• Non ci sono risultati.

IL TRATTAMENTO INFORMATIZZATO DEI DATI PERSONALI. LE INFORMAZIONI RELATIVE AI DIPENDENTI NEL CONTESTO AZIENDALE

N/A
N/A
Protected

Academic year: 2021

Condividi "IL TRATTAMENTO INFORMATIZZATO DEI DATI PERSONALI. LE INFORMAZIONI RELATIVE AI DIPENDENTI NEL CONTESTO AZIENDALE"

Copied!
155
0
0

Testo completo

(1)

Sommario

INTRODUZIONE ... 3

ASPETTI NORMATIVI GENERALI ... 6

1.L’EVOLUZIONE DEL DIRITTO ALLA RISERVATEZZA... 6

1.1. Il concetto di “privacy”... 6

1.2. La normativa italiana ... 10

1.3. Privacy e Statuto dei lavoratori... 13

2.AMBITO DI APPLICAZIONE DELLA NORMATIVA SULLA PRIVACY... 16

CAPITOLO 2... 17

IL TRATTAMENTO DEI DATI PERSONALI IN AZIENDA ... 17

1.PRINCIPI GENERALI: OBBLIGHI INTRODOTTI DALLA NORMATIVA SULLA PRIVACY ... 17

1.1. Il censimento dei dati personali ... 18

1.2. L’informativa ... 20

1.3. Il consenso informato... 25

1.4. La gestione dell’esercizio dei diritti riconosciuti agli interessati ... 27

2.LE TIPOLOGIE DI TRATTAMENTO DEI DATI EFFETTUATI NELL’IMPRESA... 29

2.1. Il trattamento dei dati relativi ai dipendenti... 29

2.2. Il trattamento dei dati relativi ai fornitori ed ai clienti... 39

2.3. L’attività di marketing ... 42

CAPITOLO 3... 46

PRIVACY E CONTROLLO DEI DIPENDENTI: L’IMPIEGO

DEGLI STRUMENTI ELETTRONICI ... 46

1.INTRODUZIONE... 46

2.CONTROLLI A DISTANZA DEI LAVORATORI... 48

3.ICONTROLLI TECNOLOGICI: IL MONITORAGGIO DEGLI ACCESSI AD INTERNET. 64 3.1. Utilizzo (e monitoraggio) della rete internet nel rapporto di lavoro: le linee guida dei Garante della privacy ... 66

3.1.1. I principi del Codice rilevanti in materia di controlli tecnologici ... 68

3.1.2. Le linee guida comuni ai controlli informatici ... 68

3.1.3. I precetti specifici relativi alla navigazione in internet ... 70

4.IL MONITORAGGIO DELLA POSTA ELETTRONICA... 74

4.1. Le linee guida dei Garante della privacy ... 76

5.IL CONTROLLO DELLE COMUNICAZIONI TELEFONICHE... 80

(2)

CAPITOLO 4...91

PRIVACY E ORGANIZZAZIONE AZIENDALE ...91

1.DEFINIZIONI DI COMPITI E PROCEDURE: LE FIGURE CHIAVE DELLA PRIVACY...91

2.IL TITOLARE DEL TRATTAMENTO...92

3.IL RESPONSABILE DEL TRATTAMENTO...96

3.1. Il responsabile per la sicurezza...100

3.2. L’amministratore di sistema...101

4.L’INCARICATO DEL TRATTAMENTO...103

4.1. Aspetti operativi della designazione degli incaricati del trattamento ...106

4.2. L’incaricato della custodia della parola chiave ...107

4.3. L’incaricato della manutenzione del sistema ...108

4.4. L’incaricato della custodia dell’archivio ad accesso controllato ...109

5.ASPETTI ORGANIZZATIVI...110

6.L’AFFIDAMENTO A TERZI DEI PROCESSI DI TRATTAMENTO DEI DATI...113

7.ALTRE FIGURE RILEVANTI PER LA TUTELA DELLA PRIVACY IN AZIENDA...116

7.1. Il medico competente ...117

7.2. L’agente o il rappresentante ...118

7.3. Il consulente e i prestatori di servizi (commercialista, consulente del lavoro, software house, spedizioniere) ...118

8.IL MANSIONARIO DELLA PRIVACY...119

CAPITOLO 5...121

LA SICUREZZA E LA GESTIONE DEI RISCHI ...121

1.SICUREZZA: UNA ESIGENZA CRESCENTE IN AZIENDA...121

2.LE MISURE IDONEE DI SICUREZZA...124

3.LE MISURE MINIME DI SICUREZZA...125

4.TRATTAMENTI CON L’AUSILIO DI STRUMENTI ELETTRONICI...127

4.1. Sistemi di autenticazione informatica ...128

4.2. Sistema di autorizzazione...134

4.3. Misure di protezione e di ripristino dei dati ...135

5.IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ART.34 LETTERA G, ALLEGATO B PUNTO 19) ...138

5.1. La mappa dell’organizzazione ...140

5.2. L’analisi dei rischi e le misure a tutela...141

5.3. La formazione degli incaricati...144

5.4. L’outsourcing dei trattamenti ...145

6.TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI: I DATI SU CARTA ...147

(3)

INTRODUZIONE

Tutte le imprese, indipendentemente dal tipo di attività svolta, dal numero di addetti, dal proprio mercato di riferimento trattano dati personali: la raccolta e l’elaborazione di informazioni costituiscono presupposti necessari per la realizzazione di qualsiasi processo decisionale ed, in quanto tali, risultano presenti nella pianificazione e nell’attuazione di ogni iniziativa umana; ne consegue che la maggior complessità delle azioni intraprese comporterà inevitabilmente l’acquisizione di un numero maggiore di dati. In tal contesto l’impresa, stante la pluralità dei rapporti dinamici a cui dà vita, si presenta come un naturale crocevia di flussi informativi, riguardanti i diversi soggetti che a vario titolo vengono in contatto con la stessa. Sono in particolare tre le categorie di interessati dall’elaborazione di dati posta in essere all’interno di un’azienda: dipendenti, clienti (potenziali o già acquisiti) e fornitori, ai quali spesso si aggiungono agenti, professionisti, consulenti, società prestatrici di servizi.

I trattamenti relativi a tali soggetti caratterizzano il funzionamento della realtà imprenditoriale sin dal suo nascere, in quanto connaturati alla stessa; ciò che è mutato con il tempo è invece la natura dei supporti impiegati per dar vita ai diversi archivi di dati: si è passati dall’annotazione sulla tavoletta di argilla, ai libri contabili, agli schedari d’impresa, sino alle attuali basi di dati informatizzate. Di pari passo con il potenziamento dei supporti, in termini di rapidità di accesso e di possibilità di interconnessione ed elaborazione delle informazioni raccolte, si è registrato un incremento del valore intrinseco del patrimonio informativo, non più solamente funzionale all’esecuzione delle prestazioni pattuite, ma sempre più rilevante ai fini dell’acquisizione di posizioni di mercato. In un contesto caratterizzato da forte competizione fra le imprese, specie in relazione al fenomeno della c.d. globalizzazione dei mercati, la disponibilità di ampie basi di dati consente non solo una maggior efficienza produttiva, ma anche una più mirata personalizzazione dell’offerta in ragione delle esigenze del cliente o del segmento di clientela individuato mediante l’interconnessione delle informazioni raccolte, garantendo un vantaggio competitivo a chi ponga in essere tali tecniche di marketing.

