Blog :

Le intercettazioni e le registrazioni audio-video di conversazioni: differenze ed utilizzabilità in giudizio

Le intercettazioni e le registrazioni audio-video di conversazioni: differenze ed utilizzabilità in giudizio

 

Sempre più di frequente, al fine di difendersi in giudizio, si ricorre all’utilizzo di dispositivi tecnologici per registrare conversazioni a cui si partecipa. La domanda dunque sorge spontanea: si possono utilizzare nel processo le prove così ottenute?

La sentenza della Seconda Sezione Penale della Corte di Cassazione del 10 giugno 2016 n. 24288, muovendo dal dispositivo delle Sezioni Unite n. 36747/2013, conferma un orientamento ormai consolidato degli Ermellini, sostenendo la spendibilità in sede giudiziaria della registrazione di una conversazione effettuata da uno dei presenti.

Nel bilanciamento tra la tutela della privacy dei partecipanti alla conversazione e la di tutela di un diritto, è quest’ultima a prevalere, ovviamente al verificarsi di determinate condizioni.

Prima di ogni altra argomentazione, è utile distinguere tra intercettazioni e registrazioni. Come noto, le intercettazioni di conversazioni tra presenti sono utilizzabili solo se autorizzate da decreto motivato del giudice per le indagini preliminari. Mentre le registrazioni, cui ci stiamo riferendo, sono esclusivamente quelle effettuate da un privato di sua iniziativa. Inoltre, una delle caratteristiche principali delle intercettazioni è l’essere effettuate da soggetti estranei alla conversazione; al contrario, la registrazione tra presenti è effettuata da uno dei soggetti che vi partecipa attivamente.

Non sono quindi paragonabili ad intercettazioni le registrazioni di conversazioni realizzate da uno dei partecipanti al dialogo, considerato che difetta, in tale circostanza, l’occulta percezione del contenuto discorsivo da parte di soggetti terzi, concretizzandosi, semplicemente, la memorizzazione fonica di notizie facoltativamente fornite e lecitamente apprese, con l’effetto che le registrazioni su nastro magnetico possono essere legittimamente acquisite durante il processo quali prove documentali.

La legittimità della registrazione sta proprio nell’essere parte attiva della conversazione registrata; difatti “chi dialoga accetta il rischio che la conversazione sia registrata”1. In altri termini, partecipando ad un dialogo con un’altra persona, si è consapevoli della possibilità che questo venga documentato tramite registrazione. Tale attività, per la giurisprudenza, altro non è che la memorizzazione fonica di un fatto di cui si è stati parte e come tale, considerata prova documentale spendibile in sede giudiziaria ai sensi dell’art. 234 c.p.p., oltreché in sede civile.

Diverso è il caso in cui la registrazione, pur eseguita da un privato durante una conversazione, avvenga su indicazione delle forze dell’ordine ed avvalendosi degli strumenti messi a disposizione dalla polizia giudiziaria stessa.

In tale circostanza, sottolinea la Cassazione, “si è ritenuta, invece, l’inutilizzabilità di registrazioni di conversazioni effettuate, in assenza di autorizzazione del giudice, da uno degli interlocutori dotato di strumenti di captazione predisposti dalla polizia giudiziaria”2. La ratio della citata sentenza sta nella necessità di ricorrere esclusivamente a strumenti tipici previsti dalla legge per comprimere un bene garantito dalla Costituzione, vale a dire la segretezza delle comunicazioni. Quindi, un provvedimento motivato dell’autorità giudiziaria, rappresentando quella tutela minima, sanerebbe l’inutilizzabilità della prova, rendendone di conseguenza lecita l’acquisizione al processo3.

Altro caso è rappresentato dalla circostanza in cui la registrazione della conversazione venga effettata da un soggetto che vi partecipi per un breve arco temporale4. In altre parole, se la persona che sta registrando si allontana e continua a lasciare attiva la registrazione, ciò che è avvenuto durante la sua assenza non sarà utilizzabile, in quanto non lecitamente captato. In questa circostanza dunque, le prove così acquisite saranno considerate inutilizzabili in quanto ottenute tramite interferenza illecita nella vita privata, punita a norma dell’art. 615 c.p.5, con la reclusione da sei mesi a quattro anni.

Una volta stabilito che la registrazione, effettuata con le modalità su indicate, non integri la fattispecie di trattamento illecito di dati, occorrerà chiedersi se vi siano limiti alla sua diffusione.

La diffusione delle registrazioni è lecita unicamente qualora vi sia il consenso dell’interessato o si agisca per tutelare un diritto, ad esempio nel caso in cui si faccia ascoltare al proprio avvocato o alle forze dell’ordine al fine di sporgere denuncia. La registrazione può essere utilizzata non solo per difendere un proprio diritto, ma anche quello di un terzo; sarà il giudice ad acquisirla quale prova documentale ed a valutarne l’attendibilità.

Con l’auspicio di aver contribuito a sintetizzare una tematica complessa e continuamente all’attenzione della giurisprudenza, diamo appuntamento ad un prossimo contributo per l’approfondimento della fattispecie di reato di cui all’art. 615-bis c.p., in particolare connessa ai reati aziendali.

Per saperne di più leggete questo interessantissimo articolo.

5 A condizione che la registrazione avvenga nei luoghi indicati dall’art. 614 cp, vale a dire nell’abitazione o in altro luogo privato di dimora.

La videosorveglianza e la privacy dopo il Jobs Act

La videosorveglianza e la privacy dopo il Jobs Act

Come regolarizzare l’installazione e l’impiego illecito di impianti audiovisivi accertati nel corso di ispezioni.

Moltissimo è stato scritto in tema di videosorveglianza all’indomani della riforma del famigerato art. 4 dello Statuto dei Lavoratori, strettamente connesso alle disposizioni dettate dal Codice della Privacy per le implicazioni sul rispetto di principi fondamentali della dignità e della libertà individuale dei lavoratori in ipotesi di trattamento dei dati personali ad essi riconducibili (immagini).

