Con questa guida vogliamo intraprendere un percorso all’interno del Codice della Privacy evidenziando ogni aspetto utile per le imprese nella gestione e nel trattamento dei dati personali, nelle figure prevista dal decreto e negli obblighi che l’azienda è tenuta a rispettare fino ad arrivare alle sanzioni previste per le aziende inadempienti e al documento programmatico sulla sicurezza.
La gestione della privacy in azienda – ossia la tutela della riservatezza di dati personali, curriculum e informazioni sulle persone giuridiche – è uno degli adempimenti più importanti, tanto da richiedere al legislatore l’emanazione di uno specifico decreto legislativo, il 196/2003 (Codice Privacy). Per regolamentare casi specifici sono poi state introdotte disposizioni ad hoc, come ad esempio il registro delle opposizioni, volto a regolamentare l’invio di proposte commerciali telefoniche, via Internet e su carta.
=> Privacy e impresa: Vademecum del Garante
A suo tempo il DL n.138/2011 (Decreto Sviluppo) ha introdotto una serie di semplificazioni per le imprese che ricevono curricula a seguito di candidature spontanee, e che solitamente riportano una liberatoria generica per il trattamento dei dati che, tuttavia, non libera l’azienda degli adempimenti previsti dal Codice della Privacy in quanto non sono preceduti dalla consegna di una informativa. Ebbene, il Decreto Sviluppo ha modificato l’obbligo di dare l’informativa privacy per poter conservare i CV, specificando che non è necessario nel caso di trasmissione spontanea dei curriculum. L’impresa, comunque, dovrà consegnarla al candidato al momento del primo contatto ovvero durante il colloquio.
Normativa europea
Il 24 ottobre 1995 con la Direttiva Comunitaria 95/46/CE il Parlamento Europeo e il Consiglio dell’Unione Europea hanno anticipato le disposizioni in materia di trattamento dei dati personali e di protezione della riservatezza riguardante le persone fisiche chiamato comunemente “Codice Privacy”. La regolamentazione del trattamento dei dati personali a livello comunitario si è resa necessaria per agevolare lo sviluppo delle relazioni fra gli individui della Comunità Europea e permettere lo sviluppo economico e sociale dei vari Paesi.
La Direttiva Comunitaria mette in risalto la tutela dei diritti e delle libertà fondamentali delle persone fisiche con particolare attenzione alla vita privata e al trattamento dei dati personali. Per questo motivo pone il divieto a tutti gli Stati membri di adottare misure che vietano o restringono la libera circolazione dei dati personali.
Prima di entrare a fondo nell’argomento è bene precisare sommariamente cosa intende la normativa europea con i termini dati personali e trattamento dei dati personali. È un dato personale qualunque informazione riguardante una persona fisica identificata o identificabile mentre l’operazione o l’insieme delle operazioni attuate per gestire i dati personali ossia raccolta, registrazione, organizzazione, conservazione, elaborazione fino ad arrivare alla trasmissione, diffusione e distruzione, prende nome di trattamento dei dati personali.
La normativa, inoltre, individua un soggetto particolarmente importante: il responsabile del trattamento. In questo modo nasce la figura della persona fisica o giuridica ovvero qualsiasi organismo che in autonomia o con altri organi determina le finalità e gli strumenti del trattamento dei dati personali.
Normativa italiana
L’Italia ha recepito la normativa europea con l’emanazione del decreto legislativo n. 196 del 30 giugno 2003 il quale si pone lo scopo di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato con particolare riferimento alla riservatezza, all’identità personale e al diritto della protezione degli stessi dati personali.
La normativa, in pratica dà diritto agli interessati di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano nonché le finalità e le modalità di trattamento. Tale soggetto può richiedere l’aggiornamento, la rettifica, l’integrazione e la cancellazione dei dati.
La richiesta di accesso ai dati va fatta al responsabile del trattamento mediante lettera raccomandata, fax o posta elettronica. Questi, dopo aver verificato l’identità del richiedente, è tenuto ad agevolare l’accesso ai dati personali da parte dell’interessato anche attraverso l’impiego di appositi software per l’elaborazione. Il responsabile, quindi, dovrà estrarre i dati e comunicarli, anche oralmente o offerti in visione mediante strumenti elettronici, al richiedente. Se viene fatta richiesta dovrà provvedere alla trasposizione dei dati su supporti cartacei o informatici ovvero alla trasmissione dei dati per via telematica.
Il responsabile del trattamento si riserva la facoltà di richiedere all’interessato un contributo spese non eccedente i costi effettivamente sostenuti per eseguire la ricerca dello specifico caso.
