Vademecum privacy e imprese

DIECI PRATICHE AZIENDALI PER MIGLIORARE IL PROPRIO BUSINESS

La Privacy dalla parte dell’impresa

Premessa 4

1. Il valore dei dati 6

2. A ciascuno le sue responsabilità 8

3. Trasparenza e correttezza nel business 10

4. Curriculum & Co. 17

5. Trattamenti “a rischio” 18

6. Tecnologie per l’impresa 19

7. Difesa del patrimonio dati 22

8. Controllo del “controllore informatico” 26

9. L’ “export” dei dati 27

10. Verso una “customer care dei dati” 29

4 GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

PremessaLa privacy, da costo a risorsa

5LA PRIVACY, DA COSTO A RISORSA

a tutela della privacy è un diritto fondamentale della persona e una necessità imprescindibile della società moderna. Tuttavia viene spesso vissuta e interpretata in ambito imprenditorialecome un obbligo burocratico che rallenta o rende più macchinoso il raggiungimento degli obiettivi d’impresa. Ciò anche perché non sempre gli operatori sono

a conoscenza delle opportunità e delle modalità semplificate che il Garante ha, nel tempo, indicato per ottenere una conformità sostanziale alla protezione dei dati, evitando il ricorso ad adempimenti inutili e meramente formali. Da un’attenta analisi delle prassi aziendali emerge, tra l’altro, che la correttaadozione di semplici misure a protezione dei dati personali può contribuire a rendere più efficiente l’organizzazione dell’impresa e a ridurre sensibilmente i potenziali rischi a cui la stessa si espone sul mercato.Nello spirito di collaborazione con il mondo imprenditoriale, il Garante della privacy ha voluto così evidenziare una selezione di dieci “best practice”che possono migliorare non solo l’immagine dell’impresa, come soggetto attento al principio di “responsabilità sociale”, ma anche la capacità di business a parità di costi sostenuti, aumentando la fiducia di utenti e consumatori nella serietà e affidabilità dell’impresa.Questa breve guida ha lo scopo di offrire alcuni spunti di riflessione e soprattuttopoche ma fondamentali regole e consigli pratici, affinché gli investimenti inizialinecessari per proteggere i dati vengano opportunamente raffrontati con i numerosi benefici diretti e indiretti da essi generati. Chi desidera approfondire aspetti giuridici in materia di privacy accennati in questaguida o cerca riferimenti puntuali sugli adempimenti previsti nel proprio settored’impresa può consultare l’apposita documentazione e i provvedimenti pubblicatisul sito www.garanteprivacy.itL’Autorità è comunque sempre a disposizione per risolvere eventuali dubbi o trovare le soluzioni più adeguate.

L

Il valore dei dati1


ella societàdell’informazione, i “dati”rappresentano spesso uno dei beni più preziosiposseduti da un’impresa,

sia essa di grandi o piccole dimensioni.Possono essere di tipo commerciale,rappresentare il portafoglio degliattuali clienti o di quelli futuri,raccontare l’organizzazione interna e l’attività di ricerca e sviluppo.Qualunque manager ne conoscel’importanza e cerca di usarli al meglio.Non bisogna dimenticare, però, che le potenzialità economiche dei datisono direttamente proporzionali allaliceità del loro trattamento: raccoglierlinel rispetto della privacy, e poternequindi liberamente usufruire, significacreare valore per l’azienda. È bene, tral’altro, che la leadership di un’aziendasia ben consapevole della differenzaesistente tra i vari tipi di dati. Alcuniinfatti possono essere utilizzati senzaparticolari problemi, altri necessitanodi apposite garanzie e protezioni.I dati personali sono tutte le

informazioni relative a una personafisica, identificata o identificabile,anche indirettamente (medianteriferimento a qualsiasi altrainformazione), incluso l’eventualenumero di identificazione personale.Dati personali sono, ad esempio, un indirizzo e-mail o l’immaginefotografica di una persona, il codicefiscale o un numero telefonico, unindirizzo IP o una targa automobilistica.Si ricorda che, in base a una recentenovità legislativa, non sono piùconsiderati come dati personali, equindi, almeno in linea generale, nonsono più tutelati dalla normativa sullaprivacy, i dati riferibili alle personegiuridiche, ovvero a imprese, enti eassociazioni.I dati sensibili sono quei particolaridati personali che consentono dirivelare l’origine razziale ed etnica diuna persona, le sue convinzionireligiose, filosofiche o di altro genere.Lo sono anche quelli che indicanol’adesione a partiti, sindacati,associazioni od organizzazioni

N

7IL VALORE DEI DATI

a carattere religioso, filosofico, politicoo sindacale. Oppure i dati idonei arivelare lo stato di salute e la vitasessuale. Sono tutte informazionidelicate che possono incidere sullariservatezza e la dignità dell’individuo.Tra i dati che necessitano di particolari

cautele vi sono quelli giudiziari - una categoria che include fra l’altro le informazioni contenute nel casellariogiudiziale e quelle connesse allaposizione di imputato o indagato inprocedimenti penali – ma anche i datibiometrici o i dati genetici.

