di Redazione odisseoprivacy.it scritto il 27 agosto 2021 Garantire la cybersecurity in azienda con un piano strategico e competenze specifiche: affidarsi a un Security Provider qualificato in outsourcing può fare la differenza. Le piccole e medie imprese, esattamente come le aziende di grandi dimensioni, subiscono continuamente attacchi che hanno come bersaglio la sicurezza informatica. La digitalizzazione che ormai coinvolge la stragrande maggioranza delle imprese, inoltre, sta rendendo ancora più cogente e concreto questo pericolo. Anche le piccole attività che si affacciano al digitale devono fare uno sforzo in più per proteggersi in modo sicuro, efficace e conforme al Regolamento Europeo sulla privacy 2016/679 (DGPR). Qual è la strategia più efficace per proteggere i dati dei propri clienti, fornitori e dipendenti, le risorse, i sistemi e le reti aziendali? Questo quesito pone le PMI davanti a una scelta che richiede impegno, ponderatezza e conoscenza dell’importanza del problema. La maniera più semplice sembra essere quella di incaricare della cybersecurity e della privacy chi già si occupa della manutenzione e aggiornamento delle infrastrutture informatiche aziendali. Questo soggetto può essere sia una figura interna all’azienda sia un consulente esterno. Questa decisione è legata a problemi di natura economica, dettate da possibili carenze di risorse. Non tutte le imprese, infatti, hanno la possibilità di assumere un responsabile interno della sicurezza informatica o il cosiddetto DPO previsto dal Regolamento UE 2016/679 o il meno impegnativo Responsabile interno incaricato per la privacy. Considerare la sicurezza della privacy e la manutenzione ed aggiornamento del sistema IT aziendale come un’unica responsabilità, può rivelarsi una scelta negativa, deleteria e controproducente in quanto può impedire che la sicurezza privacy venga svolta in modo conforme alla norma e nel migliore dei modi. Anche perché bisogna “costruire” tutto un sistema, affidare gli incarichi fra i soggetti adibiti al trattamento dei dati (ufficio acquisti, ufficio vendite, ufficio del personale, videosorveglianza, ecc.). Verificare quali sono i possibili rischi fisici (incendio, cortocircuito, furto, danni atmosferici, ecc.) e quelli informatici veri e propri e trovare le soluzioni idonee e conformi alle disposizioni normative. Verificare, infine, con audit interni o esterni se il sistema funziona adeguatamente e secondo le regole o continuare con corsi di formazione rivolti agli addetti per sanare i difetti e garantire il funzionamento del sistema. Periodicamente, almeno annualmente, va ripetuta la ricerca di possibili rischi e soluzioni per porvi rimedio. A sottolineare l’importanza di avere un sistema autonomo di gestione della cyber security e della privacy, interno o in outsourcing (esterno) sono anche gli standard di settore (ISO 27001:2013 e NIST CSF e Regolamento UE 2016/679 sulla privacy). Ostacolo per dare l’incarico all’interno al responsabile della sicurezza ed aggiornamento del sistema IT potrebbe essere l’insufficiente conoscenza da parte del soggetto o dei soggetti di quelle importanti norme che regolano il tutto e che si riferiscono a temi tanto impegnativi che potrebbero comportare sanzioni pecuniarie e financo penali per il Titolare dell’azienda. Per rendere realmente efficace una simile strategia, infatti, è basilare ed indispensabile rivolgersi a competenze specifiche e nel continuo aggiornamento delle stesse, che devono individuare le possibili minacce in continua evoluzione e trovare le soluzioni idonee per controbatterle. Le priorità dei soggetti addetti alla manutenzione ed aggiornamento del sistema IT che supporta il business, inoltre, possono non adeguarsi alle necessità di chi deve garantire la massima protezione ai dati, ai sistemi e ai dipendenti, generando una disputa ed un mancato allineamento alle norme che può nuocere alla stessa azienda. Un piano strategico di sicurezza informatica e della privacy, idoneo nel lungo periodo, dovrebbe prevedere l’opportunità di rivolgersi a uno specialista da assumere all’interno o in outsourcing o un’azienda specializzata in materia, in grado di supportare la ditta nella