L’informatizzazione delle basi di dati ha inoltre comportato un’estrema facilità di mobilitazione delle stesse, specie in conseguenza dello sviluppo delle comunicazioni

(4)

informatiche a rete, con implicazioni dirette sull’indebolimento dei poteri di controllo sui flussi informativi da parte degli interessati: in seguito al passaggio dalla carta al bit risulta infatti assai più semplice trasferire grandi quantitativi di dati a terzi all’insaputa delle persone cui le informazioni si riferiscono.

Lo sviluppo delle tecnologie digitali ha poi comportato una moltiplicazione delle informazioni disponibili, in ragione delle “tracce” che le memorie digitali mantengono delle operazioni poste in essere; così all’occhio vigile del datore di lavoro oggi spesso si affianca quello del sistema informatico, capace di memorizzare gli accessi ai locali, le modalità di utilizzo dei software, l’attività di connessione di rete, le comunicazioni elettroniche. Questa estrema trasparenza non riguarda però solamente i lavoratori, rispetto ai quali il potere di controllo appare più evidente ed è parzialmente connaturato al rapporto contrattuale, poiché ad essere “messi a nudo” dalla digitalizzazione delle informazioni sono anche le due restanti categorie di soggetti che interagiscono con l’imprenditore, ovvero i clienti ed i fornitori.

Con riguardo ai primi, le necessità di porre in essere le strategie di marketing diretto e il massimizzare la soddisfazione del cliente in tutte le fasi del rapporto, anche post-vendita, comportano infatti un sempre maggiore impiego di tecniche di profilazione, volte a definire in maniera dettagliata le propensioni al consumo e le abitudini commerciali dei clienti, sia potenziali che acquisiti. L’impiego di tessere prepagate, la tracciabilità dei pagamenti effettuati in forma elettronica, l’acquisizione di informazioni mediante questionari, la profilazione occulta durante le connessioni in rete, sono solo alcune delle modalità più diffuse che consentono alle imprese di sostituire all’Anonimo un soggetto ben definito, di cui conoscono lo stile di vita e, attraverso il monitoraggio dei consumi, le passioni, le inclinazioni politiche, filosofiche, sessuali e quant’altro. Analoghe modalità di controllo vengono infine adottate nei confronti di tutti coloro che con l’impresa instaurano rapporti che potremmo genericamente definire di fornitura, ampliando tale categoria anche ai diversi professionisti che prestano la propria opera di consulenza. Anche tali soggetti vengono infatti schedati, seppur con criteri e per fini differenti rispetto a quanto accade per le due precedenti categorie, in ragione della loro affidabilità, dei rapporti pregressi, degli aspetti di organizzazione aziendale ritenuti necessari per l’instaurazione ed il mantenimento del rapporto.

Tutti questi rapporti creano una gestione di dati personali in capo all’impresa, che configura il “trattamento” oggetto della normativa sulla privacy.

(5)

L’obiettivo principale del presente lavoro è quello di analizzare l’impatto che la legge sulla privacy ha sugli aspetti principali dell’impresa: dal controllo sui dipendenti, come già accennato, all’organigramma delle responsabilità, passando poi ad esaminare le modalità di trattamento e messa in sicurezza dei dati. Infatti l’incidenza della normativa sull’organizzazione aziendale non riguarda solamente la gestione del personale e l’attribuzione delle responsabilità, ma si riverbera anche sulla gestione dei beni e degli strumenti in dotazione all’impresa. In particolare occorre porre in essere specifiche limitazioni fisiche ed informatiche all’accesso ai dati, in maniera da evitare l’involontaria, ma anche l’intenzionale acquisizione di informazioni da parte di soggetti non legittimati.

Concludendo, desidero rivolgere un ringraziamento particolare alla Prof.ssa Dianora Poletti per i preziosi suggerimenti e la collaborazione ricevuta.

(6)

Capitolo 1

Aspetti normativi generali

1. L’evoluzione del diritto alla riservatezza

1.1. Il concetto di “privacy”

È nel mondo anglosassone che il right to let be alone vede per la prima volta la luce nel secolo XIX. La sua originaria qualificazione ha una componente di tipo proprietario: la privacy veniva a coincidere con uno spazio della vita, quasi fisico, dal quale il soggetto aveva un diritto di tenere esclusi gli altri, a loro volta, tenuti a rispettarne l’individualità. Ecco perché in tale fase iniziale la riflessione sulla riservatezza è spesso venuta a coincidere con quella sul domicilio, luogo di concretizzazione dello jus excludendi

alios. Per lo stesso motivo la privacy finiva per assumere una forte connotazione di

classe, se si preferisce di ceto: il ricco, si usava dire - con ovvio accento critico -, ha più diritto alla riservatezza perché naturalmente dispone di uno spazio più ampio intercluso ai terzi, mentre i poveri vivono “per strada”1.

Una simile ricostruzione venne ben presto superata e, al termine di una lunga e complessa evoluzione, non facilmente riassumibile, il ruolo della privacy venne addirittura ribaltato: essa diventa un riferimento paradigmatico delle prerogative del lavoratore subordinato, che appunto, tra i propri irrinunciabili diritti vede quello a non essere sorvegliato ed a non ricevere controlli sulle proprie opinioni2.

1

Su questo argomento cfr. P. BARTOLOMUCCI, R. BOCCHINI, G. CAPO, F. DELFINI, M. DONA, S. FIORENTINO, E. MINERVINI, A. PARALUPI, T. PASQUINO, G. PERLINGIERI, L. RUGGERI, F. SBORDONE, S. SICA, D. VALENTINO, Manuale di Diritto dell’informatica, Napoli, 2004, 193.

2

Art. 8.L. n. 300 del 1970, c.d. Statuto dei lavoratori: Divieto di indagini sulle opinioni – “È fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.

(7)

La svolta decisiva, in materia, avviene, oltre che con lo sviluppo dei media, con la rivoluzione informatica prima e, più di recente, telematica. Soltanto con l’avvento della stagione degli elaboratori elettronici, e quindi con la massificazione del processo, attraverso i personal computers, e, da ultimo, con l’introduzione della ragnatela universale del web, la circolazione dei dati personali diventa regola fisiologica della società - che appunto viene definita dell’informazione e della comunicazione - ma, al contempo, conosce dimensioni inevitabilmente patologiche, nell’uso distorto dei dati stessi.

L’ avvento del computer, conferendo all’uomo una potenzialità di gestione delle informazioni che non ha precedenti nella storia, è destinato ad incidere direttamente sulla riservatezza della persona, ponendo in essere un “assalto” alla privacy di natura ben diversa dalla divulgazione delle indiscrezioni attraverso i media.