A ciascuno le sue responsabilità2


n un’azienda moderna la ripartizione dei compiti e delle responsabilità è definita con chiarezza. La strutturaorganizzativa può essere

complessa, policentrica, ma perraggiungere gli obiettivi prefissati ècomunque opportuno che emerga “chi fa cosa” e con quali scadenze. La catena di comando èparticolarmente importante anchequando i “beni” usati sono i datipersonali. Il Codice della privacyevidenzia questa necessità e impone di definire bene quali figure hanno la possibilità di trattare dati personali.Il titolare del trattamento (datacontroller) è il soggetto che esercita unpotere decisionale, del tutto autonomo,sulle finalità e sulle modalità deltrattamento. La qualità di titolare non può essere liberamentedeterminata dai contraenti madiscende direttamente dai poteri che siesercitano sui dati. Può essere sia unapersona fisica (si pensi all’imprenditoreindividuale) sia una persona giuridica

(ad esempio, una società aresponsabilità limitata) che tratta i dati(con la raccolta, la registrazione, la comunicazione degli stessi o la lorodiffusione).Il titolare del trattamento, se lo ritieneutile in base all’organizzazioneaziendale, può designare uno o piùsoggetti come responsabile deltrattamento (data processor) ed è tenuto a vigilare sulla puntualeosservanza delle istruzioni impartiteloro. La nomina deve essere effettuatacon un atto scritto in cui siano precisatianche i compiti affidati. Occorrecomunque scegliere persone fisiche od organismi (inclusi soggetti esterniall’impresa) che per esperienza,capacità e affidabilità, forniscanoidonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati, compreso il profilo relativo alla sicurezza. Sono molti i casi in cui l’azienda, per scelta o per necessità, fa svolgereparte delle attività e del conseguentetrattamento dei dati a soggetti esterni.

I

9A CIASCUNO LE SUE RESPONSABILITÀ

Proprio in questi casi, a seconda deltipo di contratto che definisce talerapporto, può essere non soloopportuno, ma necessario che l’aziendanomini il soggetto esterno qualeresponsabile del trattamento (ad esempio quando si utilizzano serviziinformatici in outsourcing oppurequando ci si avvale dei servizi offerti da un call center o da un altro tipo di fornitori).Gli incaricati del trattamento sono le persone fisiche che effettuanomaterialmente le operazioni ditrattamento dei dati personali eoperano sotto la diretta autorità deltitolare (o del responsabile se è statonominato) secondo precise istruzioni.Per poter svolgere queste operazioni in maniera lecita, è necessario che il personale chiamato a trattare i dativenga opportunamente designato periscritto individuando puntualmentel’ambito di trattamento consentito. Al fine di semplificare questoadempimento è però sufficientedocumentare l’inserimento

di un soggetto in una determinata unitàorganizzativa (ad esempio l’ufficio delpersonale oppure l’ufficio vendite). Ciò a condizione che risulti, per iscritto,quale sia l’ambito di trattamento deidati consentito agli addetti di tale unità.

Trasparenza e correttezza nel business3

n generale è una regola di buonsenso (spesso sancita dallalegge) quella che impone di informare il legittimoproprietario e di chiedere il suo

permesso prima di utilizzare un beneche gli appartiene. Tale accortezzaconsente di mantenere proficui rapportipersonali e professionali. Se il bene in questione è un “dato personale”,occorre rivolgersi alla persona fisica a cui si riferiscono i dati, ovveroall’interessato. Anche in questo caso, il Codice della privacy definisce con maggiore precisione le prassi di trasparenza e correttezza,contribuendo a facilitare i rapportidell’impresa con i consumatori (e tuttigli interessati) e a prevenire eventualicontenziosi.

Informativa - la semplicità al primo postoUn’impresa che tratti dati personalideve quindi spiegare agli interessati (ad esempio ai propri clienti e dipendenti), con un’informativa

completa e chiara, le caratteristicheessenziali dei trattamenti effettuati:dove sono stati presi i dati, le finalità e le modalità del trattamento, se i datidebbano o possano essere forniti (adesempio è necessario il conferimentodei dati per la fatturazione di unservizio, mentre è facoltativo fornireinformazioni a fini di profilazione), i soggetti o le eventuali categorie ai quali i dati personali possono esserecomunicati o che possono venirne a conoscenza, nonché il nome di almeno un responsabile deltrattamento, qualora designato. È bene rimarcare che l’informativadeve essere per quanto possibilesintetica e comprensibile: meglio se espressa attraverso simboli o icone,specialmente nei vari contestitecnologici, anziché attraverso testilunghi e burocratici. Le imprese hannograndi capacità di comunicazione che, se utilizzate, consentono di migliorare ulteriormente la trasparenza in questo campo. Bisogna informare la persona


I

interessata prima di cominciare a utilizzare i suoi dati, ma talecomunicazione può avvenire anche a voce, ad esempio quando si ha la possibilità di un contatto diretto o telefonico, o interagendo conl’interessato anche mediante il sito web aziendale. Proprio per permettere che questoimportante compito non diventi uncosto per le imprese, il Garante ha consentito e suggerito formesemplificate di informativa, adatte allespecifiche esigenze espresse da singoliimprenditori o dalle associazionidi categoria. Ad esempio, fermerestando le specifiche norme di tutelapreviste dallo Statuto dei lavoratori, perinformare le persone dell’esistenza di un sistema di videosorveglianza in un supermercato è sufficienteesporre dei cartelli che segnalino letelecamere e che indichino le finalitàdella ripresa e il nome del responsabiledel trattamento a cui rivolgersi pereventuali informazioni aggiuntive. Per avvisare che un veicolo aziendale

è sottoposto a geolocalizzazione si può,ad esempio, fornire una primainformativa semplificata applicando un apposito adesivo (vetrofania) ai vetridella vettura. Un call center che offreassistenza ai clienti può proporre un breve messaggio preregistrato per informarli sul trattamento dei lorodati prima della fornitura del servizio(ne sono un esempio i messaggiproposti dalle centrali radio taxi).