Ma al di là delle apparenti “formali” differenze nel testo del citato art. 4 rispetto al previgente (ante 25 settembre 2015), ciò che più interessa di questa riforma è l’eliminazione del divieto assoluto di installare apparecchi audiovisivi all’interno degli ambienti di lavoro, in presenza di lavoratori, oltre che l’aver sancito, per norma, la possibilità di installare videocamere per finalità di difesa del patrimonio dell’azienda, utilizzando le immagini in tutte le fasi del rapporto di lavoro – anche di carattere disciplinare.

Naturalmente, stante esigenze di tutela della riservatezza dei dati personali dei lavoratori, la norma, oltre a dettare quale presupposto legittimante l’installazione, l’accordo sindacale o, in mancanza, l’autorizzazione della Direzione Territoriale del Lavoro competente per territorio (non mi dilungo su quest’aspetto), prescrive lo stretto rispetto della normativa privacy, oggetto di adeguata informazione, allorquando occorrerà utilizzare i dati raccolti mediante l’utilizzo degli impianti audiovisivi o di altri strumenti per fini connessi al rapporto di lavoro.

Dunque, due ordini di “paletti” normativi fissati dalla nuova formulazione del già citato articolo 4: al 1° comma, in continuità con la norma ante Jobs act – ad eccezione di quanto sopra precisato – e l’altro, invece, al 3° comma, totalmente nuovo rispetto al vecchio testo e che qui si riporta: “ Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.”.

In altri termini, il Legislatore, mutuando da orientamenti giurisprudenziali della Suprema Corte di Cassazione e da Provvedimenti del Garante della Privacy, ha sintetizzato in un’unica norma di precetto la disciplina dell’utilizzo di sistemi audiovisivi, e la sanzione implicita, quale conseguenza della mancata osservanza del precetto stesso.

Ma quali sono le ulteriori conseguenze nel caso di violazione alla disciplina contenuta nell’art. 4 citato, oltre a quanto “implicitamente” previsto e sopra riportato?

In virtù di consolidato orientamento della giurisprudenza della Suprema Corte di Cassazione e dei Provvedimenti dell’Autorità Garante della Privacy, è ormai chiarita l’illegittimità dell’installazione di impianti di videosorveglianza senza che sia intervenuto, preventivamente, l’accordo con le rappresentanze sindacali o, in mancanza, dell’autorizzazione della Direzione Territoriale del Lavoro.

Dunque, come chiaramente espresso dalla Cassazione in una delle note sentenze in materia, “l’idoneità degli impianti a ledere il bene giuridico protetto, cioè il diritto alla riservatezza dei lavoratori, emerge ictu oculi dalla lettura del testo normativo – idoneità che peraltro è sufficiente anche se l’impianto non è messo in funzione, poiché, configurandosi come un reato di pericolo, la norma sanziona a priori l’installazione, prescindendo dal suo utilizzo o meno”. Né vale ad evitare la responsabilità penale il consenso, ancorché unanime, dei lavoratori all’installazione delle telecamere nei luoghi di lavoro; addirittura, si è chiamati a rispondere a titolo di reato anche nel caso di telecamere “finte” montate solo per dissuadere il malintenzionato che vuole arrecare un danno.

Di recente, anche il Ministero del Lavoro e delle Politiche Sociali, conformemente a quanto sinora riportato, con Circolare datata 1° Giugno u.s. si è pronunciato sia sul tenore letterale del più volte citato art. 4 dello Statuto dei Lavoratori, sia sui modi e tempi di ottenimento o richiesta dell’accordo sindacale o dell’autorizzazione della Direzione Territoriale del Lavoro, ponendo in evidenza anche gli effetti della “prescrizione” ( o anche, in gergo comune, diffida ) che il personale ispettivo impartisce al rappresentante legale dell’azienda contravventore, nel corso di ispezioni e all’esito di verifiche dalle quali scaturisce l’installazione e l’utilizzo illegittimo di impianti audiovisivi.

Proprio in base al combinato disposto di cui all’art. 171 del Codice della Privacy che, per gli effetti sanzionatori, rinvia all’art. 38 dello Statuto dei Lavoratori e dell’art. 20 del D.lgs. 758/1994, si evince che, salvo non venga configurato un reato più grave, la sanzione dell’ammenda da Euro 154 a Euro 1.549 o dell’arresto da 15 giorni ad un anno può essere “sanata” adempiendo alla “prescrizione” di cui sopra.

In particolare, il citato art. 20, nello statuire la possibilità di eliminazione della contravvenzione accertata in virtù di apposita prescrizione impartita dal personale ispettivo in veste di Polizia Giudiziaria, definisce anche un limite massimo di sei mesi, non prorogabile per più di una volta per poter adempiere e comunque in presenza di una “particolare complessità o per l’oggettiva difficoltà, dell’adempimento”.

Se poi specifiche circostanze non imputabili al contravventore determinano un’ulteriore ritardo nella regolarizzazione, il termine di sei mesi può essere prorogato per ulteriori sei mesi a richiesta del contravventore medesimo, con provvedimento motivato che dovrà essere immediatamente comunicato al pubblico ministero.

Dunque, se da un lato la prescrizione detta le attività che il contravventore dovrà porre in essere per regolarizzare l’illecito accertato (smantellamento del sistema di videosorveglianza installato ante accordo sindacale o richiesta di autorizzazione alla Direzione Territoriale del Lavoro e contestuale proposta di accordo o autorizzazione ai sensi dell’art. 4 cit.) nei tempi indicati nella prescrizione medesima e tenendo fede a quanto indicato nell’alinea che precede, dall’altro lato resta l’obbligo del personale ispettivo, in veste di Polizia Giudiziaria, di riferire al pubblico ministero la notizia di reato secondo le previsioni del codice di procedura penale; il procedimento viene sospeso dal momento dell’iscrizione nel registro delle notizie di reato e fino al verificarsi di una delle cause di estinzione o di riavvio del procedimento medesimo (adempimento o inadempimento alla diffida).

Ciò detto, vediamo più nel dettaglio come si sviluppa la fase processuale penale e quella amministrativa a seguito dell’accertata violazione e dei termini di regolarizzazione della prescrizione.