L’informatizzazione ha consentito di avere rapporti dettagliati su singoli soggetti in pochi secondi , mettendo a nudo le relazioni nascoste fra i dati. Emerge dunque un nuovo aspetto del rapporto fra individuo ed informazione: accanto alla libertà in senso negativo consistente nel non rendere di dominio pubblico le informazioni di carattere riservato, si afferma quella positiva, rappresentata dal diritto di controllo sui dati concernenti la propria persona.

I primi sentori di tale svolta si hanno con i censimenti ed i rilevamenti degli uffici fiscali, ma presto l’informatizzazione delle banche dati si diffonde a diversi settori della pubblica amministrazione fino a penetrare nelle grandi imprese private. La diffusione di tali strumenti per la gestione dei dati ha ampliato il numero dei detentori del nuovo potere informatico, consistente nel controllo sui singoli, reso possibile dall’acquisizione e dall’elaborazione di informazioni. Un potere spesso occulto, sia per le modalità di esercizio, essendo possibile costituire un archivio di dati a completa insaputa dei soggetti interessati in assenza di alcuna regolamentazione, sia in ragione dell’ignoranza da parte delle persone a cui le informazioni si riferiscono di quelli che sono le modalità tecniche ed i meccanismi di gestione delle stesse.

Iniziano così le prime prese di posizioni dei cittadini intimoriti dalla concentrazione di questo nuovo potere nelle mani non solo della pubblica amministrazione, ma anche delle imprese che divengono collettori di dati personali, consentendo di svelare nuovi aspetti della vita di ciascuno, dalle abitudini di consumo ai dati sanitari, alle opinioni personali. Inoltre alla gestione informatizzata dei dati si è affiancata la circolazione degli stessi sulle reti telematiche a seguito della terziarizzazione dell’economia e

(8)

dell’aumento del valore aggiunto costituito dai servizi accessori alla produzione e vendita dei beni, necessariamente implicanti la gestione di dati personali, la raccolta di informazioni sui contraenti, acquisiti e potenziali, diviene un’attività funzionale alla gestione d’impresa. Non solo, la tendenza all’offerta di servizi e beni sempre più personalizzati, al fine di prevalere sulla concorrenza attraverso una maggior soddisfazione della clientela, ha comportato la crescente esigenza di disporre di una pluralità di informazioni con lo scopo di meglio conoscere i gusti e le preferenze individuali, onde tracciarne un profilo sufficientemente determinato da utilizzare per proporre prodotti e servizi in maniera più mirata. Non risponde dunque più al mutato quadro socio-economico l’impostazione propria delle pregresse legislazioni sul trattamento dei dati, incentrata sui diritti di accesso: il valore acquisito dalle informazioni personali comporta infatti che all’individuo venga pienamente riconosciuta la possibilità di disporre di questa nuova ricchezza costituita dal patrimonio di informazioni che lo riguardano.

In risposta alla domanda di trasparenza proveniente dalla collettività, la reazione dei legislatori nazionali è quella di prevedere una disciplina della raccolta dei dati, onde contemperare le esigenze di gestione avanzate dai soggetti pubblici e privati con le ragionevoli pretese di essere informati, manifestate dai singoli, resi oggetto di schedatura. Si afferma così una nuova dimensione del rapporto fra informazione e persona, non più incentrato sul diritto alla difesa della vita privata contro le indebite intrusioni, bensì sul diritto al corretto trattamento dei propri dati,e al controllo sugli stessi.

In questa prospettiva la privacy muta progressivamente fisionomia sino al raggiungimento di un equilibrio, tuttavia instabile per definizione, che potremmo sintetizzare con la formula: dalla privacy in senso statico a quella in senso dinamico. Con una simile espressione si allude alla metamorfosi che la riservatezza ha fatto segnare nel corso del tempo e, in specie, all’indomani dell’evento dell’Information and

Communication Society: essa non può più essere intesa in termini di difesa (statica,

appunto) di uno spazio quasi fisico del soggetto; il flusso informativo è un’ineluttabile

conditio sine qua non della moderna economia di massa e del relativo modello

organizzativo sociale.

L’interessato ha, diritto di “seguire” la circolazione dei propri dati, venendo informato delle ragioni della loro acquisizione, delle modalità di trattamento, custodia, diffusione comunicazione e cosi via.

(9)

Nel breve arco di vent’anni alcuni tra i più rilevanti paesi europei - la Francia, l’Inghilterra e la Germania, tra gli altri - si sono dotati progressivamente di un’apposita disciplina del settore. Le differenti normative, pur nella diversità delle soluzioni applicative e degli ambiti operativi, presentano alcuni caratteri comuni: in primo luogo si affermano il principio di pubblicità degli archivi, al fine di rendere riconoscibili a tutti le raccolte dei dati esistenti, ed il ricorso ad autorità pubbliche con compiti di controllo sulle modalità di gestione degli archivi e di garanzia dei diritti degli interessati.

Secondariamente, preso atto della diffusione delle banche dati e della loro continua crescita, si evidenzia l’insufficienza di un sistema di garanzie incentrato solamente sulla sorveglianza da parte dei poteri pubblici e viene riconosciuto direttamente all’interessato il diritto di essere informato circa l’eventuale trattamento dei propri dati: il cittadino, il consumatore, il lavoratore, non possono essere considerati alla stregua di meri “fornitori di dati”, passivi ed inerti di fronte ad operazioni di gestione poste in essere da altri. Occorre dunque che al singolo venga permesso di poter decidere in che maniera gestire i propri dati e se soddisfare o meno, e a quale prezzo, le richieste provenienti dai diversi operatori economici.

È in risposta a tali esigenze che la disciplina dei dati personali evolve, a partire dalla metà dell’ultimo decennio del secolo scorso, verso un nuovo modello incentrato sul consenso al trattamento dei dati da parte dell’interessato.

Sono questi i presupposti e le scelte di politica del diritto che paiono caratterizzare l’ultima, ed attuale, fase delle legislazioni europee in materia di data protection, in attuazione delle linee guida tracciate dalla direttiva comunitaria 95/46/CE, adottata il 24 ottobre 1995. In tale articolato normativo il consenso del soggetto interessato diviene infatti uno dei punti cardine nel difficile equilibrio fra tutela della persona e sviluppo delle banche dati, ove il soddisfacimento della prima esigenza non è apprezzato quale scopo a sé stante, ma in quanto finalizzato al buon funzionamento del mercato comune dell’Unione: senza un’adeguata tutela del singolo, specie in quanto consumatore, v’è infatti il rischio di limitarne la propensione alla cessione dei dati personali, ostacolando il pieno sviluppo della moderna economia della società dell’informazione.

Rispetto al quadro armonico dell’evoluzione della disciplina del trattamento dati in Europa, la realtà italiana si presenta come del tutto anomala, dal momento che, nonostante la presenza di innovativi e precursori interventi legislativi3, in Italia non si è

3

(10)

seguito quel lungo cammino che i restanti Paesi dell’Unione europea hanno intrapreso a partire dagli anni Settanta del secolo scorso e che ha avuto nella direttiva 95/46/CE il suo punto d’arrivo.