11TRASPARENZA E CORRETTEZZA NEL BUSINESS

In casi particolari, il singoloimprenditore o la stessa associazionedi categoria possono rivolgersi al Garante per chiedere un esoneroo per definire ulteriori proceduresemplificate nel caso in cui, ad esempio, si debba contattare

un numero molto elevato di personedifficilmente raggiungibili. Sel’informativa individuale richiede mezzisproporzionati, l’Autorità può cosìautorizzare anche la sola pubblicazionedell’informativa su un sito internet o altri media, magari rinviando la comunicazione individuale al primocontatto utile con l’interessato.

ConsensoL’impresa, dopo aver informatol’interessato, deve in genere chiedergliil consenso per utilizzare i suoi datipersonali: tanto che si parla diconsenso “informato”. Tale consenso,affinché il trattamento dati svolto possaconsiderarsi legittimo, deve essereliberamente espresso, evitando quindidi adottare condizionamenti o pressioniper ottenerlo, documentato per iscritto(se è stato espresso a voce, adesempio, si può tenere traccia da chi,dove e quando sia stato ottenuto ilconsenso). È anche necessariodifferenziare il consenso richiesto inbase allo specifico tipo di trattamento


che si vuole effettuare, eventualmentespiegando alla persona interessata - ad esempio un cliente - quali beneficipuò avere offrendo il suo assenso al trattamento dei dati (servizipersonalizzati, offerte di prodottiparticolari o vantaggi commerciali…). A tal proposito, è bene ricordare chel’utilizzo dei dati personali per finalitàdi marketing non può essere reso difatto obbligatorio, condizionando adesempio l’accesso ai contenutiinformativi di un sito web al rilascio delconsenso a trattare i dati per finalitàdiverse, quali la profilazione e ilmarketing. Occorre fare attenzione anche quandosi acquisiscono liste di dati personali dasoggetti terzi e non direttamente dagliinteressati: prima di utilizzarli è infattinecessario verificare se gli interessatiabbiano dato il proprio consenso(magari con verifiche a campione suidati acquistati) al tipo di trattamentodati che si vuole svolgere, come quelloper l’invio di offerte commerciali.L’azienda dovrà poi ricordarsi di fornire

l’informativa alle persone interessategià al momento della registrazione o del primo utilizzo dei loro dati.

Consenso non necessario - alcuni esempiIl Codice della privacy e le ulteriorisemplificazioni introdotte dal Garanteprevedono numerosi casi in cui non è richiesto il consenso delle personeinteressate - siano esse clienti o dipendenti, fornitori o semplici utenti- affinché l’impresa possa trattare i lorodati personali. Naturalmente il consenso non è richiesto quando il trattamento è previsto da un obbligo di legge (comequello che impone agli alberghi di comunicare le generalità dellepersone alloggiate alle autorità dipubblica sicurezza), da un regolamentoo dalla normativa comunitaria.Inoltre, il consenso non è necessarioquando i dati vengono trattati peradempiere, prima della conclusione di un contratto, a specifiche richiestedell’interessato, come avviene per i dati


necessari per la concessione di un mutuo bancario (ad esempio la copia del preliminare di acquistodella casa). Il consenso non occorreneppure per il trattamento dei datinecessari per l’esecuzione di uncontratto già in essere, come quelli perla fatturazione di un prodotto o servizio.Riguardo a quest’ultimo punto, è benericordare che le società non devono, ad esempio, chiedere ai “clienti” ilconsenso per l’uso dei loro dati quandorilasciano carte di fedeltà (come quelledei supermercati o dei benzinai) al solofine di offrire sconti, premi, bonus,servizi accessori, facilitazioni dipagamento; in questo caso, infatti, il trattamento di dati è necessario per eseguire gli obblighi derivanti dal contratto di fidelizzazionesottoscritto. È invece richiesto unospecifico consenso per usare gli stessidati per altri fini come la profilazione,lo studio dei comportamenti e dellescelte d’acquisto, il marketing ingenerale. I consumatori hanno il dirittodi non dare il consenso all’uso dei dati

per tali scopi, senza per questo doverrinunciare alla tessera di fidelizzazione.Le imprese sono invece esoneratedall’obbligo di acquisizione delconsenso per le attività promozionalie di marketing rivolte ai propri clientieffettuate tramite la posta elettronica o la posta cartacea. In particolare, unasocietà non deve richiedere il consensoper inviare comunicazioni promozionaliche riguardino prodotti e servizi allapersona che ha già acquistato, dallostesso titolare, beni analoghi (è il cosiddetto “soft spam”).Naturalmente il cliente deve essereadeguatamente informato ancheriguardo alla possibilità di opporsi inqualunque momento all’uso dei propridati, in maniera agevole e gratuita,anche a voce o con l’invio di una e-mail,ottenendo un tempestivo riscontrodall’impresa che confermil’interruzione delle comunicazionicommerciali.Si possono trattare senza consensoanche i dati relativi allo svolgimentodi attività economiche - naturalmente