Se il contravventore adempie alla prescrizione nei termini fissati dall’organo di vigilanza che la emette, nei successivi trenta giorni, il contravventore medesimo verrà ammesso a pagare, in via amministrativa, una sanzione pecuniaria pari a un quarto del massimo dell’ammenda stabilita di Euro 387,00 (trecento ottantasette), con successiva comunicazione al pubblico ministero del pagamento della sanzione e dell’adempimento di quanto prescritto, sempre a cura dello stesso organo di vigilanza. Ovviamente, tali circostanze, testè indicate, produrranno l’estinzione del reato con richiesta di archiviazione del procedimento a cura del pubblico ministero procedente.

Qualora il pubblico ministero acquisisca la notizia di reato di propria iniziativa o la riceva da privati, ovvero da altri pubblici ufficiali diversi dall’organo di vigilanza preposto per legge a tali tipologie di controllo, informa immediatamente l’organo di vigilanza per l’eventuale emissione della già citata prescrizione e al fine di eliminare la contravvenzione. Naturalmente, ed è questo il caso più delicato, se l’organo di vigilanza non assume alcuna iniziativa ovvero omette di informare il pubblico ministero circa le proprie determinazioni, il procedimento riprende il suo corso, fino a conclusione delle indagini preliminari e con l’avvio delle ulteriori fasi processuali.

È del tutto evidente che, qualora intervenga la sigla dell’accordo sindacale oppure l’autorizzazione della Direzione Territoriale competente nell’arco del periodo di tempo fissato dall’organo di vigilanza utile ad eliminare la contravvenzione, il contravventore sarà ammesso a pagare la sanzione amministrativa di Euro 387 nel termine di trenta giorni e il procedimento verrà archiviato per intervenuta estinzione dell’illecito penale.

E allora avviamoci alle conclusioni.

Se è vero che ( “salvo che il fatto non costituisca reato più grave” ) l’illecito penale generato dalla violazione del precetto di cui all’art. 4 dello Statuto dei Lavoratori è sanzionato con una pena assolutamente blanda e di semplice “gestione” processuale, ciò che invece gli addetti ai lavori più attenti non sottovalutano sono le ulteriori conseguenze civilistiche per il risarcimento del danno richiesto dal soggetto nei cui confronti è stato posto in essere un trattamento illecito dei dati, atteso che tale trattamento è configurabile quale “attività pericolosa” e dunque annoverabile tra i fatti giuridici potenzialmente idonei a produrre un risarcimento (art. 2050 c.c.).

Da ultimo si evidenziano le implicazioni – in termini di risonanza anche mediatica – connesse alla pubblicazione della sentenza di condanna, nei casi più gravi, da parte del giudice, secondo le modalità e tempistiche definite nel codice penale.

Privacy e Social Network: quali le modifiche apportate dal nuovo Regolamento?

Privacy e Social Network: quali le modifiche apportate dal nuovo Regolamento?

L’ARGOMENTO

In un mondo oramai intensamente globalizzato e tecnologico, l’utilizzo di social network è all’ordine del giorno. Verso la fine del 2015, solo nell’Unione Europea, gli utenti con un account Facebook si aggiravano attorno ai 237 milioni1, ciò ad indicare l’ormai imponente diffusione di social network fra la numerosa popolazione europea. Quasi ognuno di noi è in possesso almeno di un social network (Facebook, Twitter e Instagram fra i più popolari) e vi accede con regolarità ogni giorno da dispositivi fissi e mobili in un contesto prettamente personale o domestico (e quindi non per scopi commerciali o professionali).

LE REGOLE

Ora, l’approvazione e la conseguente pubblicazione, il 4 Maggio scorso, del nuovo Regolamento Privacy 2016/679 ha apportato diverse e interessanti novità circa la protezione dei dati personali. Tenendo in considerazione il fatto che il Regolamento va ad abrogare la precedente Direttiva sulla Protezione dei Dati Personali del 1995, periodo in cui i social network erano solo un’idea lontana, è bene valutare quali sono le particolari disposizioni adottate in relazione all’utilizzo quotidiano di social network da parte degli utenti Europei. In base ad una prima e superficiale lettura della normativa, si comprende che il Regolamento non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di un’attività a carattere esclusivamente personale o domestico2 e che fra tali attività potrebbero essere comprese la corrispondenza e gli indirizzari o l’utilizzo di social network e attività online3. Sembrerebbe, dunque, che tale Regolamento non si applichi all’utilizzo di social network e attività online da parte di un qualsiasi utente che vi accede più volte durante la giornata. Una più attenta lettura, invece, evidenzia una specifica disposizione in materia nella quale viene sottolineato che “tuttavia il presente Regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”4. In sostanza, dunque, la contraddizione risulta essere solo apparente: il Regolamento non è destinato a due ipotetici utenti nell’ambito di una loro attività privata, ma si applica comunque al soggetto terzo (Facebook o qualsiasi piattaforma social) che fornisce i mezzi per comunicare fra loro e che quindi svolge il ruolo di titolare del trattamento.

Dato l’elevato rischio di erronea interpretazione circa la validità del Regolamento, è bene sottolineare come, anche e soprattutto a livello nazionale, vi siano già precise disposizioni in materia. Infatti, l’Articolo 5 comma 3 del Codice della Privacy prevede che il trattamento effettuato da persone fisiche per fini personali è soggetto all’applicazione del Codice stesso nel caso in cui i dati siano destinati ad una comunicazione sistematica (condizione evidentemente applicabile al funzionamento dei social network).

D’altra parte, invece, il Regolamento introduce un’importante novità che va considerata in modo da comprendere cosa comporti la chiusura di un account social e dunque la terminazione di un trattamento di dati personali concessi ad una qualsiasi piattaforma: il diritto alla portabilità dei dati personali. In sostanza, tale diritto prevede che l’interessato riceva i dati personali che lo riguardano forniti al titolare di un certo trattamento e li possa trasmettere, senza alcun impedimento, ad un altro titolare, solamente nel caso in cui il trattamento sia stato effettuato sulla base di un consenso esplicito e con mezzi automatizzati. Il Regolamento precisa anche che, qualora sia tecnicamente fattibile, l’interessato potrebbe anche avere il diritto di ottenere che i dati personali vengano trasmessi direttamente da un titolare di trattamento ad un altro. Nel caso dei social network i dati forniti dall’utente al momento dell’iscrizione necessitano forzatamente di un consenso esplicito e vengono trattati con mezzi automatizzati dal provider del servizio social. È chiaro, dunque, che le condizioni di consenso esplicito e trattamento automatizzato di dati siano applicabili ai social network e che possa essere fatto valere il diritto alla portabilità dei dati. Conseguentemente, in base a tale disposizione, nel momento in cui un qualsiasi utente iscritto ad uno specifico social network decida di cancellare il proprio account, potrà richiedere che i propri dati vengano ricevuti e trasferiti ad un altro titolare e che non vengano conservati ‘a vita’ da un social provider.