gestione del rischio e nel trovare le soluzioni in ogni direzione. La sicurezza informatica comprende funzioni e necessità che non riguardano solo gli aspetti hardware e software di un sistema, ma anche i pericoli legati ai dati che sono gestiti e conservati nei sistemi tecnologici. La nostra azienda (odisseoprivacy.it) ha nel suo organico specialisti nella materia che provvedono a predisporre tutto quanto necessario per essere conforme alle norme ed in particolar modo al Regolamento europeo sulla privacy 2016/679 (GDPR) per la sicurezza fisica e la sicurezza informatica per PMI e grandi imprese private e pubbliche: L’impatto di una minaccia informatica può essere importantissimo per un’azienda dal punto di vista economico (oltre che penale). È quindi necessario che la strategia di contrasto a questi potenziali rischi debba essere riconducibile a una decisione ai massimi livelli aziendali. La mancata cognizione comporta che la decisione nelle piccole aziende vengano affidate ai manutentori ed aggiornamento dei sistemi IT.A cura di Odisseoprivacy.it

SpecialiGiovedì, 29 Luglio 2021 15:10 La Fondazione Studi dei Consulenti del Lavoro, con un approfondimento pubblicato il 27 luglio 2021, esamina gli effetti applicativi del nuovo Green pass, introdotto con il D.L. del 23 luglio 2021, n. 105 per fronteggiare l’emergenza epidemiologica da COVID-19. La previsione di una certificazione quale possibilità di accesso a determinati servizi, ottenibile anche attraverso la vaccinazione, è fattispecie che si distingue dall’imposizione dell’obbligo vaccinale: il Green pass, infatti, rappresenta una certificazione che garantisce l’accesso a determinati servizi individuati dalla legge, ed è legittimo proprio in virtù di tale circostanza, non rappresentando un obbligo generalizzato (o un divieto altrettanto esteso), bensì la più semplice sottoposizione alla verifica della sussistenza del requisito previsto dalla legge per l’accesso ai servizi di cui sopra. Idoneità all’accesso che può essere acquisita non in via esclusiva con l’inoculazione del vaccino, ma che è riconosciuta ‒ ricorrendo le condizioni previste dalla legge ‒ anche ai guariti dal contagio e a coloro che, sottoposti a tampone, ne hanno registrato l’esito negativo alla positività. Green pass e privacy – Non è previsto alcun trattamento dati ai fini privacy, così come stabilito dal comma 5 dell’art. 13 del DPCM 17 giugno 2021. Inoltre il Garante della Privacy, nel commento allo schema del DPCM, pubblicato il 9 giugno 2021, afferma che “tale app consente al verificatore di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’interessato, senza rendere visibili al verificatore le informazioni che hanno determinato l’emissione della certificazione (guarigione, vaccinazione o esito negativo del test molecolare/antigenico rapido) e senza conservare i dati relativi alla medesima oggetto di verifica. Inoltre, è previsto che tale app effettui le predette operazioni, unicamente sul dispositivo del verificatore, anche senza una connessione dati, procedendo contestualmente alla verifica dell’eventuale presenza dell’identificativo univoco della certificazione nelle liste delle certificazioni revocate (c.d. revocation list). Tali liste sono scaricate periodicamente dalla Piattaforma nazionale-DGC e includono anche quelle degli altri Stati membri acquisite tramite il gateway europeo”. Esecuzione dei controlli – L’art. 13, comma 6, del DPCM 17 giugno 2021 prevede che “il controllo relativo alla corretta esecuzione delle verifiche di cui al presente articolo è svolto dai soggetti di cui all’art. 4, comma 9, del decreto legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35.” Sarà pertanto il Prefetto, informando preventivamente il Ministro dell’Interno, ad assicurare l’esecuzione delle misure avvalendosi delle Forze di Polizia e, ove occorra, delle Forze armate, sentiti i competenti comandi territoriali. Al personale delle Forze armate impiegato, previo provvedimento del Prefetto competente, per assicurare l’esecuzione delle misure di contenimento di cui agli articoli 1 e 2, è attribuita la qualifica di agente di pubblica sicurezza. Obblighi per aziende e lavoratori – L’obbligatorietà