Mentre altrove, in Spagna ed in Portogallo, il diritto del singolo sui propri dati veniva addirittura affermato nelle carte costituzionali, in Italia il diritto di accesso, l’obbligo di notifica dell’avvenuta costituzione di una banca dati, i principi di correttezza e pertinenza nell’elaborazione dei dati risultavano del tutto ignorati e, in quanto tali, estranei all’operare delle imprese che quotidianamente raccoglievano e gestivano enormi quantità di dati personali. Le stesse nozioni erano ugualmente ignote ai consumatori ed ai cittadini che, in maniera inconsapevole, venivano privati di qualsiasi forma di controllo sulle proprie informazioni.

1.2. La normativa italiana

L’Italia si caratterizzò per una lunga inerzia legislativa in materia, solo nel 1996 si ebbe la svolta con l’entrata in vigore della legge 31 dicembre, n. 675 : “Protezione nel trattamento dei dati personali4”. La legge ha previsto una serie di adempimenti a carico

di tutti coloro che raccolgono e trattano questi dati, sia in forma automatizzata che in forma cartacea, ed individua una sorta di “diritto di proprietà” a favore dell’interessato, cioè della persona cui dati fanno riferimento, che deve avere la possibilità di controllare l’utilizzo. Viene colmato così d’un balzo questo enorme vuoto, passando senza soluzione di continuità e senza fasi intermedie dalla libera appropriazione delle informazioni personali altrui al divieto di raccogliere ed utilizzare le stesse senza il previo consenso degli interessati, dall’assenza di qualsiasi regola all’attuazione della direttiva 95/46/CE5.

4

Il colpevole ritardo è da addebitarsi all’inerzia del legislatore. L’Italia era una delle poche nazioni appartenenti all’Unione Europea prive di una disciplina del trattamento dei dati personali.

5

Contestualmente all’emanazione della legge 675, venne approvata un’articolata legge delega – la n. 676/1996 – per rendere possibile la successiva integrazione e, se necessario, modificazione delle relative disposizioni.

Con tale delega si è così individuato uno strumento risultato poi valido e che ha permesso di completare gradualmente l’impianto normativo già complesso della protezione dei dati, che è stato progressivamente allineato alla disciplina comunitaria cui si ispirava. Ha consentito inoltre di apportare, in determinati casi, alcune correzioni necessarie per la migliore attuazione dei principi affermati nel 1996.

(11)

Ancora una volta il ritardo italiano pare connaturato a fattori culturali e sociali riconducibili alla lentezza con cui si sono verificati nel nostro paese i processi di informatizzazione e di diffusione delle conoscenze relative, da cui è derivato il duplice effetto di un minore rischio di schedatura delle persone e di una minor percezione di quest’ultimo da parte delle stesse; d’altro canto il tardivo affermarsi della tutela dei dati personali va altresì ascritto all’avversione dei gruppi imprenditoriali nei confronti di una normativa che avrebbe necessariamente comportato controlli ed oneri aggiuntivi oltre che, e forse soprattutto, la perdita del lucroso commercio delle informazioni personali consentito dall’assenza di regolamentazione. Ovviamente, sono poi conseguite le non poche difficoltà interpretative e soprattutto applicative che hanno caratterizzato la prima fase di attuazione della legislazione, gran parte delle quali risolte grazie agli interventi del Garante per la protezione dei dati personali.

Il materiale normativo, interno e comunitario, di rango superiore e secondario, affiancato alla produzione “paranormativa” e “giurisprudenziale” del Garante, in breve tempo è diventato così esteso e variegato da essere necessaria un’opera di razionalizzazione e sistemazione, che ha ispirato, da ultimo, l’introduzione del D.Lgs. 30 giugno 2003 n. 196, un testo unico, che tuttavia, per espressa (e significativa) scelta del legislatore, ha il nome di Codice del trattamento dei dati personali.

La disciplina del trattamento dei dati, per quanto concerne la parte generale, risulta comunque coerente con l’impostazione già presente nelle normative straniere e nelle fonti sopranazionali, mantenendo una distinzione fra le diverse tipologie di dati in ragione della loro natura e del soggetto autore del trattamento. Valenza centrale hanno dunque il concetto di dato personale in quanto tale e le modalità con cui questo viene gestito6, e non le banche dati7. È in relazione a questi due aspetti, l’uno statico (il dato) e

Il Parlamento, il Governo e l’autorità giudiziaria istituita in materia hanno cooperato attivamente per arricchire e specificare questi strumenti di garanzia e di tutela. Dall’8 maggio 1997 in poi, tale processo si è sviluppato in particolare attraverso nove decreti legislativi e due D.P.R., nonché tramite molte altre specifiche disposizioni, legislative e regolamentari, inserite in speciali provvedimenti, che hanno potenziato ulteriormente il congruo numero di norme vigenti in materia.

6

Art. 4, comma 1, lett. a) e b), D.Lgs. 196/03:

a) “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati,anche se non registrati in una banca dati.

b) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

7

Le banche dati trovano un inquadramento e tutela giuridica specifica con la disciplina del diritto d’autore (D.Lgs n. 169/1999).

(12)

l’altro dinamico (il trattamento), che viene riconosciuto fin dal primo articolo del D.Lgs. 196/03 il diritto alla “protezione dei dati personali”, di cui è titolare qualunque soggetto. La separazione fra l’enunciazione del “diritto alla protezione dei dati personali”, di cui all’art. 18, e quella delle finalità ispiratrici la normativa, indicata

nell’articolo successivo9

, totalmente incentrata sulle modalità di trattamento, può essere considerata rappresentativa di una frattura fra il bene-informazione ed il suo utilizzo. Mentre infatti con riguardo ai dati si prevede un diritto esclusivo volto alla “protezione” delle informazioni, ovvero all’esclusione di qualsiasi impiego delle stesse in maniera non conforme alla volontà dell’individuo a cui si riferiscono; diversamente con riferimento al trattamento riaffiorano le esigenze di tutela della personalità, affinché l’individuo non venga abbandonato a sé stesso, in ossequio ad un mal inteso concetto di libertà di autodeterminazione, che non tiene conto delle asimmetrie informative e della debolezza contrattuale sovente caratterizzanti la posizione di chi cede i propri dati, a cui va aggiunta, in ragione dei più recenti sviluppi tecnologici, la pluralità di ipotesi in cui la natura occulta del trattamento posto in essere pone nel nulla qualsiasi possibilità di spontanea autodeterminazione.