Dunque, nell’ottica di una maggiore tutela della privacy degli utenti iscritti, cosa prevede la policy dei vari social network circa i diritti alla portabilità ed alla cancellazione dei dati?

Effettuare un breve excursus specificamente su Facebook, il social network più diffuso a livello europeo e mondiale, è utile per comprendere quale sia la sua specifica policy in materia di privacy e come il diritto Europeo influenzi il suo operato ai fini della tutela dei dati personali forniti da un qualsiasi utente iscritto.

Facebook prevede una precisa policy riguardo il trattamento dei dati5, in cui sono specificate le tipologie di informazioni raccolte, le modalità di utilizzo e condivisione, nonché di gestione ed eliminazione dei dati. Facebook raccoglie varie informazioni sull’utente iscritto, fra cui le attività eseguite e le informazioni fornite alla piattaforma, le reti utilizzate e le connessioni effettuate, i dati riguardo i dispositivi dai quali avviene l’accesso (comprese posizioni geografiche, bluetooth, wifi, indirizzi IP, numero di cellulare ecc.), nonché notizie provenienti da partner terzi, siti web e applicazioni che utilizzano i servizi Facebook. Tali informazioni raccolte vengono utilizzate per fornire e migliorare le proprie prestazioni, proporre all’utente servizi e inserzioni pubblicitarie, nonché per implementare la sicurezza dei servizi offerti.

Le informazioni fornite dall’utente possono essere condivise con le persone abilitate a visualizzare i contenuti postati dall’utente, con applicazioni, con le aziende di Facebook, con clienti e partner terzi e in maniera particolare con fornitori di servizi e altri partner cosi come con aziende specializzate in servizi pubblicitari, di misurazione e analisi. Rispetto a questi ultimi, Facebook comunica alcune informazioni dell’utente in modo che gli vengano offerte pubblicità efficaci in base ai propri gusti personali.

I propri dati personali possono essere eliminati in maniera definitiva dal social network?

Vi sono due opzioni previste da Facebook in relazione alla disattivazione e all’eliminazionedefinitiva di un account6. Nel primo caso l’utente disattiva temporaneamente l’account e le informazioni le quali, nonostante per la maggior parte non siano visibili agli altri utenti ‘amici’, restano comunque ancora trattenute dalla piattaforma. Nel secondo caso, invece, l’utente può richiedere una cancellazione totale dei propri dati tale per cui non potrà più accedere al proprio account.

IL CASO ED IL PROVVEDIMENTO DEL GARANTE

Nonostante quanto previsto dalle disposizioni in materia di diritto alla cancellazione dei propri dati personali finora analizzate, non sono mancate dispute circa la protezione dei dati personali. Uno dei casi più recenti in Italia risale all’ 11 Febbraio scorso, giorno in cui il Garante per la privacy ha emanato un provvedimento nei confronti di Facebook in seguito alla segnalazione da parte di un utente il quale lamentava di aver subito forme di ricatto economico da parte di un soggetto ignoto, il quale, di fronte al rifiuto di corrispondergli la somma ingiustamente richiesta, ha creato un falso profilo dell’utente utilizzando foto e dati personali per interagire con altri contatti mediante messaggi con carattere diffamatorio (alcuni di questi contenenti fotomontaggi pedopornografici). A parte gli illeciti penali interessati dal caso, l’utente ha tentato di ottenere la rimozione delle false foto tramite il servizio offerto dal social network e la loro comunicazione in forma leggibile, il blocco dei dati trattati e l’opposizione ad un ulteriore trattamento. Facebook ha risposto in modo insufficiente all’utente richiedendogli di scaricare una copia del proprio account registrato dal servizio ‘download tool’. Proprio per tale assenza di rispetto per la privacy, il Garante ha emanato un provvedimento a riguardo in cui ha ordinato a Facebook di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione a entrambi i profili Facebook aperti a suo nome, di fornire all’interessato informazioni  circa l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, cosi come i soggetti o le categorie di soggetti che possono venirne a conoscenza; di non effettuare, con effetto immediato dalla data di ricezione del provvedimento, alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account.

LA TUTELA DELLA PRIVACY

È comunque doveroso sottolineare la crescente tutela offerta in materia di privacy da parte del diritto europeo; esso prevede che le piattaforme con sede ufficiale in un paese terzo rispettino comunque la legislazione Europea, vista la presenza di titolari del trattamento sul territorio comunitario. Con riferimento ai social, in maniera particolare a Facebook, una sentenza di un tribunale USA ha stabilito che la funzione del riconoscimento facciale proposta dal social network viola la privacy. Nell’ambito dell’Unione Europea, invece, già dal 2012,Facebook si è visto costretto a disabilitare il contenuto facciale in seguito alle riserve della Commissione irlandese per la protezione dei dati personali. Ciò a dimostrare come i social network siano costretti a rapportarsi non solo con il sistema privacy della propria sede legale estera, ma anche e soprattutto con altri sistemi legalmente autonomi in materia (di cui l’Unione Europea risulta essere l’esempio emblematico).

Proprio per tale motivo è necessario che le piattaforme social si adattino alle varie normative Europee promuovendo il rispetto delle stesse cosi come una ferma collaborazione con le istituzioni e le autorità di controllo dei vari Stati membri. D’altra parte, è altresì essenziale che l’Unione Europea si adoperi per una maggiore tutela nei confronti degli utenti socialadottando specifici provvedimenti nei confronti del trattamento di dati personali di milioni di utenti attivi in tutta Europa e facilitando una minore contraddizione normativa in riferimento alla protezione dei dati e alla loro portabilità e/o cancellazione al momento della chiusura di un account.