e l’imposizione diffusa è da escludersi per via dell’art. 5 dello Statuto dei Lavoratori vieta gli accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Controlli che possono essere effettuati per le assenze soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti, mentre la facoltà di verificare l’idoneità alle mansioni è possibile solo da parte di enti pubblici ed istituti specializzati di diritto pubblico.Ciò premesso, diversi sono i casi di aziende che, su indicazione del medico competente, hanno introdotto il test (tampone o sierologico) come parte integrante del Protocollo con la supervisione del Comitato di verifica cui fanno parte sia gli RLS che le rappresentanze sindacali, anche a garanzia del rispetto dello Statuto dei Lavoratori. Lo screening, che ha una periodicità definita e il più delle volte prevede la collaborazione con Istituti Sanitari (anche a scopo di ricerca), resta comunque sempre su base volontaria. (Fonte: Fondazione Studi Consulenti del Lavoro)

 Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e l’adozione di un adeguato sistema di protezione dei dati dall’altra. Il sistema di gestione privacy con l’obiettivo della salvaguardia dei diritti fondamentali assume, non dimentichiamolo, una doppia valenza per le imprese: sicurezza informativa e sviluppo digitale; corretta gestione dei dati nelle dinamiche del diritto del lavoro. E’ proprio in questa ottica che l’adozione di un modello adeguato di protezione dei dati si inserisce perfettamente nell’ambito della responsabilità sociale di impresa. Questo perché etica, sostenibilità e responsabilità sono i pilastri non solo del GDPR ma anche di quelle imprese che guardano al futuro ed a un mondo del lavoro che sta cambiando (smart working, in primis). È proprio in questa ottica che va guardata la vicenda che ha visto intervenire il Garante. Il caso Ai fini di un procedimento disciplinare contro un lavoratore, in un caso dei mesi scorsi che ha fatto scalpore per l’entità della sanzione comminata (40mila euro), la società aveva utilizzato informazioni recuperate dal proprio sistema informatico violando i limiti di conservazione e registrazione stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Come ha ricordato il Garante: in base alla vigente disciplina di settore i trattamenti di dati personali possono essere effettuati mediante l’utilizzo di strumenti tecnologici qualora questi ultimi siano impiegati “esclusivamente” per il perseguimento in concreto di finalità predeterminate (per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale), così come individuate nell’autorizzazione rilasciata dall’autorità pubblica (in mancanza di accordo con le rappresentanze dei dipendenti; v. art. 4, l. 20.5.1970, n. 300). La norma di settore, richiamata espressamente dalla disciplina in materia di protezione dei dati personali, costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento. È evidente, quindi, che proprio nella prospettiva dell’integrazione delle due normative che occorre approcciarsi al sistema di protezione e gestione dati, in quanto ciò permetterà di evidenziare tutti gli eventuali limiti e debolezze delle procedure aziendali. L’imprenditore, prima di procedere alla formale contestazione, avrebbe ben dovuto tener conto che il proprio sistema informatico di monitoraggio, diversamente da quanto comunicato all’Ispettorato del lavoro e da quanto indicato nell’informativa, permetteva la raccolta illegittima di informazioni sull’attività lavorativa dei dipendenti. Non solo, dall’istruttoria è anche emerso che quei dati (che comunque non si sarebbero dovuti raccogliere) erano anche stati utilizzati per finalità ulteriori e non previste dalle medesime informative e autorizzazioni. Tra le finalità di trattamento non rientra né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro, né, tanto meno quella preordinata al perseguimento del “legittimo interesse del titolare”, che costituisce in termini generali una delle condizioni di liceità del trattamento a condizione, peraltro, che il titolare effettui preventivamente un test comparativo rispetto agli interessi o i diritti o le libertà fondamentali dell’interessato. A ciò deve pure aggiungersi