che a fronte dell’abrogazione del solo art.34 I comma lett. g del citato decreto legislativo resta obbligatorio adottare tutte le altre misure minime di sicurezza indicate dall’art.29, dall’art. 30, dall’art.34 comma I lett. a, b, c, d, e, f, h e dall’art.35, così come specificate dall’Allegato B.
In particolare preme segnalare che, da un punto di vista documentale, resta fermo l’obbligo di tenere accuratamente aggiornate le nomine dei responsabili e degli incaricati del trattamento dei dati. Chi, in conformità con quanto disposto dalla legge, negli anni passati ha redatto per ciascun responsabile ed incaricato, delle nomine specifiche dalle quali si evinca con chiarezza l’ambito del trattamento dei dati consentito, le funzioni svolte, gli obblighi da rispettare, l’elenco delle banche dati cartacee e informatiche alle quali è permesso l’accesso e gli estremi del pc utilizzato da ciascun soggetto, dovrà comunque continuare a farlo. Ed è evidente che la redazione e l’aggiornamento di tali nomine costituisce il lavoro prodromico ed essenziale per la redazione del DPS.
In altri termini, fermi restando tutti gli adempimenti imposti dal d.lgs. n.196 del 2003, si eviterà solo di sintetizzarli in un documento unico. Pertanto, i titolari del trattamento, soprattutto di dati sensibili, non possono sentirsi in alcun modo autorizzati a ritenere che a seguito dell’abolizione del DPS, entro il 31 marzo di ogni anno, non ci sia più nulla da fare. Anzi dovranno anche essere consapevoli che nel caso di un controllo da parte delle autorità competenti oppure in sede contenziosa, su di loro incomberà comunque l’onere della prova di aver adempiuto agli obblighi imposti dalla legge a tutela della privacy entro la data stabilita. Mentre finora tale onere poteva essere adempiuto esibendo il DPS con data certa, per effetto dell’abolizione del documento, sarà molto più difficile dimostrare di essere in regola.
A ciò si aggiunga che la legge di conversione del decreto “Semplifica Italia” nulla statuisce in merito alla formazione dei responsabili e degli incaricati. Atteso che la norma abrogata, nel definire il contenuto del DPS, prevedeva che in tale documento si facesse espresso riferimento alla formazione annuale dei responsabili e degli incaricati, si è sbrigativamente concluso che anche questo impegno non dovesse essere più assolto. Tuttavia, per esperienza personale, ho verificato che gli incontri formativi, soprattutto se intesi come un momento di confronto dinamico con tutti coloro che quotidianamente trattano i dati personali, sensibili e giudiziari, sono più utili di qualsiasi altro adempimento. Infatti, permettono di esaminare tematiche e questioni che spesso appaiono astratte e di sensibilizzare le persone rispetto alla necessità di sviluppare un interesse maggiore per la tutela della riservatezza e, dunque della personalità dell’individuo, e di trasmettere il messaggio soprattutto ai più giovani. Inoltre, in sede formativa emergono i dubbi e si trovano le soluzioni alle problematiche applicative del d.lgs. 196 del 2003.
Concludendo, dunque, è decisamente consigliabile continuare ad adempiere agli obblighi imposti dal d.lgs. 196 del 2003 adottando le misure minime di sicurezza in esso indicate aggiornando regolarmente la documentazione e, quindi, soprattutto le nomine dei responsabili e degli incaricati del trattamento, il registro che attesta il cambiamento delle password e le informative.