nel rispetto della vigente normativa in materia di segreto aziendale e industriale - compiutedall’interessato (ad esempio i datirelativi allo stato di insolvenza o allacorrettezza commerciale di unaimpresa individuale).Non è necessario il consenso degliinteressati neppure per utilizzare i datipersonali provenienti da pubbliciregistri, elenchi, atti o documenticonoscibili da chiunque. Il fatto che un dato sia conoscibile da chiunque non significa, però, che possa essere

utilizzato per qualunque attività. In particolare, va rispettatorigorosamente il vincolo di finalità: i dati disponibili al pubblico possonoessere utilizzati solo se il trattamentosvolto (come l’invio di comunicazioniinformative) risulta strettamenteattinente alla specifica attività svoltadall’interessato e che è posta alla basedella pubblicazione di quei medesimidati. I dati del PRA (Pubblico RegistroAutomobilistico) si possono usaresenza consenso per finalità attinenti la sicurezza stradale (ad esempio



per ricordare l’obbligo di revisioneperiodica dell’autoveicolo) ma non per l’invio di pubblicità come quelle supezzi di ricambio e accessori.Al fine di evitare inutili adempimenti, è inoltre previsto che non sia richiestoil consenso per alcune attività svolteall’interno di gruppi di impresecome nel caso in cui sia necessariocomunicare i dati per finalitàmeramente amministrativo-contabili(ad esempio quelli che possonoriguardare clienti, fornitori edipendenti). Si segnala infine, tra i numerosi casi,che non è necessario ottenere ilconsenso dell’interessato anchequando il trattamento dei dati è necessario ai fini dello svolgimento di investigazioni difensive o comunqueper far valere un diritto in sedegiudiziaria.

Consenso e dati sensibiliÈ necessario ricordare che i datisensibili, come le informazioni sullasalute di una persona, necessitano

di tutele rafforzate. Per poterliutilizzare, l’impresa deve primaottenere il consenso scritto dellapersona interessata e l’autorizzazionedel Garante. Anche in questo caso, per agevolare la normale attivitàimprenditoriale, l’Autorità fin dalle sue origini ha semplificato al massimole procedure e ha adottato alcuneautorizzazioni generali che valgonoper intere categorie di soggetti o perdeterminate tipologie di trattamento, alfine di definire le regole per gli utilizzipiù comuni ed evitare la richiesta diautorizzazioni ad hoc. Ne rappresentaun esempio l’autorizzazione generaleper il trattamento dei dati sensibili ogiudiziari nell’ambito del rapporto dilavoro o per il trattamento effettuatoda liberi professionisti o da organismidi tipo associativo o dalle fondazioni.In specifici casi, al fine di facilitare l’usodei dati, non è previsto neppure ilconsenso dell’interessato, come perl’adempimento degli specifici obblighi e compiti previsti per la gestione del rapporto di lavoro.

17CURRICULUM & CO.

urante tutte le fasi del processo di selezione del personale vi è un’intensaattività di trattamento di datipersonali dei possibili

candidati. Il rispetto della privacy,però, non pone limiti all’incontro delladomanda di lavoro con la disponibilitàdei posti offerti dalle imprese, finalitàche va sempre incoraggiata.A tal proposito, il Garante ricorda che,in base alle disposizioni del Codicedella privacy, è assolutamentesuperfluo richiedere al candidatoil consenso al trattamento dei datipersonali contenuti nel curriculum, per finalità di selezione del personale,a meno che non abbiano naturasensibile (come l’appartenenza acategorie protette) o non sianodestinati alla comunicazione a terzi. L’impresa che avvia una selezione del personale deve però fornire alcandidato, a voce o per iscritto, primadi acquisire il suo cv, l’informativasul trattamento dei dati personali. Sono state recentemente introdotte

nuove norme che agevolano invece leprocedure che l’impresa deve adottarequando è l’interessato stesso a farpervenire di sua iniziativa il curriculum(autocandidatura). In questo specificocaso, l’azienda che riceve i curriculuminviati spontaneamente non hal’obbligo di offrire l’informativa o dichiedere al candidato il consenso per il trattamento dei dati personali(inclusi quelli sensibili) contenuti nelladocumentazione pervenuta. Solo nel momento in cui l’aziendadecida di prendere in considerazioneil curriculum e di contattare ilcandidato, dovrà fornireall’interessato, anche a voce, una informativa breve conl’indicazione delle finalità emodalità del trattamento dei dati, i soggetti o le categorie di soggetti ai quali i dati personali possonoessere comunicati, e l’ambito di diffusione dei dati medesimi,nonché gli estremi identificativi del titolare e di almeno un responsabile, se designato.