1 Internet Usage in the European Union, http://www.internetworldstats.com

2 Articolo 2, Regolamento 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

3 ‘Considerando’ 18, Regolamento 2016/679

4 ‘Considerando’ 18, Regolamento 2016/679

5 Facebook, Data Policy: https://www.facebook.com/privacy/explanation

6 Facebook Help Center, “ What’s the difference between deactivating and deleting my account? “

La trasferibilità dei dati personali all’estero.<BR>Il safe harbour ed il privacy shield

La trasferibilità dei dati personali all’estero.
Il safe harbour ed il privacy shield

L’esigenza delle aziende e di altri operatori economici di essere sempre più orientati allo sviluppo produttivo, e quindi competitivi sul mercato, passa inesorabilmente attraverso l’utilizzo di sistemi globali per la gestione dei dati, tramite l’implementazione di nuove tecnologie e di procedure standardizzate: è inevitabile che questi sviluppi conducano a un accrescimento della mobilità e accessibilità dei dati personali oltre i confini nazionali e, tra meno di due anni, oltre i confini europei.

Il trasferimento di dati personali all’estero è permesso qualora riguardi Stati appartenenti all’Unione Europea (UE) ed allo Spazio Economico Europeo (SEE1); è vietato, in linea di principio, qualora rivolto a Paesi terzi.

Ovviamente, al fine di non incorrere nella paralisi dello scambio di dati e del mercato internazionale, sono previsti specifici casi di deroga a tale divieto: il trasferimento di dati verso paesi extra UE è autorizzato qualora sussista una delle condizioni previste dalla legge, di seguito indicate, o vi sia un’autorizzazione da parte dell’Autorità Garante.

Più nello specifico, le circostanze in cui la norma consente il trasferimento dei summenzionati dati, sono rappresentate dai casi in cui:

  • l’interessato abbia manifestato il proprio consenso;

  • il trasferimento sia necessario per l’esecuzione di obblighi derivanti da contratto, per la salvaguardia dell’incolumità pubblica o di un terzo, per lo svolgimento di investigazioni difensive o comunque per far valere un proprio diritto in sede giudiziaria

  • la trasmigrazione sia effettuata in accoglimento di una richiesta di accesso a documenti amministrativi.

Ma cosa accade qualora lo Stato terzo, ove si intendono esportare i dati, non offra adeguate garanzie di tutela?

Per contravvenire a tale inconveniente è possibile stipulare contratti con clausole standard, approvati dalla Commissione Europea, tramite i quali il Paese esportatore di dati assicuri la presenza dello stesso livello di tutela specifica, richiesta dalla normativa europea, anche nello Stato in cui i dati sono diretti.

Inevitabilmente, il problema sollevato dalla questione del trasferimento dei dati personali verso Paesi extra UE\SEE ha grandi ripercussioni sulle dinamiche aziendali. Sovente accade che, all’interno di uno stesso gruppo societario, vi sia da una parte la necessità di trasferire verso Stati extra UE\SEE dati personali – inerenti a dipendenti, fornitori clienti e così via – nel modo più rapido ed efficace possibile, e dall’altra parte la necessità di garantire che tale trasferimento sia rispettoso della norma.

La risposta a tale esigenza delle aziende risiede nelle Binding Corporate Rules (di seguito BCR) : le aziende appartenenti ad un medesimo gruppo possono dotarsi di una policy contenente regole di condotta relative al trattamento dei dati personali all’interno dello stesso gruppo, le quali consentano di trasferire dati personali fra le società del gruppo residenti in diverse aree geografiche, nel rispetto delle garanzie fissate dalla normativa privacy.

L’iter per l’approvazione delle BCR prevede che l’autorizzazione sia rilasciata da tutte le Autorità competenti presenti nei singoli Stati da cui originano i trasferimenti di dati; pertanto è stata predisposta una “procedura di mutuo riconoscimento”, grazie alla quale una lead Autorithy, ovvero un’unica Autorità garante, può esaminare la richiesta e procedere all’approvazione. Ciò nonostante, le singole aziende facenti parte di un gruppo multinazionale e stabilite in Italia, dovranno comunque richiedere specifica autorizzazione al Garante Privacy italiano qualora intendano trasferire dati dall’Italia verso paesi extra UE.

Le clausole fissate nelle BCR rappresentano uno strumento attraverso il quale le aziende recepiscono regole e norme, rendendole vincolanti nei confronti di tutte le società facenti parte del medesimo gruppo. All’interno delle BCR è necessario individuare limiti geografici e oggettivi, ovvero i dati trattati, i soggetti coinvolti e le finalità perseguite, assumendo così le stesse BCR la veste di vere e proprie privacy policy societarie.

Dal 1 gennaio 2013, – a seguito dell’approvazione di una nuova procedura da parte dei Garanti per la privacy dei Paesi UE riuniti nel cd. Gruppo “Articolo 29” – possono fare ricorso alle BCR anche quei gruppi multinazionali che trattano i dati personali per conto dei propri clienti, in qualità di responsabili esterni del trattamento, come nel caso di fornitori di servizi di outsourcing o di cloud computing. Tali società possono far approvare le proprie “BCR for Processor”.

Quindi, qualora un’azienda con sede in Italia decida di far trattare dati personali in outsourcing da una multinazionale con sede fuori dallo spazio UE, potrà trovare garanzia nel fatto che la multinazionale abbia predisposto una “BCR ” approvato dall’UE e dai singoli Stati interessati, dimostrando il tal modo la conformità della propria privacy policy alla normativa.

Recentemente, la questione inerente la trasmigrazione dei dati ha superato la dimensione dei gruppi societari ed ha investito i rapporti tra Unione Europea e Stati Uniti d’America: dopo due anni di negoziazioni, il 2 febbraio 2016, la Commissione Europea ed il Dipartimento del Commercio americano hanno raggiunto un accordo in merito, sottoscrivendo il nuovo “Privacy Shield” -divenuto necessario dopo la dichiarazione di invalidità del vecchio accordo, il “Safe Harbour”, intervenuta con la decisione del 6 ottobre 2015 della Corte Europea di Giustizia-.