Regolamento Privacy
Definizione di dati personali
La normativa sulla privacy permette di tutelare il trattamento dei dati personali. Con il termine dati personali si intende qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Sono considerati dati personali sia quelli identificativi veri e propri come il nome, il cognome, la denominazione, l’indirizzo, la fotografia, la registrazione della voce, il filmato, le impronte digitali, sia le informazioni che risultano essere oggettivamente idonee a individuare un determinato soggetto come ad esempio il Codice Fiscale, la Partita IVA, gli estremi del documento d’identità o della patente, le coordinate bancarie o l’indirizzo e-mail.
=> Biometria e controllo accessi: la normativa italiana
La raccolta dei dati tramite moduli o formulari comporta la nascita di diritti per il soggetto che fornisce i dati e di doveri da parte del soggetto che li richiede, li raccoglie e li conserva per utilizzarli successivamente. Ci riferiamo sia alla raccolta tramite moduli cartacei come l’attivazione di una polizza assicurativa, l’apertura di un conto corrente bancario, la sottoscrizione di un mutuo o la formulazione di un’offerta, sia alla compilazione di moduli tramite Internet come ad esempio la raccolta di curriculum o dei nominativi di persone interessate a ricevere proposte commerciali.
Definizione di dati sensibili
Si considerano sensibili i dati personali in grado di rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche e di altro genere, le opinioni politiche, l’adesione a partiti o sindacati nonché ogni dato in grado di rilevare lo stato di salute e la vita sessuale.
La disciplina del trattamento dei dati prevede che per la gestione dei dati sensibili è necessario il consenso dell’interessato e l’autorizzazione del Garante il quale comunica la decisione adottata in base alla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto.
Il Codice della Privacy ha comunque escluso la necessità del consenso scritto per il trattamento dei dati sensibili dei dipendenti quando tale trattamento è necessario ad adempiere a specifici obblighi previsti dalla legge per la gestione del rapporto di lavoro. Pertanto, per il trattamento dei dati necessari per l’ordinaria gestione del rapporto di lavoro non sono necessarie né autorizzazioni del Garante né consensi scritti del lavoratore.
I dati sensibili contenuti in elenchi, registri o banche dati, nel caso in cui sono tenuti con strumenti elettronici, devono essere trattati con tecniche di cifratura affinché vengano resi inintelligibili.
=> Privacy non sia alibi per licenziamento: sentenza Cassazione
Trattamento dei dati personali
All’attualità il rischio più grande in tema di protezione dei dati personali è quello di perdere il controllo su tutti quei dati oggetto di esternalizzazione delle banche dati aziendali per essere ospitate presso reti di data center gestiti da terzi.
A dire il vero il decreto legislativo n. 196/2003 non tutela le banche dati (che invece sono tutelate dalla legge sul diritto d’autore) ma piuttosto il trattamento dei dati personali. Questo significa che il Codice della Privacy tutela i dati personali anche se non organizzati o registrati in una banca dati.
Il trattamento dei dati consiste in tutte le operazioni relative ai dati compiute anche senza l’ausilio di strumenti elettronici e può essere suddiviso in 2 grandi categorie a seconda che siano rivolti all’interno o all’esterno della struttura del titolare del trattamento.
=> Guida alla sicurezza dei dati in azienda
Il trattamento delle informazioni nei rapporti con l’interno comprende le varie operazioni effettuate da chi raccoglie informazioni stesse al fine di organizzarle e renderle fruibili da se stessi o da altri soggetti autorizzati. Queste operazioni possono essere sintetizzate in: raccolta, registrazione su supporti informatici o cartacei, organizzazione ossia il processo del trattamento che ne favorisce la fruibilità, conservazione, consultazione, elaborazione, selezione, modifica e cancellazione.
Il trattamento delle informazioni nei rapporti con l’esterno comprende una serie di trattamenti che se applicati in maniera errata potrebbero portare ad una violazione della privacy e, nello specifico, riguardano l’utilizzo dei dati personali. I dati possono essere diretti a instaurare un rapporto con la persona cui si riferiscono oppure possono essere messi a disposizione di terzi.
Privacy all’interno dell’azienda
In ambito aziendale i dati personali sono presenti ovunque per lo svolgimento dell’attività d’impresa: dall’ufficio Personale a quello Commerciale, all’Amministrazione, agli Archivi, al Magazzino e all’Ufficio Tecnico. In effetti questa diffusione dei dati personali non può costituire elemento di criticità a condizione che siano gestiti a norma di legge.
La gestione e il trattamento dei dati personali per certi versi possono rappresentare dei costi per l’azienda. Pertanto è necessario che l’impresa razionalizzi i dati da raccogliere e da conservare. In questo modo riuscirà a comprendere quali dati sono necessari e quali non lo sono. Questo perché la normativa italiana tutela tutte le informazioni in possesso del titolare del trattamento, anche quelle inutili.