Curriculum & Co. 4

D


l fine di garantire maggioretrasparenza e tutele nel casoin cui vengano effettuatitrattamenti di dati diparticolare delicatezza e di

potenziale pericolosità, il Codice dellaprivacy ha previsto che, in casi specifici,le imprese comunichinopreventivamente al Garanteinformazioni generali sull’attività diraccolta e di utilizzazione dei datipersonali. Una volta effettuata la“notifica” del trattamento, non ènecessario che l’azienda invii altrecomunicazioni al Garante, a meno che il trattamento non sia modificato ointerrotto. Tutte le notificazionitelematiche pervenute sono inserite in un registro pubblico consultabile da chiunque sul sito web dell’Autorità.La notificazione è appunto unacomunicazione telematica obbligatoriaquando si effettuano determinati tipi di trattamento. Vanno notificati fra glialtri i trattamenti di dati genetici,biometrici o di dati che indicano la posizione geografica di persone

o di oggetti a loro riferibili (come isistemi di geolocalizzazione) acquisiti,ad esempio, con rilevamenti radio; i trattamenti di dati per le attività di profilazione, e così pure la raccolta di informazioni in apposite banche datirelative al rischio sulla solvibilitàeconomica, alla situazione patrimoniale,al corretto adempimento di obbligazioni(vi rientrano ad esempio gli archivi deicosiddetti sistemi di informazionicreditizie) e a comportamenti illeciti o fraudolenti. A tal proposito, il Garantericorda che non devono però esserenotificati i trattamenti dei dati relativiagli inadempimenti contrattuali deipropri clienti conservati da ciascunaimpresa. Anche nel caso della notificazione ilGarante, per facilitare le attività standarddei vari settori, ha introdotto esonerispecifici che possono riguardare figureprofessionali o intere categorie diprofessionisti come avvocati, medici dibase e pediatri, oppure organismi dimediazione, rispetto a determinati profilidella loro attività.

Trattamenti “a rischio”5

A

19TECNOLOGIE PER L’IMPRESA

ell’ambito dell’attivitàimprenditoriale siperseguono numerosi evariegati interessi, comequello di migliorare le

capacità di analisi del mercato, digarantire maggiore sicurezza sullavoro, di difendere i propri beni einvestimenti infrastrutturali da accessinon autorizzati, danneggiamenti erapine, oppure di ridurrecomportamenti fraudolenti o non inlinea con le direttive aziendali. Questi legittimi interessi possonoessere perseguiti con molteplicisoluzioni tecnologiche e organizzative,alcune delle quali, se comportano untrattamento di dati personali, possonoperò confliggere con la dignità e lariservatezza delle persone coinvolte. In questi casi è previsto l’intervento del Garante per valutare e “bilanciare” i diritti e gli interessi esistenti.

Controllo sul lavoroL’imprenditore deve ponderare conattenzione quali strumenti adottare

al fine di evitare trattamenti di dati non necessari che, tra l’altro, possonorisultare eccessivi o anchediscriminatori. È lecito, ad esempio,installare un sistema divideosorveglianza per esigenzeorganizzative e produttive, perconsentire, ad esempio, di intervenireimmediatamente nel caso in cui siverifichino situazioni di rischio (come negli ambienti dove si effettuano lavorazioni pericolose).

Tecnologie per l’impresa 6

N


Ma se tale raccolta di immagini puòconsentire anche il controllo a distanzae la verifica dell’attività dei lavoratori,occorre tenere in considerazione non solo le norme previste dal Codicedella privacy, ma anche quelle indicatenello Statuto dei lavoratori (tenendopresente che l’installazione ditecnologie per l’esclusiva finalità dicontrollo a distanza dei lavoratori ècomunque vietata). Pari cautele vannoadottate, ad esempio, anche quando si utilizzano software che, al fine di migliorare le prestazioni della reteinternet aziendale, potrebbero peròconsentire il monitoraggio dellanavigazione o della posta elettronicadei dipendenti. Occorre definire bene anche l’utilizzo di tecnologie che consentono la precisalocalizzazione del lavoratore come, ad esempio, il Gps dell’autoveicolo o dello smartphone in dotazione, ol’Rfid (Identificazione a radio frequenza)del documento di riconoscimento. Ciònon significa che non si possa ricorrerealla geolocalizzazione, ma che devono

essere valutate tutte le circostanze delcaso e la proporzionalità del suo utilizzo.Anche in questi casi il Garante èintervenuto per semplificare l’attivitàaziendale, facilitando l’attività dicontrollo della flotta aziendale senza perquesto limitare i diritti dei lavoratori. Altre volte lo strumento adottato non consente necessariamente il monitoraggio dell’attività dellavoratore, ma si dimostra comunquesproporzionato rispetto alle finalitàdichiarate. Succede spesso quando si decide di usare dati biometrici (comeil riconoscimento dell’iride o il codicenumerico riferibile all’improntadigitale) per controllare gli accessiin una determinata area. Tale misura è giustificata solo in situazioni di particolare rischio.

Verifica preliminareLa normativa sulla privacy, al fine di evitare possibili gravi pregiudizi allepersone interessate e successiviproblemi alle imprese, prevede che il Garante debba essere contattato