Quali sono le novità più rilevanti che segnano un passo in avanti nella tutela dei dati esportati negli USA? A presidio dell’effettività di questo nuovo accordo, vi è un vero e proprio “scudo” il quale prevede sanzioni, esclusioni in caso di inadempienza, il divieto di accesso ingiustificato e massificato ai dati, la possibilità di proporre un ricorso avverso i trattamenti ed infine un monitoraggio annuale sul funzionamento del Privacy Shield.

La sfida di questo nuovo accordo sta nel cercare di ristabilire la fiducia degli europei nel trasferimento dei propri dati oltreoceano, passando dalle autocertificazioni del Safe Harbour agli obblighi vincolanti previsti dal Safety Shield; di fatto, le autorità statunitensi, per la prima volta, hanno formalizzato il proprio impegno a far rispettare il nuovo accordo.

Ciò è ancora più evidente se si considera l’intervento del Garante Europeo per la privacy che, proprio qualche giorno fa, si è espresso sul testo dell’Accordo evidenziando la necessità di “miglioramenti significativi” nel prevedere una più definita protezione dei dati riferiti ai cittadini europei.

Non resta che attendere la decisione finale della Commissione che dovrà valutare l’impatto del Privacy Shield rispetto a quanto osservato dal Garante Europeo.

1 Gli Stati facenti parte dello SEE sono, oltre agli stati della EU, anche la Norvegia, l’Islanda e il Liechtenstein.

Il Data Protection Officer: le novità del nuovo Regolamento Europeo sulla Protezione dei Dati Personali

Il Data Protection Officer: le novità del nuovo Regolamento Europeo sulla Protezione dei Dati Personali

È stata ufficializzata, con il nuovo Regolamento sulla protezione dei dati personali, pubblicato in data 4 Maggio 2016, la figura del Data Protection Officer o Responsabile della Protezione dei Dati (qui di seguito DPO), il quale interesserà sia la Pubblica Amministrazione  sia gli operatori privati, in virtù del fatto che questo nuovo ruolo, in alcuni casi, dovrà necessariamente essere presente all’interno dei rispettivi organigrammi.

Professionista con ruolo aziendale (anche in outsourcing), il DPO deve necessariamente essere in possesso di competenze giuridiche, informatiche, di analisi dei rischi e dei processi; la sua nomina spetta al titolare od al responsabile del trattamento.

Al DPO spettano specifici compiti: informare e fornire consulenza al titolare, al responsabile del trattamento nonché ai dipendenti che effettuano tale trattamento così come stabilito dal nuovo Regolamento; vigilare affinché il Regolamento, le altre norme sia UE e sia degli Stati Membri in relazione alla protezione dei dati personali, siano osservati ed attuati; occuparsi della formazione del personale; fornire pareri riguardo l’impatto dei trattamenti di dati e verificarne lo svolgimento; collaborare con l’autorità di controllo, anche in merito a questioni connesse al trattamento e ad eventuali pareri. Sul DPO ricade l’obbligo di svolgere le proprie mansioni in totale riservatezza.

Di fondamentale importanza la distinzione fra la nomina del DPO nei casi di trattamento di dati personali effettuato dalla Pubblica Amministrazione dai casi in cui il trattamento sia svolto da operatori privati. Per ciò che riguarda la Pubblica Amministrazione (pubblica autorità o organismo pubblico), il DPO deve necessariamente essere designato dal titolare e dal responsabile del trattamento di dati personali ( con eccezione dei tribunali giudiziari nell’esercizio delle loro funzioni giurisdizionali). Con riferimento agli operatori privati, è necessario nominare il DPO unicamente nei casi in cui le attività principali del titolare o del responsabile del trattamento abbiano ad oggetto trattamenti che comportino un controllo continuo e sistematico degli interessati su larga scala e quando siano effettuati trattamenti, su larga scala, di categorie di dati particolari (opinione politica, origine razziale o etnica, appartenenze sindacali, convinzioni religiose o filosofiche, dati genetici o relativi all’orientamento sessuale) o di dati relativi a condanne penali. Infine, è doveroso sottolineare una delle condizioni fissate dal Regolamento circa la nomina del DPO, la quale prevede che quest’ultimo sia agevolmente raggiungibile da ogni stabilimento di un qualsiasi gruppo imprenditoriale.

Per saperne di più visitate il relativo articolo sul sito web di S News.

Diritto all’oblio e Business Information nel Nuovo Regolamento UE sulla protezione dei dati personali

Diritto all’oblio e Business Information nel Nuovo Regolamento UE sulla protezione dei dati personali

Il Nuovo Regolamento sulla protezione dei dati personali ha confermato il diritto all’oblio quale forma di garanzia della libertà e della dignità dell’individuo. E’ interessante esaminare i profili giuridici di tale diritto, alla luce della normativa oggi in vigore e quella europea, che sarà adottata nei prossimi due anni.

Già nel 2010 la Corte di Giustizia dell’Unione Europea affermò che i motori di ricerca sono tenuti al rispetto del diritto europeo anche nel caso in cui la loro sede si trovi in uno Stato terzo e che è sempre riconosciuto agli utenti il diritto di richiedere al motore di ricerca la cancellazione di dati personali, qualora questi risultino essere errati, inadeguati, insignificanti o eccessivi; pertanto ne consegue essere necessario un bilanciamento d’interessi, tra quelli dell’individuo e quelli relativi alla libertà d’espressione e dei media.

Alla luce del Nuovo Regolamento Europeo ed entrando più nel particolare, il diritto all’oblio prevede che l’interessato possa ottenere dal titolare la cancellazione dei propri dati personali nei casi in cui tali dati non appaiano più necessari, siano stati trattati illecitamente,  debbano essere eliminati per adempiere ad obblighi legali, ovvero l’interessato si opponga al trattamento, oppure abbia revocato il consenso.