È dunque nella fase dinamica che affiora l’esigenza di affiancare una serie di tutele all’affermato diritto sui dati, in maniera da rendere effettivamente garantita e non meramente enunciata tale signoria riconosciuta a ciascuno dall’ordinamento. In tal senso il “diritto alla protezione dei dati personali” viene assicurato attraverso l’introduzione di precise regole di condotta a cui l’autore del trattamento deve attenersi, nonché mediante una procedimentalizzazione del trattamento medesimo al fine di assicurare in via preventiva la conformità della gestione dei dati al dettato normativo. La privacy ha così trovato nel Decreto Legislativo n. 196/2003, in vigore dal 1° gennaio 2004, il proprio Codice. La denominazione solenne ha anche un significato simbolico e cioè con il riferimento al Codice si realizza la vera emancipazione del diritto alla privacy. Con l’emanazione del “Codice” i diritti appartenenti alla sfera della riservatezza assurgono alla posizione di prerogativa fondamentale degli individui e

8

Art. 1, D.Lgs 196/03: Chiunque ha diritto alla protezione dei dati personali che lo riguardano. 9

Art. 2, D.Lgs 196/03:

1. Il “codice” garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.

2. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento.

(13)

degli enti, assumendo una posizione avanzata nella gerarchia dei beni legislativamente protetti. In attesa dell’inserimento del diritto sulla privacy in una carta costituzionale, il quadro normativo italiano si semplifica e si completa nel decreto legislativo citato. Si semplifica perché riunisce in una unica fonte le disposizioni sulla privacy e si completa perché nell’unica fonte normativa vengono esplicitate disposizioni di dettaglio suggerite dalla prassi maturata in questi ultimi anni.

1.3. Privacy e Statuto dei lavoratori

Pur considerando che la legislazione sulla privacy è di matrice europea e dunque che i principi fondamentali sulla tutela dei dati personali, anche sul luogo di lavoro, sono applicati in tutti i paesi della Comunità occorre, però, mettere in evidenza il fatto che in questo campo specifico l’Italia ha affrontato la tematica con lo Statuto dei lavoratori10,

strumento straordinariamente avanzato per la tutela dei diritti dei lavoratori che malgrado sia stato adottato quasi quattro decenni or sono riesce pertanto ad essere ancora attuale.

Il 5 agosto del 1971 Raffaele Guariniello, al tempo pretore a Torino, si presentava presso gli uffici della FIAT e provvedeva al sequestro di 150.655 schede contenenti informazioni personali sui dipendenti della casa automobilistica, relative alle famiglie, alle opinioni politiche, all’attività sindacale, ecc. Era la prova che all’interno dell’azienda operava un vero e proprio servizio segreto diretto a schedare e controllare i

10

Con la denominazione di Statuto dei Lavoratori, ci si riferisce alla Legge n. 300 del 20 maggio 1970, recante “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell’attività sindacale nei luoghi di lavoro e norme sul collocamento”, una delle norme principali del diritto del lavoro italiano. La sua introduzione provocò importanti e notevoli modifiche sia sul piano delle condizioni di lavoro che su quello dei rapporti fra i datori di lavoro, i lavoratori e le loro rappresentanze sindacali; ad oggi di fatto costituisce, a seguito di minori integrazioni e modifiche, l’ossatura e la base di molte previsioni ordinamentali in materia di diritto del lavoro.

Lo Statuto rivela una doppia anima, ossia quella costituzionale e quella sindacale: “La prima espressione del tentativo di realizzare, nell’ordinamento dell’impresa, una tutela del lavoratore ispirata ed adeguata ai principi costituzionali; la seconda diretta ad affermare, sia pure nell’interesse del lavoratore, un maggiore e più diffuso peso del sindacato nell’azienda”.

L’esigenza di tutelare la libertà e la dignità del lavoratore non è affermata solo dalla Costituzione, ma era già prevista dal codice civile. L’art. 2087 c.c., infatti, impone all’imprenditore di adottare tutte le misure idonee e necessarie a tutelare non solo l’integrità fisica, ma anche la personalità morale dei prestatori di lavoro. Ciò vuol dire, come precisa la relazione al codice civile (n. 839), che “qualunque sia il suo posto gerarchico, il lavoro sia esso dell’imprenditore o dei dirigenti, sia degli impiegati od operai, ha diritto a

(14)

dipendenti. Il caso FIAT, oltre a dare una misura tangibile dell’estendersi delle attività di controllo privato, si distaccava per molti aspetti da casi precedenti 11. Con il caso

FIAT si inaugurava un nuovo e più temibile tipo di attività spionistica, esercitata al di fuori del controllo dei poteri pubblici e, anzi, con l’asservimento diretto di questi agli interessi privati.

Il controllo sui dipendenti negli ultimi anni si è riproposto con maggiore forza, in particolare per l’utilizzo da parte dei lavoratori di strumenti che consentono al datore di lavoro, anche se in via indiretta, un controllo a distanza. Quest’ultimo non investe solo la produttività, ma, attraverso l’acquisizione di una serie di dati, consente al datore di lavoro di conoscere aspetti, anche molto personali, dei propri dipendenti. L’universo aziendale dal 1970 - anno in cui fu approvato lo Statuto dei lavoratori (Legge 20 maggio 1970, n. 300)12 - a oggi è mutato radicalmente: tutti i processi produttivi, infatti, sono

stati informatizzati. L’evoluzione tecnologica e la tecnicizzazione del lavoro hanno comportato, com’è noto, un imponente processo di cambiamento infrastrutturale basato sullo sviluppo e sulla diffusione dei sistemi di controllo computerizzati: le nuove applicazioni delle tecnologie informatiche consentono, infatti, forme di sorveglianza, di raccolta delle informazioni, di aggregazione, scomposizione e ricomposizione delle stesse molto dettagliate, il che provoca un sensibile disagio nell’interprete, ove questi sia impegnato nella ricerca di un’efficace e adeguata difesa del diritto alla riservatezza di fronte all’incessante progresso tecnologico. L’impiego delle tecnologie informatiche, ivi comprese la connessione ad internet e l’impiego della posta elettronica (e-mail),

pari dignità. In questo senso il codice pone l’accento sul carattere collaborativo dei rapporti tra l’imprenditore e i prestatori di lavoro nell’impresa”.

11

GUIDETTI SERRA B., Le schedature Fiat: cronaca di un processo e altre cronache, Torino, 1984. “Le schedature coincidevano sostanzialmente con gli anni della grande immigrazione a Torino. La Fiat voleva essere sicura di chi si metteva in casa. Quali erano i canali per ottenere le informazioni? I parroci e i carabinieri per esempio... Ci fu un intero pezzo della Questura di Torino che lavorava per la Fiat... Uno spaccato impressionante. Poi ecco le schede personali. C’erano tutti. Oltre all’immigrato appena giunto a Torino, anche dirigenti sindacali di spicco... Le annotazioni erano sempre le stesse. Questo è iscritto al Pci; quest’altro aderiva al Psi, ma poi è diventato socialdemocratico e quindi può ormai essere considerato accettabile; questo non va a messa la domenica, questo tradisce la moglie. Una documentazione sistematica realizzata con l’uso delle informazioni personali a fini tipicamente discriminatori. Un caso da manuale… La Fiat, attraverso quelle schedature, semplicemente tentava di controllare ogni forma di dissenso politico interno, di azione sindacale, di comportamento sociale non conforme alla “normalità”…Con questo clamoroso episodio, legato alla massima industria italiana, si scoprì che il problema della privacy tutto era tranne che un elegante diritto dell’età dell’oro della borghesia, assolutamente superfluo per la classe operaia. Che non era la tutela di un egoismo del singolo: cioè, semplicemente, il diritto a essere “lasciati soli”. Ma si trattava di una fetta consistente della libertà, a cominciare da quella di associazione politica, e del diritto al lavoro uguale per tutti. Da lì, proprio dal nesso tra privacy e schedature Fiat, è nata una nuova consapevolezza politica del problema”.