21TECNOLOGIE PER L’IMPRESA

preventivamente, chiedendo unaverifica preliminare, nel caso in cui la società intenda avviare untrattamento di dati personali (diversi daquelli sensibili e giudiziari) che possapresentare rischi specifici per i dirittie le libertà fondamentali, nonché perla dignità dell’interessato. Talesituazione può verificarsi sia per lanatura dei dati o per le modalità deltrattamento o per gli effetti che iltrattamento stesso può determinare. È necessario richiedere una verificapreliminare, ad esempio, quando siintendono attivare sistemi divideosorveglianza “intelligente” - come quelli in grado di rilevareautomaticamente comportamenti o eventi anomali - oppure quelli dotati di un software che consenta il riconoscimento della persona tramitecollegamento o incrocio o confrontodelle immagini rilevate (ad es. la morfologia del volto) con datibiometrici, o sulla base del confrontodell’immagine con una campionatura di soggetti precostituita alla rilevazione

dell’immagine. La verifica preliminareè richiesta anche quando, perparticolari esigenze, si voglianoallungare i tempi di conservazione delle immagini registrate oltre iltermine massimo di sette giorni, a meno che questa necessità non derivida una specifica richiesta dell’autoritàgiudiziaria o di una forza di polizia per un’attività investigativa in corso. La normativa, quindi, non vieta inassoluto l’adozione di misuretecnologiche a tutela delle attivitàaziendali, ma cerca un bilanciamentocon altri diritti fondamentali dellapersona. L’eventuale autorizzazioneconcessa dall’Autorità, a conclusionedella verifica preliminare, può essereinoltre vincolata da precise condizionicome, ad esempio, quella che imponealle banche di garantire modalità di accesso alternativo ai clienti che non desiderano lasciare la propriaimpronta digitale (dato biometrico) per entrare nelle agenzie o peraccedere ai locali dove sono custoditele cassette di sicurezza.

7essuna società desidera che la lista dei propri clienti,i propri contatti, i datipersonali dei propriimpiegati e dirigenti,

le fatture, la posta interna o persino i propri segreti industriali (piani disviluppo, dettagli di brevetti...) finiscanonelle mani della concorrenza o di qualche malfattore. I dati raccoltida un’impresa rappresentano infatti un asset fondamentale per il suosuccesso sul mercato. Questa incomprimibile necessitàaziendale si trasforma in un obbligo di legge quando ad essere raccolti,conservati o trattati in qualunquemodalità sono dati personali.Devono quindi essere adottate idonee e preventive misure di sicurezza, in modo da ridurre al minimo i rischi di distruzione o perdita, ancheaccidentale, dei dati stessi, di accessonon autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.Bastano talvolta poche azioni

per mettere al sicuro questi beni tra ipiù preziosi che l’azienda detiene mache si riferiscono ad altre persone. Se sono conservati in formato cartaceopotrebbe essere sufficiente mettere un lucchetto all’armadio o alla stanzadove sono archiviati documenti efascicoli, nonché definire le regole a cuidevono sottostare le persone che hannola “chiave” per accedervi e per trattarli. Se invece sono in formato digitale,come quelli trattati attraversocomputer, tablet o smartphone, è necessario applicare misure piùcomplesse e adeguate al tipo di rischio.

Misure minimeAl di là di prescrizioni ad hoc per settoriparticolari, il Codice prevede che per il trattamento dei dati è necessario chei titolari adottino misure minimedi sicurezza che garantiscano, adesempio, in caso di trattamentoelettronico, la verifica e la convalidadell’identità di chi accede al sistema(identificativi personalizzati, passwordsicure…), l’adozione di un apposito


Difesa del patrimonio dati

N

sistema di autorizzazione che consentasolo specifiche attività predefinite,l’utilizzo di strumenti (come antivirusaggiornati e altri software e sistemi di protezione) per impedire accessiilleciti o abusivi che mettano a rischio l’integrità e la confidenzialitàdel dato personale.

Bisogna poi essere pronti a gestiresituazioni di crisi, ad esempiopredisponendo “copie di backup”, in modo da poter rendere nuovamentedisponibili dati e sistemi. Occorreanche definire misure di protezioneparticolari per i dati sensibili, magariadottando tecniche crittografiche

23DIFESA DEL PATRIMONIO DATI

che non li rendano immediatamenteleggibili in caso di accessi illeciti. Il settore informatico è in rapida e costante evoluzione, è quindiimportante, per la sicurezzadell’azienda e per la protezione dei datipersonali, che il personale addetto a queste attività riceva un’adeguataformazione e che le misure adottate,per non perdere di efficacia, sianoaggiornate nel tempo. È venuto recentemente meno, invece,l’obbligo di predisporre un “documentoprogrammatico sulla sicurezza” cheelenchi le misure adottate. Le impresepotranno comunque trarre beneficio da un monitoraggio frequente dellapropria privacy policy e delle misureadottate per proteggere i dati,mantenendo così sotto controllo la situazione.Per facilitare la normale attività svoltapresso liberi professionisti, artigiani e piccole e medie imprese, il Garanteha previsto che le misure minimepossano essere applicate in formasemplificata nel caso in cui i dati

personali siano trattati unicamente per correnti finalità amministrative econtabili. Sono state semplificate anchele misure di sicurezza dei soggetti chetrattano solamente dati sensibiliconnessi alla gestione operativa delrapporto di lavoro (malattia,partecipazione ad attività sindacali).

Misure idoneeA volte, in base alla complessitàtecnologica dell’azienda e al livello dirischio a cui si è sottoposti, l’adozionedelle misure minime di sicurezzapotrebbe risultare non sufficiente.L’imprenditore (il titolare e iresponsabili del trattamento), nel casoin cui a seguito di violazioni dei dati siachiamato in causa per un’azionerisarcitoria in sede civile, dovràaffrontare le difficoltà derivantidall’inversione dell’onere della prova, e dovrà essere in grado di dimostrare di aver adottato tutte le misure idonee,in base allo stato dell’arte, a ridurre -per quanto possibile - i rischi connessial non corretto utilizzo dei dati.