D’altro canto, la rimozione non è prevista nel caso in cui i dati personali siano necessari a garantire la libertà di espressione e informazione, l’adempimento di un obbligo legale o la difesa di un diritto giudiziario, cosi come il pubblico interesse in materia sanitaria o a fini di pubblico interesse, di ricerca scientifica, statistica o storica. all’interessato, in presenza di inesattezze di dati personali o trattamenti illeciti, è riconosciuto il diritto di richiedere la rettifica e la limitazione del trattamento: In ogni caso, il titolare del trattamento ha l’obbligo di notificare l’interessato.

E’ importante focalizzare la questione inerente il diritto all’oblio, in quanto informazioni non più attuali  e prive di particolare interesse possono generare effetti “negativi” nel campo della business information (intesa come “fornitura di servizi informativi e/o valutativi che comportano la ricerca, la raccolta, l’elaborazione, l’analisi, anche mediante stime e giudizi, e la comunicazione di informazioni commerciali).

In proposito, il Garante Privacy  ha emanato il Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (Provvedimento Generale del Garante pubblicato in data 13 Ottobre 2015 – documento web 4298343) che entrerà in vigore a decorrere dal 1 Ottobre 2016.

Il codice di condotta individua gli ambiti oggettivi e soggettivi di applicazione: esso si applica esclusivamente alle informazioni commerciali riferite a persone fisiche ed acquisite da fonti pubbliche (pubblici registri, elenchi, atti o documenti come il registro delle imprese, bilanci ed elenchi dei soci, visure e/o atti catastali, atti relativi a fallimenti o altre procedure concorsuali, registro informatico dei protesti presso le camere di commercio) e fonti pubblicamente e generalmente accessibili (quotidiani e testate giornalistiche, elenchi categorici e telefonici, siti Internet che appartengono a enti pubblici, servizi online di elenchi telefonici e categorici).

Ciò che rileva è che il fornitore deve obbligatoriamente adottare misure idonee e preventive al fine di assicurarsi che l’informazione sia esatta e pertinente rispetto al fine perseguito, che sia riportata la specifica fonte di origine dei dati e che sia eseguito l’aggiornamento degli stessi dati nei propri rapporti informativi.

Per saperne di più visitate il relativo articolo sul sito web di S News.

Nuovo Regolamento sulla Protezione dei Dati Personali

Nuovo Regolamento sulla Protezione dei Dati Personali

Pubblicato in Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento sulla Protezione dei Dati Personali

Il 4 Maggio 2016, è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (L 119)  il nuovo Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Trascorsi venti giorni dalla pubblicazione, il Regolamento andrà formalmente in vigore e  troverà piena attuazione a partire dal 25 Maggio 2018. Nel corso dei due anni dalla pubblicazione, tutti gli Stati Membri dovranno recepire a pieno le novità sulla privacy apportate dalla normativa, sostituendo o armonizzando l’attuale quadro giuridico, nonostante restino applicabili Linee Guida, Provvedimenti e altri interventi regolatori che non contrastano con la nuova normativa comunitaria.

Lo stesso giorno sono state  pubblicate  in Gazzetta Ufficiale dell’Unione Europea altre due direttive, di seguito indicate:

  • la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio; gli Stati membri dovranno adottare e pubblicare, entro il 6 maggio 2018, le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva;
  • la Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi; gli Stati membri dovranno mettere in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva entro il 25 maggio 2018.

Per saperne di più cliccate qui

Privacy e Dati Sanitari

Privacy e Dati Sanitari

L’impatto privacy, nella specifica materia del trattamento dei dati di tipo sanitario, è di notevole importanza in virtù del fatto che si entra in contatto non solo con dati personali ma bensì anche con dati definiti come sensibili.

Per questi ultimi, la tutela della riservatezza, di impatto sulla dignità e libertà dell’individuo, è ampliata e qualificata non solamente dal Codice Privacy, quale normativa fondamentale, ma altresì da Linee Guida del garante e da fonti Regolamentari dell’Autorità di Governo.

Oggi la Pubblica Amministrazione e le strutture di cura private sono inevitabilmente dirette verso l’informatizzazione dei loro servizi: dall’introduzione del fascicolo e del dossier sanitario elettronico del cittadino, alla certificazione on-line di malattia e alla ricetta elettronica.

Gli obblighi in materia di trattamento dei dati sanitari sono stati disciplinati, dopo un iniziale vuoto normativo, dalle Linee guida in tema di Fascicolo Sanitario Elettronico del 16 luglio 2009, dalle Linee Guida in tema di referti on-line del 19 novembre 2009, Legge n. 221/2012  – la quale disciplina la sanità digitale – e dal  DPCM n. 179 del 29 settembre 2015, vale a dire il Regolamento in materia di Fascicolo Sanitario Elettronico.

Nello specifico, la dematerializzazione della documentazione ha avuto inizio con la refertazione digitale on-line e sta ultimandosi con l’introduzione del Fascicolo e del Dossier Sanitario Elettronico. Si intende per Fascicolo Sanitario Elettronico (FSE) la raccolta on line di dati e informazioni sanitarie che costituiscono la storia clinica e di salute di una persona, originati dai vari attori del Sistema Sanitario. Il Dossier Sanitario Elettronico (DSE) si differenzia da quest’ultimo in quanto riguarda la “storia clinica” del paziente nella singola struttura di cura.

L’introduzione di questi strumenti digitali rappresenta un fondamentale passo avanti non solo ai fini di cura e diagnosi ma anche ai fini della razionalizzazione della spesa sanitaria pubblica e di programmazione sanitaria.  Il FSE può essere alimentato unicamente sulla base del consenso libero e informato da parte dell’assistito, il quale può decidere se e quali dati relativi alla propria salute non devono essere inseriti nel fascicolo medesimo: deve essere sempre garantito all’assistito il diritto all’oscuramento, ovvero la possibilità di scegliere di non far confluire nel FSE informazioni relative a singoli eventi clinici.

Il trattamento dei dati del paziente deve essere effettuato, esclusivamente, da parte di titolari del trattamento – i quali devono necessariamente essere soggetti operanti nell’ambito sanitario – l’informativa dovrà indicare, in modo esplicito, le categorie di soggetti diversi dal titolare che nel prendersi cura dell’interessato possono accedere alla sua documentazione, nonché la connessa possibilità di manifestare il consenso a che solo alcuni di questi soggetti possano consultarlo. Unica eccezione a tali stringenti previsioni, è il caso in cui la consultazione del FSE risulti indispensabile per la salvaguardia della salute di un terzo o della collettività, Autorizzazione Generale del Garante n.2/2014.