12

Per un commento allo Statuto dei lavoratori si rinvia a: GREZZI G., MANCINI G.F., MONTUSCHI L., ROMAGNOLI U., Statuto dei diritti dei lavoratori.

(15)

costituisce, oggi, parte integrante degli strumenti di lavoro, posti dalle aziende a disposizione dei propri dipendenti al fine di aumentarne esponenzialmente efficienza e rapidità di esecuzione della prestazione lavorativa.

I moderni sistemi elettronici, peraltro, consentono di attuare (attraverso il log, la cache

memory, i bookmarks e altri programmi specifici) il controllo dell’attività lavorativa

svolta, nonché degli accessi informatici e dei siti internet “visitati” dal singolo utente. L’implicazione della persona del lavoratore nello svolgimento della prestazione determina, pertanto, il rischio che il controllo di cui si discute venga esercitato in modo lesivo su interessi fondamentali quali, primo fra tutti, la dignità e la riservatezza del lavoratore medesimo.

Lo Statuto dei lavoratori dedica sostanzialmente alla tutela della riservatezza gli artt. 6 e 8, cui devono aggiungersi gli artt. 4 e 5, i quali seppur diretti a tutelare in via principale la dignità del lavoratore ne garantiscono anche la privacy; occorre, inoltre, tenere presente l’art. 26 che assicura la segretezza del versamento effettuato dal lavoratore a ciascuna associazione sindacale.

I datori di lavoro raccolgono i dati personali dei propri dipendenti per varie finalità; molto di frequente addirittura prima che si instauri il rapporto di lavoro. Nel corso, infatti, della fase di reclutamento gli aspiranti lavoratori devono fornire dati personali ai propri potenziali datori di lavoro, per consentire a questi ultimi di valutare le competenze dei candidati.

Nel corso del rapporto di lavoro, i datori di lavoro raccolgono ulteriori dati sui propri dipendenti, ad esempio: dati salariali, informazioni sullo stato di salute, necessarie anche per valutare il rendimento del lavoratore, dati fiscali, ecc.

Occorre, però, individuare quali sono i limiti che il datore di lavoro incontra nel trattare i dati personali dei propri dipendenti, con particolare riferimento al controllo a distanza dell’attività dei lavoratori mediante l’utilizzo delle nuove tecnologie informatiche: tale dibattito è particolarmente acceso, in quanto la realtà presenta una casistica sempre nuova, in apparenza difficilmente afferrabile da norme, soprattutto quelle dello Statuto dei lavoratori, concepite in un’epoca in cui elaboratori elettronici e computer non rappresentavano certamente, a differenza di oggi, l’ordinario strumento di lavoro, e coniate avendo presenti contesti tecncologici obsoleti rispetto agli attuali13.

13

(16)

2. Ambito di applicazione della normativa sulla privacy

È opportuno chiarire, innanzitutto, qual è l’ambito di applicazione della normativa in parola, la quale regolamenta tutti i soggetti che trattano dati personali.

L’art. 5 del D.Lgs 196/03 così infatti recita:

1.Il Codice della privacy disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.

2.Il Codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione Europea e impiega, per il trattamento strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del Codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusine.

La disciplina della privacy, oltre alla definizione della sfera individuale di diritti, comporta anche una serie di adempimenti a carico di imprese, pubbliche amministrazioni, studi professionali. È, se si vuole, la parte meno nobile della disciplina della privacy, ma non certamente da trascurare. Anzi, si potrebbe puntare sul fatto che attraverso l’osservanza degli adempimenti si possano realizzare le esigenze “alte” di tutela dei diritti e degli interessi delle persone.

Gli enti, le imprese sono tutti coinvolti: il Codice della privacy si applica a tutti i soggetti che trattano dati personali. Con una avvertenza: anche il top management aziendale è coinvolto e non potrà disinteressarsi dell’applicazione delle misure di sicurezza. Se non altro perché dell’applicazione delle misure di sicurezza deve rimanere traccia nel bilancio di esercizio.

Il tutto, però, con una convinzione di fondo. L’adempimento delle regole della in materia di privacy conviene: consente di conoscere meglio la propria struttura, di realizzare economia con la selezione degli archivi utili e l’eliminazione di quelli inutili, con il miglioramento del rapporto con il proprio interlocutore contrattuale.

(17)

Capitolo 2

Il trattamento dei dati personali in azienda

1. Principi generali: obblighi introdotti dalla normativa sulla privacy

Con l’espressione “Il trattamento dei dati personali”, il legislatore ha voluto includere nella protezione giuridica, qualunque operazione o complesso di operazioni eseguibili sui dati, quindi anche la loro semplice conservazione, la loro consultazione, sino ad arrivare al momento della cancellazione o distruzione (art. 4, lettera a) D.Lgs. 196/03). Tutte le operazioni, siano esse attive - quali la raccolta di dati attraverso un formulario, o la loro comunicazione a terzi - siano esse passive - come il ricevimento via fax di un curriculum, o la custodia di documenti in archivio - rientrano quindi nella previsione di legge e devono essere in linea con la normativa sulla tutela della privacy.

All’interno della I Parte del Codice, il legislatore ha fissato una serie di regole generali alle quali l’azienda, o meglio, tutti i soggetti coinvolti nel trattamento di dati personali sono tenuti ad uniformarsi al fine di garantirne la liceità.

Oltre agli adempimenti a carico di ogni titolare di rispettare precise modalità di raccolta dei dati personali e determinati requisiti, la violazione dei quali comporta l’inutilizzabilità dei dati raccolti ai sensi dell’art. 1114, comma 2 del Codice, il

14

Art. 11, D.Lgs. 196/03: Modalità del trattamento e requisiti dei dati. 1. I dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

(18)

legislatore pone una serie di vincoli che il titolare è tenuto a rispettare nei confronti dell’interessato15.

In quest’ottica, i principali adempimenti per il titolare sono rappresentati dall’obbligo di rendere l’informativa sul trattamento dei dati personali e dall’obbligo di acquisire il consenso al trattamento.

1.1. Il censimento dei dati personali

Questione preliminare per poter applicare correttamente in azienda la normativa sulla privacy, rispetto all’informativa sul trattamento dei dati personali ed il consenso, è quello relativo al censimento dei dati trattati: occorre dunqueanalizzare la definizione normativa di dato sensibile, giudiziario e di dato diverso da quelli sensibili e giudiziari, in quanto la legge prevede una disciplina molto più severa per il trattamento dei dati sensibili oltre che delle sanzioni molto pesanti.