In ogni caso, l’Autorità può indicareanche di propria iniziativa le misureopportune o necessarie per far sì cheun determinato tipo di trattamento siaconforme alla normativa sulla privacy.Per rendere tracciabili certe operazioni,come quelle effettuate su dati bancari o informazioni fiscali, può ad esempioessere previsto l’obbligo di adottarespecifici sistemi di monitoraggio con alert automatici che segnalinointrusioni, accessi o comportamentianomali o tali da configurare eventualitrattamenti illeciti.

Cloud ComputingDeve essere prestata particolareattenzione alla modalità con cui siadottano innovazioni tecnologiche,come quelle offerte dal cloudcomputing, affinché le eventualiopportunità di efficienza e risparmionon si trasformino in un rischio per la sicurezza dei dati dell’impresa.L’Autorità, proprio per facilitare una scelta consapevole delle aziende,ha pubblicato sul proprio sito Internet

un’apposita guida sull’uso di questenuove tecnologie.

Rifiuti tecnologiciIl Garante ha anche segnalato alleimprese i rischi, spesso sottovalutati,che possono emergere da un nonadeguato smaltimento diapparecchiature elettriche edelettroniche come hard disk, chiavi di memoria, dischetti, vecchi telefonicellulari, tablet o smartphone. Questiapparati possono infatti conteneregrandi quantità di dati personali che, senon opportunamente cancellati primadello smaltimento, possono essere poirecuperati da malintenzionati o da persone che comunque non hannodiritto di accedervi. L’Autorità ha quindifornito consigli e indicato le opportunemisure tecniche che devono essereadottate per la memorizzazione (comel’utilizzo di tecniche di cifratura) o la cancellazione sicura (ad esempiocon l’uso di appositi software o con ladistruzione fisica dei supporti) dei datiriservati di un’impresa.

25DIFESA DEL PATRIMONIO DATI

ll’interno delle grandiimprese, in genere, esisteuna figura particolare che sioccupa della gestione deisistemi informatici e della

sicurezza: l’amministratore di sistema.Proprio per la peculiarità delle suefunzioni, questo professionista puòavere accesso ai dati più riservati diun’azienda. Per questo motivo ilGarante ha prescritto che anche il suooperato sia trasparente e posto sotto ilcontrollo del titolare del trattamento. Occorre innanzitutto valutare conattenzione l’esperienza, la capacità, e l’affidabilità delle persone chiamate

a ricoprire tale ruolo,conservando poi un elenco con i loroestremiidentificativi e conl’indicazione dellefunzioni ad essi

attribuite. Devono essereutilizzatisistemi di

controllo (presenti in tutti i modernisistemi operativi oggi in uso) checonsentano la tracciabilità degli accessieffettuati dagli amministratori di sistema agli archivi elettronici e ai sistemi di elaborazione, e laregistrazione dei relativi dati per un tempo non inferiore ai sei mesi (a questo scopo sono disponibili anchegratuitamente appositi strumentisoftware). Il titolare del trattamentodovrà poi provvedere a una verifica, con cadenza almeno annuale, sullarispondenza dell’operato degliamministratori di sistema alle misureorganizzative, tecniche e di sicurezzapreviste dalla legge per i trattamenti di dati personali.Queste misure, naturalmente, non siapplicano a quei soggetti (ad esempioprofessionisti, piccole imprese,associazioni) che sono dotati di sistemiinformatici di modesta e limitata entitàe che, quindi, non fanno ricorso a unafigura professionale specificamentededicata all’amministrazione dei sistemi informatici.


Controllo del “controllore informatico”8

A

on tutti i beni possonoessere portati all’estero.Esistono ad esempio limiti al trasferimento di valuta, o di prodotti materiali

e immateriali, oppure vincoli dettati daragioni di sicurezza e di mantenimentodella qualità del prodotto. Anche perpoter “esportare” dati personali ènecessario attenersi a precise regole.

La normativa comunitaria prevedeinfatti che i dati personali possonocircolare liberamente entro l’Unioneeuropea. Per trasferire dati al di fuoridell’Unione europea devono inveceessere garantiti standard di protezioneadeguati a quelli europei: in caso contrario è vietato trasferiredati personali.

27L’ “EXPORT DEI DATI”

L’ “export” dei dati 9

N

Per semplificare l’attività diricognizione dell’imprenditore che ha necessità di trasferire i dati, il Garante pubblica sul proprio sitointernet un elenco aggiornato degliStati “terzi”(cioè non appartenentiall’Unione europea o allo SpazioEconomico Europeo) che sono giàritenuti affidabili a livello europeo e per i quali non è necessario alcun“passaporto” per l’esportazione.