che sono state riscontrate irregolarità anche nei tempi di conservazione. Dalla lettura del provvedimento, infatti, sembrerebbe che vi sia sta confusione tra dato anonimizzato, che ha tempi di conservazione pressoché illimitati, e dati pseudonimizzati (come quelli dell’azienda sanzionata) che proprio perché riconducibili a soggetti determinati in associazione ad altre informazioni (di cui il datore di lavoro era in possesso), impongono tempi di conservazione non superiori al conseguimento delle finalità di trattamento perseguite. Pertanto ancora una volta è imporrante sottolineare come l’adozione di un sistema di gestione GDPR, lungi da mettere freni allo sviluppo dell’attività imprenditoriale, deve essere utilizzato come adeguato strumento di sviluppo e tutela: la questione non è se compiere una scelta o meno, ma – nei limiti del rispetto dei diritti fondamentali – come metterla in atto. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e ha ingiunto il pagamento della sanzione. Si conclude riportando la rilevante precisazione che il Garante offre a conclusione del proprio provvedimento, laddove l’Autorità osserva, infine, che  il proprio accertamento non costituisce una duplicazione rispetto alla decisione del giudice penale, considerato che mentre la sanzione penale – alla luce della natura personale della relativa responsabilità – può essere applicata nei confronti della persona fisica ritenuta colpevole del reato, l’applicabilità della sanzione amministrativa prevista dalla disciplina in materia di protezione dei dati personali è, nel caso concreto, da valutare nei confronti di una persona giuridica. Rimane aperta la strada, quando il Legislatore riterrà di ritornare sui propri passi (a mio giudizio scelta auspicabilmente), dell’inserimento dei reati di illegittimo trattamento dei dati personali nell’ambito dei reati presupposto di cui alla legge 231/01. Avv. Emiliano Vitelli

NEWSLETTER N. 477 del 19 maggio 2021 Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy. L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative. È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto. Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari. Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.

Privacy & SocietàSabato, 24 Aprile 2021 22:18 Mercoledì 21 aprile 2021 la Commissione europea ha consegnato una proposta di regolamento sull’Intelligenza Artificiale. L’iniziativa si inserisce in un contesto di grande fermento a livello non soltanto dell’Unione ma anche del Consiglio d’Europa (ove è stato costituito un comitato ad hoc sull’Intelligenza Artificiale, il CAHAI) in cui da tempo la tematica forma oggetto di ampio dibattito tra attori istituzionali e stakeholders.  Si tratta di un programma ambizioso, che mira a rendere l’Ue un vero e proprio hub strategico grazie alla combinazione tra il primo atto giuridico diretto a regolare i sistemi di Intelligenza Artificiale (che ambisce a restituire certezza giuridica) e un piano di coordinamento tra i vari Stati membri. Al centro di questo disegno si inserisce l’obiettivo cardine di tracciare un punto di equilibrio tra opposte esigenze: quella di preservare un livello di tutela elevato dei diritti e delle libertà individuali e quella di non scoraggiare e deprimere lo sviluppo e l’evoluzione delle tecnologie emergenti. I tempi erano ormai maturi affinché il legislatore dell’Unione potesse prendere la parola e dettare un primo set di paletti in grado di incanalare virtuosamente lo sviluppo della tecnologia. Attendere oltre avrebbe significato, verosimilmente, relegare ancora a una situazione di incertezza gli attori di mercato, con il rischio che alcuni legislatori nazionali maggiormente sensibili alla tutela dei diritti o, all’opposto, delle istanze di mercato potessero compiere individualmente salti in avanti. Salti in avanti che si sarebbero potuti rivelare anche passaggi a vuoto, stante la necessità di un intervento il più possibile uniforme e armonizzato, dunque guidato dalla mente e dalla mano delle istituzioni dell’Unione europea. Di particolare significato è la circostanza che la normativa oggetto della proposta riguardi una tecnologia in sé e per sé