Pertanto occorre precisare le definizioni: i dati sensibili sono tutte le informazioni idonee a rilevare “l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di

altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale” (art. 4, comma 1, lettera

d) del D.Lgs. 196/03); a questi si aggiungono i dati giudiziari, che riguardano “l’iscrizione nel casellario giudiziale ovvero la qualità di imputato od indagato in

procedimento penale” (art. 4, comma 1, lettera e) del D.Lgs. 196/03).

Con l’emanazione del Codice della privacy è stata confermata, inoltre, una nuova categoria di dati “diversi da quelli sensibili e giudiziari il cui trattamento presenta

rischi specifici per i diritti, le libertà fondamentali e per la dignità dell’interessato”.

Per avere una panoramica generale dei dati personali “sensibili” che si possono trovare in azienda e, conseguentemente, per gestirli in maniera corretta, è utile esaminare

15

Art. 4, comma 1, lett. f) ed i), D.Lgs 196/03:

f) “titolare”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione, od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

(19)

l’autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro (Aut. n. 1/2004), emanata dal Garante il 30 giugno 2004 e successivamente rinnovata.

Dall’Autorizzazione generale n. 1/2004, infatti, si rileva che il titolare del trattamento-datore di lavoro potrà trattare in azienda dati personali sensibili nei seguenti casi:

- per adempiere direttamente o indirettamente a specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini del rispetto della normativa in materia di igiene e sicurezza del lavoro, nonché in materia fiscale, di tutela della salute, dell’ordine e della sicurezza pubblica;

- ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;

- per il perseguimento delle finalità di salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo;

- per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, o in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, purché, qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere sia di rango pari a quello dell’interessato;

- per l’esercizio del diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia;

- per adempiere agli obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e malattie professionali o per danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;

- per garantire le pari opportunità tra uomini e donne.

In azienda, in particolare, il trattamento può avere ad oggetto i dati strettamente pertinenti agli obblighi, ai compiti o alle finalità sopra indicate, quali sono:

- i dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico, dati concernenti la fruizione dei permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell’obiezione di coscienza;

- i dati idonei a rivelare le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, dati concernenti l’esercizio di funzioni pubbliche e di incarichi politici, ovvero l’organizzazione di pubbliche

(20)

iniziative, nonché dati inerenti alle attività o agli incarichi sindacali, ovvero alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali;

- i dati idonei a rivelare lo stato di salute, dati raccolti in riferimento a malattie anche professionali, invalidità, infermità, gravidanza, puerperio o allattamento, ed infortuni, ad esposizioni a fattori di rischio, all’idoneità psicofisica a svolgere determinate mansioni o all’appartenenza a categorie protette.

Particolare attenzione in azienda si deve prestare agli uffici nei quali è possibile e verosimile che si trovino tali dati in formato cartaceo: si pensi all’ufficio personale, dove sono conservate le buste paga dei dipendenti, compresa tutta la documentazione necessaria alla loro elaborazione e dove si conservano copie dei certificati di malattia, di infortunio e così via. Nella busta paga del dipendente e comunque nella sua cartellina personale, l’azienda potrebbe avere le indicazioni relative all’appartenenza del soggetto ad un sindacato e ciò al fine di poter effettuare il versamento della quota di iscrizione direttamente dalla busta paga, quando espressamente richiesto dal dipendente stesso. L’azienda potrebbe, inoltre, conservare la documentazione relativa all’appartenenza del dipendente ad una religione particolare, per ragioni legate al contratto di lavoro, dove è previsto che il soggetto non lavori in un certo giorno della settimana, oppure in un periodo dell’anno, proprio per motivi religiosi. Anche la mensa potrebbe gestire informazioni qualificabili come “dati sensibili” dalla legge: si pensi ai lavoratori che richiedono di non mangiare determinati alimenti, poiché la propria religione o motivi di salute lo vietano. Tutte queste informazioni rappresentano “dati sensibili” e devono essere gestite con estrema cautela dall’azienda.

1.2. L’informativa

L’articolo 13 del Codice disciplina l’informativa nei confronti dell’interessato, dando una serie di indicazioni in merito al trattamento ed alle tipologie di operazioni in cui lo stesso si articola, al fine di consentire all’interessato di esprimere il proprio consenso informato al trattamento dei dati che lo riguardano.

(21)

L’informativa costituisce “non soltanto il presupposto logico oltre che di validità del consenso prestato dall’interessato, ma anche e soprattutto lo strumento attraverso cui quest’ultimo, conoscendo le finalità e le modalità di trattamento cui saranno sottoposti i dati da lui conferiti, potrà ex post verificarne il rispetto ed eventualmente azionare, in caso contrario, gli strumenti di tutela che la legge gli offre16

”.

L’art. 13 originariamente prevedeva l’obbligo di informativa scritta ma è stato successivamente modificato. Attualmente quindi l’informativa può essere resa anche verbalmente, ma è evidente che in questo caso la prova di questo adempimento di legge risulta quantomeno ardua in caso di contestazione dell’interessato o di controllo. Sicuramente è utile conservare una traccia scritta dell’informativa, per dimostrare, in caso di controllo, di avere proceduto seguendo un criterio preciso, custodendo un tabulato con l’elenco dei destinatari ai quali è stata inviata l’informativa, sottoscritto per conferma dell’invio dal/i dipendente/i che ne ha/hanno curato la spedizione.

In azienda è possibile predisporre l’informativa utilizzando moduli appositi ed inviarla ad ogni interessato, con lettera raccomandata con ricevuta di ritorno, così come a mezzo fax o lettere circolari, preservando il rapporto di trasmissione ed eventualmente, se possibile, richiedendo una sottoscrizione per presa visione.

Nei casi in cui tale adempimento risultasse troppo gravoso, si possono usare i più disparati accorgimenti, quali, ad esempio: stampare l’informativa sulle fatture (per i clienti), inserire l’informativa negli ordini prestampati, nelle pubblicazioni, nei contratti, utilizzare la corrispondenza ordinaria o il canale degli agenti, utilizzare il sito Internet (prevedendo meccanismi di lettura obbligata, con relativa conferma, dell’informativa oppure il servizio Post-Tel o, ancora, la posta elettronica con messaggio di conferma dell’avvenuta lettura da parte del destinatario (da stampare, raccogliere e conservare); affiggere cartelli in portineria; registrare messaggi vocali su nastro, ecc.

Tale approccio potrebbe essere utilizzato anche ai fini delle strategie aziendali di marketing, poiché un’azienda che dice come e perché raccoglie i dati, sicuramente dimostra serietà e ne guadagna in termini di immagine. In questo caso l’obbligo di legge potrebbe diventare persino un’opportunità.