Trasferimenti di dati verso Paesi “non certificati”Se il paese scelto non è in questa lista,l’eventuale trasferimento dei dati puòessere consentito sulla base di altregaranzie adeguate. Per quantoriguarda gli Stati Uniti, si puòcontrollare se i dati sono trasferiti adimprese presenti sul territorioamericano che aderiscono ad unaccordo bilaterale UE-USA detto SafeHarbor (letteralmente “porto sicuro”), il quale definisce regole sicure e condivise per il trasferimento dei datipersonali. Nel caso di imprese

multinazionali, quindi operanti in piùPaesi anche su diversi continenti, chedevono trasferire dati “infragruppo”,cioè all’interno della propria complessastruttura societaria (ad esempio traimprese collegate o controllate,comunque facenti parte del gruppo), sipuò verificare se sono state adottateadeguate norme vincolanti d’impresa(Binding Corporate Rules) che devonoessere autorizzate dalle autoritàeuropee di protezione dati, attraversouna specifica procedura che coinvolgeanche il Garante italiano. In tutti gli altri casi, valgono leeccezioni al divieto di trasferire dati inPaesi terzi: è consentito, ad esempio, il trasferimento se vi è l’appositoconsenso dell’interessato (consensoscritto nel caso in cui si tratti di datisensibili), oppure quando iltrasferimento risulta necessario perl’esecuzione di obblighi derivanti daun contratto del quale è partel’interessato o per adempiere, primadella conclusione del contratto, a specifiche richieste dell’interessato.


Verso una “customer care dei dati” 10n’impresa competitiva, chedesidera sviluppare buonerelazioni con la clientela e con le controparti, rispondecon velocità e completezza

alle richieste che giungono al customercare o agli altri uffici competenti. Più ingenerale, le buone prassi che si sonodelineate in questo decalogo possonocontribuire a rafforzare la capacitàdell’impresa nel gestire al meglio i datipersonali che le sono affidati, e altempo stesso la fiducia dei clienti e delpubblico nell’affidabilità e modernitàdella struttura aziendale. Il patrimonioinformativo di un’azienda è un valore datutelare e promuovere alla stregua diogni altro asset, e può trasformarsi inuna risorsa competitiva e di immagine.

Diritti della persona interessataIn tale ambito, è opportuno che anchele richieste di informazione in merito al trattamento effettuato con i datipersonali vengano gestiteadeguatamente. La normativa sullaprivacy, tra l’altro, garantisce alla

29VERSO UNA “CUSTOMER CARE DEI DATI”

U

persona interessata - ad esempiodipendente, cliente o utente - specificidiritti come quello di conoscere qualisiano i dati che lo riguardano inpossesso dell’impresa e per qualemotivo siano stati raccolti e come sianoelaborati. Può richiederel’estrapolazione e la messa adisposizione in modo intelligibile deidati personali che lo riguardano e, sene ha interesse, il loro aggiornamento,la rettifica o l’integrazione. In caso di violazione di legge, può ancheesigere il blocco, la cancellazione o la trasformazione in forma anonimadi queste informazioni. Tra l’altro si rammenta che, in lineagenerale, un dato personale non deveessere conservato per sempre, ma solofin quando è necessario per lo scopoper il quale i dati sono stati raccolti.Qualora non sia indicato per legge un preciso termine di conservazione,occorre comunque prevederlo.Una risposta puntuale e completa da parte della società è sempre un indicatore positivo di efficienza

e trasparenza, e contribuisce a rafforzare la fiducia dei clienti/utentioltre ad evitare un intervento delGarante da cui possano derivareprovvedimenti inibitori, prescrittivi o anche sanzionatori per il mancatorispetto dei diritti dell’interessato.

Distruzione o perdita di dati personaliLe imprese dovrebbero reagire conprontezza e trasparenza ogni volta in cui dovessero accorgersi di violazionidei dati personali trattati. In questi casi,al di là delle opportune valutazioni intermini di responsabilità civile e penale,sarebbe sempre opportuno avvisare gliinteressati del problema riscontrato,anche per consentire loro di adottaremisure che limitino i possibilipregiudizi alla persona che possonoderivare, ad esempio, da un furto diidentità o il danno alla reputazione chepuò discendere dall’utilizzo di datiinesatti o non aggiornati. Alcuni dei settori più esposti in talsenso sono quello bancario, della


sanità e delle telecomunicazioni. Per garantire maggiori tutele aiconsumatori, una recente disposizioneeuropea, ora adottata anche in Italia,impone alle società telefoniche e aifornitori di servizi di accesso a Internetun vero e proprio obbligo di comunicareal Garante della privacy, e in certi casianche agli utenti stessi, eventuali gravi

“violazioni di dati personali” subitedalle loro banche dati (le cosiddettedata breaches) che dovesserocomportare perdita, distruzione o diffusione indebita di dati. In caso diattacchi informatici o di eventi avversi,quali incendi o altre calamità, l’impresaavrà così non solo l’obbligo ma anchel’opportunità di dimostrare la propriaefficienza e capacità di reazione.

31VERSO UNA “CUSTOMER CARE DEI DATI”

Garante per la protezione dei dati personaliPiazza di Monte Citorio, 12100186 Romatel. 06 696771 - fax 06 696773785

Per informazioni presso l’Autorità:Ufficio per le relazioni con il pubblicoLunedì - Venerdì ore 10.00 - 13.00tel. 06 696772917/9e-mail: [email protected]: [email protected]

A cura del Servizio relazioni con i mezzi di informazione

Maggio 2013

Antonello Soro, PresidenteAugusta Iannini, Vice PresidenteGiovanna Bianchi Clerici, Componente Licia Califano, Componente

Giuseppe Busia, Segretario generale

ill:

M. P

olve

rini

Sta

mpa

: IA

G M

enga

rell

i

www.garanteprivacy.it

Documents

Vademecum privacy e imprese