Figure previste dalla normativa
Titolare del trattamento
La normativa italiana di tutela della Privacy oltre al soggetto interessato a cui si riferiscono i dati personali prevede anche una serie di figure coinvolte nell’intero processo di acquisizione e trattamento dei dati. Ad alcuni di questi soggetti viene affidato un particolare compito affinché il trattamento dei dati sia corretto. Il primo soggetto di cui parleremo è il titolare del trattamento.
Come specificato dall’articolo 28 del Codice della Privacy, il titolare del trattamento è l’entità che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Titolare del trattamento può essere una persona fisica ossia l’imprenditore o giuridica ossia la società stessa. In tal caso ogni responsabilità cadrà in capo alle persone fisiche che hanno la rappresentanza legale pro tempore o che hanno avuto una delega formale.
=> Offerte commerciali su Social e Mobile: le regole del Garante Privacy
Compito del titolare del trattamento è quello di rispettare gli obblighi in materia di protezione dei dati, osservare le scadenze predisponendo la modulistica richiesta, aggiornando e monitorando costantemente l’attuazione delle prescrizioni.
Il titolare del trattamento può designare uno o più responsabili del trattamento a cui impartire specifiche istruzioni. Resta inteso che dovrà ugualmente vigilare sul corretto operato dei responsabili. Dovrà, inoltre, attivare e controllare periodicamente il sistema di sicurezza per il trattamento dei dati, inviare l’informativa a clienti, fornitori e a tutti coloro di cui tratta i dati, rispettare l’esercizio dei diritti dell’interessato, predisporre e sottoscrivere l’eventuale notifica al Garante, formare i propri collaboratori in merito alla gestione dei dati personali, decidere se adottare ulteriori misure di sicurezza non previste dal codice Privacy.
Il titolare del trattamento è chiamato a rispondere di ogni omissione o violazione anche con pesanti sanzioni amministrative e penali.
Responsabile del trattamento
Come già accennato, il responsabile del trattamento è una figura, nominata dal titolare del trattamento, che collabora attivamente per dare piena attuazione alla normativa all’interno dell’impresa.
Il responsabile del trattamento deve essere individuato con atto scritto nel quale vanno indicati dettagliatamente i compiti affidati e le istruzioni impartite. La normativa prevede che nell’individuazione del responsabile del trattamento occorre far riferimento a soggetti che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
In merito a questa figura la normativa prevede obblighi specifici ma altrettante libertà: la presenza del responsabile del trattamento in azienda è facoltativa, non viene stabilito il numero dei responsabili da nominare all’interno di una struttura organizzativa, non è stabilito se il responsabile deve essere un soggetto interno o esterno all’azienda. Tutto ciò è di esclusiva discrezionalità dell’impresa. Se nominato, il responsabile del trattamento può essere chiamato a rispondere sia civilmente che penalmente per il suo operato.
=> Privacy Internet: giro di vite anche per le PMI
Incaricato del trattamento
Chi compie materialmente le operazioni di trattamento dei dati su incarico del titolare prende nome di incaricato del trattamento. Questi opera sotto l’autorità del titolare attenendosi alle disposizioni impartite. L’incaricato non ha alcun potere decisionale poiché è previsto che esegua esclusivamente le indicazioni impartite, può accedere ai soli dati personali necessari per il corretto svolgimento della propria attività lavorativa.
Sono incaricati del trattamento tutti i soggetti che trattano dati personali per conto dell’azienda indipendentemente dal rapporto che li lega all’impresa. Resta inteso che anche gli incaricati, così come i responsabili, devono essere nominati per iscritto tramite una lettera contenente l’indicazione dei dati ai quali potranno accedere e le istruzioni per il corretto trattamento degli stessi. Dovranno, inoltre, ricevere adeguata formazione.
Amministratore del sistema informativo
La normativa sulla Privacy non prevede che debba essere obbligatoriamente nominato un amministratore del sistema informativo. Resta il fatto che è compito del titolare del trattamento provvedere all’obbligo di assicurare la custodia delle componenti riservate delle credenziali di autenticazione nonché provvedere a realizzare copie di backup e gestire i sistemi di autenticazione e autorizzazione.
Poiché nelle grandi aziende questa figura risulta essere praticamente necessaria e non essendo prevista in maniera obbligatoria dalla normativa, solitamente si nomina un incaricato del trattamento a cui vengono dati i compiti di responsabilità al settore informatico o attribuendo compiti specifici in merito all’individuazione e all’implementazione delle misure di sicurezza informatiche.
Nel caso in cui l’azienda non debba avere risorse in grado di svolgere tale funzione potrà fare riferimento a soggetti esterni quali la software house che ha realizzato il sistema informatico o che ha in gestione la manutenzione hardware e software.