Essa deve contenere indicazione di:

• le finalità e le modalità del trattamento;

• la natura obbligatoria o facoltativa del conferimento dei dati;

16

(22)

• le conseguenze del rifiuto di rispondere;

• i soggetti o le categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili od incaricati e l’eventuale ambito di diffusione de dati medesimi;

• i diritti dell’interessato;

• gli estremi identificativi del titolare e del rappresentante;

• quando il titolare ha designato più di un responsabile e indicato almeno uno di essi. È altresì indicato il sito internet o le modalità attraverso cui è conoscibile l’elenco dei responsabili.

L’informativa deve essere data a tutti i soggetti (persone fisiche, imprese, enti) con cui l’impresa opera e dei quali raccoglie, tratta e conserva dati personali. Se l’impresa tratta dati sensibili, invece, è necessario ottenere anche il consenso, fatti salvi i casi tassativi di esonero previsti dall’art. 26 del Codice della privacy17.

17

Art. 26, D.Lgs 196/03; Garanzie per i dati sensibili:

1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimenti di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.

3. Il comma 1 non si applica al trattamento:

a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante;

b) dei dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.

4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:

a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o diffusi e l’ente, associazione organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13;

b) quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui alll’articolo 82, comma 2;

c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in se giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro

(23)

Si ricorda che sono “dati personali” anche i soli dati commerciali (denominazione, sede, partita IVA, banca d’appoggio, coordinate bancarie, ecc.). L’informativa andrà pertanto fornita a tutti i clienti, a tutti i fornitori, agli istituti di credito, alle assicurazioni, alle imprese di pulizia, alle società di recupero credito, ai consulenti, ai professionisti e così via.

Accade però, che diverse realtà imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti); spesso, ciò accade in relazione a informazioni che non hanno carattere sensibile o giudiziario.

Alcune tra le criticità menzionate riguardano le modalità con cui l’informativa è fornita per iscritto, anziché oralmente (art. 13). Sono stati formati spesso moduli lunghi e burocratici, privi di comunicatività e basati sull’eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento. Alla mancanza di chiarezza si è sommata l’inutile ripetizione dell’informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario.

Il Garante con il Provvedimento del 19 giugno 2008 ( G.U. n. 154 del 1 luglio 2008) intende prescrivere a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l’informativa nei termini di cui al seguente dispositivo (artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c)del D.Lgs 196/03).

Premesso ciò, il garante:

1. ai sensi degli artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c), del Codice formula a tutti i titolari del trattamento in ambito privato e pubblico, in particolare a piccole e medie imprese, liberi professionisti, artigiani, le seguenti indicazioni per semplificare l’informativa rispetto allo svolgimento di correnti

perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;

d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’articolo 111.

(24)

finalità amministrative e contabili, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono:

a) fornire un’unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati;

b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente;

c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;

d) redigere, per quanto possibile, una prima informativa breve. All’interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento;

e) per l’informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili;

f) l’informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Anche questa più ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell’ultimo aggiornamento;

g) è possibile non inserire nell’informativa più articolata gli elementi noti all’interessato (art. 13, commi 2 e 4). E’ opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l’informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l’organismo o soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati presso terzi è possibile

(25)

formulare una sola informativa per i dati forniti direttamente dall’interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l’informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma 5);

h) è opportuno che l’informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento;

i) è invece necessario fornire un’informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari;

2. invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento. Il Garante si riserva in questo quadro di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia.

1.3. Il consenso informato

L’impresa, la società, lo studio professionale che tratta i dati personali deve considerare che “per trattare i dati personali occorre ottenere il preventivo consenso

dell’interessato”. Il Codice sulla privacy disciplina, agli artt. 23-27, il trattamento

effettuato da soggetti privati o da enti pubblici economici riguardante sia i dati “comuni” che i dati “sensibili” o “giudiziari”.

(26)

Con riferimento al trattamento dei dati personali comuni, fatti salvi alcuni casi di deroga espressamente previsti dal Codice stesso (art. 24)18, ai sensi dell’art. 2319, il trattamento

è ammesso solo con il consenso dell’interessato, consenso che può riguardare l’intero trattamento ovvero solamente una o più operazioni dello stesso e deve essere:

• espresso liberamente e specificamente con riferimento ad un trattamento chiaramente individuato;

• documentato per iscritto;

• prestato in forma scritta se il trattamento riguarda dati sensibili.

Il consenso è valido se all’interessato è stata fornita l’informativa (consenso informato). Il consenso non è richiesto quando il trattamento:

• è necessario per adempiere ad un obbligo di legge,

• è essenziale per l’adempimento di un contratto di cui è parte l’interessato o per l’adempimento di richieste precontrattuali dell’interessato,

• riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (fermo il rispetto della normativa sul singolo elenco o registro),

• riguarda dati relativi allo svolgimento di attività economiche (ferme le norme in materia di segreto aziendale ed industriale),

• è effettuato per la salvaguardia della vita o dell’incolumità di un terzo;

• è realizzato per lo svolgimento di investigazioni difensive o comunque per far valere un diritto in sede giudiziaria, con esclusione della diffusione e sempre che i dati siano utilizzati solo per tali fini e per il periodo strettamente necessario, • è necessario, nei casi individuati dal Garante, per soddisfare un legittimo

interesse del titolare o di un terzo destinatario di dati, anche in riferimento a gruppi bancari e società collegate o controllate (sempre che non prevalgano i diritti fondamentali dell’individuo),

• è effettuato da associazioni, enti od organismi senza scopo di lucro, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il

18

Art. 24, D.Lgs. 196/03: Casi nei quali può essere effettuato il trattamento senza consenso 19

Art. 23, D.lgs. 196/03; Consenso:

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

2. Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.

3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13.

Riferimenti

Documenti correlati

10 del GDPR con riferimento al trattamento dei dati personali relativi alle condanne penali e ai reati Il consenso al trattamento dei dati, ove previsto, è conferito

Nel caso in cui Lei subisca un infortunio durante il Suo periodo di tirocinio, l’Ateneo tratterà i Suoi dati personali, anche relativi alla salute, per farne denuncia

13-14 del Regolamento Generale sulla Protezione dei Dati Personali (Reg. 2016/679 o GDPR), con riferimento al trattamento dei Suoi dati personali nell’ambito della Sua

13-14 del Regolamento Generale sulla Protezione dei Dati Personali (Reg. 2016/679 o GDPR), con riferimento al trattamento dei Suoi dati personali nell’ambito

I dati personali sono trattati dal Responsabile della prevenzione della corruzione e della trasparenza dell’Ateneo per obbligo di legge e nell'esecuzione dei propri compiti

dati anagrafici, dati di contatto, estremi dei documenti identificativi, dati relativi ai titoli di studio conseguiti e al corso di studio frequentato/presso il

13-14 del Regolamento Generale sulla Protezione dei Dati Personali (Reg. 2016/679 o GDPR), con riferimento al trattamento dei dati personali nell’ambito

13-14 del Regolamento Generale sulla Protezione dei Dati Personali (Reg. 2016/679 o GDPR), con riferimento al trattamento dei dati personali acquisiti in sede di denuncia