considerata, un fattore indicativo delle peculiarità del tutto inedite insite nei sistemi di Intelligenza Artificiale. I quali, se da un lato promettono importantissimi avanzamenti e benefici di grande impatto, dall’altro possono incidere significativamente sui diritti degli individui, sulle loro libertà e sulla capacità di autodeterminazione. Non stupisce che la proposta sia ispirata allo stesso paradigma regolatorio proprio di uno dei pilastri della normativa europea volta a fronteggiare (soprattutto) le sfide dell’innovazione digitale, ossia il Regolamento generale sulla protezione dei dati personali (l’ormai noto Gdpr). Sebbene la privacy sia soltanto uno dei temi al centro del dibattito, la proposta di regolamento accoglie uno dei cardini del Gdpr, il cosiddetto «approccio basato sul rischio». Infatti, oltre a vietare in via generale l’utilizzo di sistemi che presentano un livello di rischio non accettabile (quali i sistemi che compiono una manipolazione del comportamento umano), la proposta individua una serie adempimenti a cui sottoporre i sistemi che invece presentano un rischio elevato (tra cui quelli di identificazione biometrica): per esempio, meccanismi di valutazione e mitigazione dei rischi; misure che garantiscano un controllo umano; obblighi di documentazione sulle caratteristiche dei prodotti. Per questi tipi di sistemi, sono altresì previsti obblighi diversi in capo a fornitori e a utilizzatori. In coerenza con lo stesso approccio già ricordato sono inoltre previsti obblighi di trasparenza applicabili a sistemi che presentano un rischio limitato, mentre non rientrano nell’ambito del futuro regolamento i sistemi caratterizzati da un rischio minimo, che in quanto tali non incidono o incidono in misura risibile sui diritti o sulla sicurezza degli individui. (Nella foto: Marco Bassini, docente di diritto dell’informazione Università Bocconi) La piena operatività e disponibilità sul mercato delle soluzioni contraddistinte da rischi elevati è così rimessa, in consonanza con lo spirito del Gdpr e della normativa sulla sicurezza dei prodotti, al positivo superamento di una valutazione di conformità a priori. Non si tratta, però, di valutazioni destinate a rappresentare un «via libera» incondizionato, in quanto le varie soluzioni saranno periodicamente oggetto di verifiche in considerazione della rapidità dei mutamenti tecnologici. Il nuovo quadro giuridico, poi, si premura di definire una governance dell’Intelligenza Artificiale, ricalcando così la centralità di un ruolo, quello delle autorità di regolazione, rivelatosi essenziale anche nel campo della protezione dei dati personali. A livello europeo, sarà istituito un board ove siederanno rappresentanti della Commissione e degli stati membri, mentre a livello nazionale ogni paese dovrà designare (o istituire) una autorità di controllo con il compito di monitorare l’applicazione del futuro regolamento. L’ultimo tratto di somiglianza all’impianto del Gdpr è dato dalla previsione di sanzioni con chiare finalità di deterrenza, che potranno raggiungere, per le violazioni più gravi, l’importo massimo di 30 mln di euro o il 6% del fatturato globale annuo. di Marco Bassini, docente di diritto dell’informazione Università Bocconi (Italia Oggi, 24 aprile 2021)

Primo Piano – FederprivacyMercoledì, 14 Luglio 2021 10:09 Con provvedimento del 26 novembre 2020, n.256 l’Autorità Garante ha adottato una ordinanza-ingiunzione nei confronti di una struttura ricettiva, che, tra le altre cose, aveva omesso di apporre i cartelli informativi sulla videosorveglianza, che, come noto, sono stati recentemente oggetto di revisione da parte del Comitato Europeo per la protezione dei dati personali con le Linee Guida n.3/2019. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy) Il caso affrontato dall’Autorità Garante – scaturito da una segnalazione – ha riguardato un trattamento di dati personali effettuato da un hotel attraverso un sistema di videosorveglianza. Il Nucleo speciale tutela privacy e frodi tecnologiche, su incarico del Garante, ha accertato che presso la struttura non era presente alcun cartello informativo relativo all’impianto di videosorveglianza. Ciò – afferma il Garante – risulta in contrasto con quanto stabilito dall’art. 13 del Regolamento (UE) 2016/679, in base al quale il titolare è tenuto a fornire all’interessato, prima dell’inizio dei trattamenti, tutte le informazioni relative alle caratteristiche essenziali del trattamento. La stessa Corte di Cassazione ha statuito che: “L’installazione di un impianto di videosorveglianza all’interno di un esercizio commerciale, costituendo trattamento di dati personali, deve formare oggetto di previa informativa, ex art. 13 del d.lgs. n. 196 del 2003, resa ai soggetti interessati prima che facciano accesso nell’area videosorvegliata, mediante supporto da collocare perciò fuori del raggio d’azione delle telecamere che consentono la raccolta delle immagini delle persone e danno così inizio al trattamento stesso”. (Cass. 5 luglio 2016, n. 13663). L’obbligo dell’informativa è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. art. 5, par. 1, lett. a) del Regolamento. Conseguentemente, il trattamento dei dati personali, effettuato dalla struttura alberghiera nel caso de quo attraverso il sistema di videosorveglianza, è stato ritenuto illecito in relazione agli artt. 5, par. 1, lett. a) e 13 del Regolamento e oggetto di sanzione amministrativa pecuniaria pari ad euro tremila, tenuto conto delle condizioni economiche del contravventore, determinate con riferimento al bilancio di esercizio. Il caso affrontato ci ripropone un tema “classico” in materia di videosorveglianza: i c.d. cartelli informativi. Quest’ultimi sono stati trattati recentemente dall’European Data Protection Board con le linee Guida n.3/2019 sul trattamento dei dati personali attraverso dispositivi video. Le linee guida introducono il concetto di informativa a più livelli. In particolare, l’EDPB prevede che: “alla luce della quantità di informazioni che devono essere fornite all’interessato, i titolari del trattamento possono seguire un approccio “a più livelli”, optando per una combinazione di metodi, al fine di rispettare il principio della trasparenza (WP 260, par. 35; WP 89, p. 22). Con riferimento alla videosorveglianza le informazioni più importanti potrebbero essere mostrate attraverso un cartello (primo livello), mentre le ulteriori informazioni obbligatorie potrebbero essere fornite con altri mezzi (secondo livello)”. (Linee guida Capitolo 7, § 109). Proseguono, specificando che: “Il primo livello riguarda il modo in cui il Titolare del trattamento interagisce con l’interessato. In questa fase i Titolari possono usare un cartello di avvertimento contenente le informazioni di base.(vedi allegato). Quest’ultime possono essere fornite unitamente ad una icona al fine di fornire in maniera facilmente visibile, comprensibile e chiaramente leggibile, una panoramica significativa sul trattamento svolto (articolo 12 GDPR)”. (Capitolo 7.1, § 110). È interessante notare come il fac-simile di cartello informativo proposto (primo livello), oltre a riportare i dati del titolare del trattamento e le finalità del sistema di videosorveglianza, contempli anche gli estremi del data protection officer, ove presente. Infine, le linee guida precisano come: “Le informazioni dovrebbero essere posizionate ad una distanza ragionevole rispetto ai luoghi ripresi (WP 89, p.22) di modo che l’interessato possa facilmente essere edotto sulla presenza dell’impianto di sorveglianza prima di farvi ingresso (all’incirca ad una altezza d’uomo). Non è necessario specificare la precisa ubicazione dell’apparecchiatura di sorveglianza, purché non vi siano dubbi sull’area soggetta a ripresa e sul contesto della sorveglianza (WP 89, p.22). L’interessato deve essere in grado di stimare l’area oggetto di ripresa, affinché la possa evitare o acquisire un comportamento idoneo se necessario”. Capitolo 7.1, § 111 L’importanza del cartello informativo e la modalità di fruizione è stata ribadita recentemente anche dall’Autorità Garante nelle Faq sulla Videosorveglianza del dicembre 2020. Il Garante ha precisato che: “L’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB [vedi modello ] che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese). L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso).

Altalex – Pubblicato il 21/05/2021 Il Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale è stato elaborato dall’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (Ancic). Il Garante della Privacy lo aveva approvato nel giugno del 2019 ma, la sua efficacia, era stata subordinata al completamento della fase di accreditamento dell’Organismo di monitoraggio (OdM). Infatti, a quest’ultimo spetta il compito di verificare il rispetto del Codice da parte degli aderenti e di gestire gli eventuali reclami. Il nuovo testo del Codice, aggiornato e integrato, è stato approvato dal Garante ed entrerà in vigore il giorno successivo alla sua pubblicazione sulla Gazzetta Ufficiale (Provvedimento 29 aprile 2021, testo in calce). SommarioIl Regolamento 679/2016 e i Codici di condottaIl Codice di condotta: a cosa serve?L’organismo di monitoraggio (OdM)Il contenuto del Codice di condotta: le definizioniI limiti al trattamento dei datiLe fonti di provenienzaPresupposti di liceità del trattamentoImpiego delle informazioni commercialiAltre disposizioni Il Regolamento 679/2016 e i Codici di condotta Il Regolamento sul trattamento dei dati personali (art. 40) incoraggia l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del regolamento stesso, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Inoltre, l’adesione ad un codice di condotta può essere utilizzata come elemento di responsabilizzazione (cosiddetta accountability), in quanto consente di dimostrare la conformità dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, alle disposizioni e ai principi del Regolamento. Infine, il Garante incoraggia lo sviluppo di Codici di condotta per le micro, piccole e medie imprese al fine di: promuovere un’attuazione effettiva del Regolamento,aumentare la certezza del diritto per titolari e responsabili del trattamento,rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano. Il Codice di condotta: a cosa serve? L’utilità del Codice di Condotta è indicata espressamente nel comunicato del Garante della Privacy del 17 maggio 2021 ove si legge quanto segue. “Con il Codice […] le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso, basandosi sul legittimo interesse, ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e assicurando loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.” L’organismo di monitoraggio (OdM) Il Garante della Privacy nel 2019 (provvedimento del 12.06.2019 n. 127) ha approvato il “Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali” presentato dall’Ancic, in qualità di associazione maggiormente rappresentativa nel settore, subordinando l’efficacia del codice di condotta all’accreditamento dell’Odm (ex art. 41 c. 3 Regolamento 679/2016). Il Garante della Privacy ha “accreditato” l’OdM nel 2021 (provvedimento 11.02.2021 n. 59) disponendo che si provvedesse all’approvazione della versione definitiva del codice di condotta. Qual è il compito dell’OdM? L’Organismo di monitoraggio ha il compito di effettuare il controllo di conformità dei codici di condotta. Secondo l’art. 41 del Regolamento 679/2016, il controllo deve essere svolto da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento. L’OdM è composto da 5 membri, con un incarico di 5 anni, non rinnovabile. Ogni componente deve essere dotato di cognizioni in materia di informazioni commerciali e di protezione dei dati; inoltre, deve essere indipendente ed imparziale, evitando le situazioni di conflitto di interessi. Si rinvia alla lettura dell’art. 12 del Codice di condotta. Il contenuto del Codice di condotta: le definizioni Il Codice di condotta consta di 16 articoli. Innanzitutto, è opportuno chiarire cosa s’intende per informazione commerciale. Essa viene definita come “il dato, anche valutativo, relativo ad aspetti patrimoniali economici, finanziari, creditizi, aziendali, industriali, organizzativi, produttivi, imprenditoriali e professionali di una persona fisica” (art. 2 lett. a). Mentre la finalità di informazione commerciale consiste nella “finalità di fornire informazioni ai committenti per verifiche sulla situazione economica, finanziaria e patrimoniale degli interessati, nonché sulla loro solidità, solvibilità ed affidabilità, in relazione a legittime esigenze connesse, in via esemplificativa e non esaustiva, all’analisi e alla definizione delle strategie e politiche di business, all’individuazione di soggetti per l’avvio di nuovi rapporti commerciali, all’instaurazione e gestione di rapporti, anche precontrattuali, alla fornitura di beni, prestazioni e servizi agli interessati e alle relative modalità e condizioni di pagamento, all’adempimento dei correlati obblighi normativi, anche in materia di antiriciclaggio, alla prevenzione e contrasto di frodi e alla tutela dei relativi diritti da parte dei committenti, anche in sede giudiziaria” (art. 2 lett. c). Su ShopAltalex è disponibile:Corso online i contratti commercialidi Valerio Sangiovanni, 2021,Acquista ora! I limiti al trattamento dei dati Il trattamento dei dati (art. 3 Codice di condotta): deve rispettare i principi di cui all’art. 5 Regolamento (ad es., minimizzazione, trasparenza, correttezza et cetera);non può riguardare i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9 c. 1 Reg.);non può riguardare i dati relativi a condanne penali e reati (art. 10 Reg.) Circa le condanne e i reati, sono fatti salvi i soli dati relativi a condanne penali e reati provenienti da fonti pubbliche o da quelle pubblicamente e generalmente accessibili, trattati per il perseguimento di un legittimo interesse del titolare, nel rispetto dei limiti e delle modalità stabiliti dalla legge in ordine alla loro conoscibilità, utilizzabilità e pubblicità e nel rispetto delle garanzie appropriate per i diritti e le libertà degli interessati. Fonti di provenienza Il fornitore può raccogliere i dati personali presso fonti pubbliche, ad esempio, pubblici registri, come il registro delle imprese, o le Conservatorie (presso cui si trovano gli atti immobiliari, gli atti pregiudizievoli e gli atti ipocatastali) o il Pubblico registro automobilistico o l’Anagrafe della popolazione residente (art. 4 Codice di Condotta). È anche possibile avvalersi di fonti generalmente accessibili da chiunque, come quotidiani, testate giornalistiche o siti Internet. Presupposti di liceità del trattamento Il trattamento per finalità di informazione commerciale di dati personali, anche quando finalizzato alla formulazione di un giudizio sulla solidità, solvibilità e affidabilità del soggetto censito, non richiede il consenso dell’interessato (art. 6 c. 1 Codice di condotta). Il consenso non è necessario giacché il trattamento è necessario al perseguimento dei legittimi interessi: dei fornitori che prestano i servizi di informazioni commerciali;dei committenti che li richiedono per legittimedell’interesse comune alla lealtà delle transazioni commerciali e al buon funzionamento del mercato. Tuttavia, per il trattamento dei dati tratti da fonti pubbliche o generalmente accessibili, è necessaria un’apposita informativa agli interessati, seppur non in forma individuale. Si rinvia alla lettura dell’art. 5 del Codice di condotta. Impiego delle informazioni commerciali Se le informazioni provenienti da fonti pubbliche riguardano eventi negativi, come fallimenti o procedure concorsuali, ipoteche, pignoramenti, protesti e così via, il fornitore (art. 8 c. 1 Codice di condotta): utilizza solo le informazioni che riguardino direttamente l’interessato;utilizza – qualora il soggetto censito sia una persona fisica che non svolga o non abbia svolto alcuna attività d’impresa o simili – soltanto le informazioni relative a protesti ed atti pregiudizievoli che lo riguardino direttamente, nonché i dati relativi a condanne penali e reati con i limiti già indicati;indica, nel contesto del rapporto informativo, la sola circostanza dell’esistenza di altre informazioni relative ad ulteriori interessati e/o soggetti diversi da persone fisiche, legati sul piano giuridico e/o economico al soggetto censito. Si rimanda alla lettura completa dell’art. 8 del Codice di condotta. Altre disposizioni Il Codice di condotta, tra le varie disposizioni, affronta anche la problematica relativa alla conservazione delle informazioni (art. 9), all’esercizio dei diritti da parte degli interessati (art. 10), alla sicurezza delle informazioni, misure organizzative e tecniche per la riservatezza e la sicurezza dell’informazione (art. 11) e al controllo sul rispetto del Codice di condotta ed organismo di monitoraggio (art. 12).  di Marcella Ferrari – Avvocato del Foro di Savona.