E’ indubbio che informatizzare tali dati comporta il loro trattamento -ovvero la registrazione, la comunicazione e ed il trasferimento-  sollevando così numerosi problemi dal punto di vista  Privacy i quali investono la raccolta del dato, la sicurezza delle reti informatiche su cui questi dati viaggiano, i ruoli ed le responsabilità dei soggetti che trattano gli stessi dati.

In conclusione, in questo più che negli altri settori,  in virtù della peculiarità dei dati trattati nello specifico e dei riflessi che questi anno sulla vita quotidiana del singolo cittadino, è di fondamentale importanza riuscire a trovare il giusto punto di equilibrio fra la tutela dei diritti degli interessati e le finalità di efficienza del servizio sanitario e di semplificazione dell’esercizio del diritto alla salute da parte del cittadino in ogni momento del percorso sanitario.

Privacy e Video Sorveglianza

Privacy e Video Sorveglianza

Il settore della videosorveglianza negli ultimi anni continua a non conoscere crisi, spaziando dalla sicurezza in abitazioni private, ai luoghi pubblici, aziende, pubblici trasporti e numerosi altri ambiti. Eppure, questo sempre maggiore interesse ed il correlato incremento della domanda di sicurezza, da parte sia del settore pubblico e sia del settore privato, non trova corrispondenza in una maggiore conformazione alla normativa, difatti la maggior parte degli impianti di videosorveglianza non corrisponde ai requisiti minimi richiesti dalla normativa privacy, ad esempio per la  modalità di posizionamento delle telecamere e per la conservazione delle immagini registrate.

Gli ambiti normativi in cui spazia la videosorveglianza vanno oltre il rispetto del solo codice Privacy, l’adozione di sistemi di videosorveglianza comporta anche l’osservanza di ulteriori specifiche disposizioni di legge, tra le quali le norme del codice penale che puniscono le interferenze illecite nella vita privata, la legislazione in materia di controllo a distanza dei lavoratori e di pubblica sicurezza.

I soggetti attori, quindi tenuti al rispetto della normativa,  sono sia gli installatori degli impianti, sia gli utilizzatori finali: i primi, di fatto, nel momento in cui procedono all’installazione sono tenuti a rilasciare una specifica dichiarazione di conformità dell’impianto alla normativa privacy, in virtù di  quanto previsto dall’allegato B al Codice Privacy; i secondi, nell’utilizzo dell’impianto devono anch’essi rispettare le previsioni del codice, in particolare in materia di misure minime di sicurezza.

L’interesse alla tutela della dignità e riservatezza è sempre più forte, facendo sì che le materie che ruotano attorno alla privacy siano attenzionate in maniera particolare. La salvaguardia e la stessa interpretazione dei contenuti della riservatezza devono confrontarsi con l’evoluzione di una tecnologia sempre più pervasiva e invasiva e con le esigenze, sempre più impellenti, della sicurezza sociale e collettiva, interna e internazionale.

Al fine di disciplinare la tematica della videsorveglianza, cercando di equilibrare le necessità di sicurezza da una parte e la tutela dei diritti degli interessati, dall’altra, il Garante è intervenuto con il Provvedimento in materia di videosorveglianza – 8 aprile 2010, regolamentando sia la parte generale sia gli specifici settori, quali il condominio, i luoghi di lavoro, i trasporti pubblici, gli ospedali e i luoghi di cura.

Ad oggi, nonostante numerosi impianti ancora non rispettino le previsioni normative, fa tirare sicuramente un sospiro di sollievo il riscontrare una forte brama  di conoscenza della materia ed un bisogno di conformarsi alle norme, parte dal basso, vale a dire dai primi che si confrontano quotidianamente, ovvero gli installatori.

Questi ultimi sembrano aver finalmente compreso l’impatto che la privacy ha nella loro quotidianità: prendendo coscienza da un lato della imprescindibilità nella loro attività dell’osservanza di queste  norme, e dall’altro comprendendo che ponendole a base della propria attività, quella sarà sempre più competitiva nel mercato.

Fonti normative, organi e sanzioni che regolano la privacy

Fonti normative, organi e sanzioni che regolano la privacy

Da quali Fonti Normative deriva la TUTELA DELLA RISERVATEZZA degli INDIVIDUI (PRIVACY)?

In via prevalente, la Privacy è disciplinata da:

  • Carta dei diritti fondamentali dell’Unione Europea
  • Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 operativo a partire dal 25 maggio 2018 e direttive europee (95/46/CE e 2002/58/CE);
  • Codice in materia di protezione dei dati personali:

Decreto Legislativo  30 giugno 2003 n. 196

  • Decreti Legislativi, in particolare:

Decreto-Legge 22 giugno 2012, n. 83 convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134 Art. 24-bis  Misure a sostegno della tutela dei dati personali, della sicurezza nazionale, della concorrenza e dell’occupazione nelle attività svolte da call center- 

Decreto legislativo   28 maggio 2012 , n. 69
Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita’ nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.

Decreto-legge 9 febbraio 2012, n. 5
Recante disposizioni urgenti in materia di semplificazione e di sviluppo,
convertito con modificazioni, dalla legge 4 aprile 2012, n. 35

Decreto del Presidente della Repubblica 7 settembre 2010, n. 178
Regolamento recante istituzione e gestione del registro pubblico degli abbonati che si oppongono all’utilizzo del proprio numero telefonico per vendite o promozioni commerciali.

Decreto Legislativo 30 maggio 2008, n. 109
Attuazione della direttiva 2006/24/CE riguardante la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE

  • Linee Guida / Provvedimenti del Garante ;
  • Autorizzazioni Generali del Garante.

Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675) – che ha attuato nell’ordinamento giuridico italiano la direttiva comunitaria 95/46/CE – e oggi disciplinata dal Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196).

Il Garante è un organo collegiale formato da quattro membri, eletti due dalla Camera dei Deputati e due dal Senato della Repubblica con voto limitato, scelti tra persone che assicurino indipendenza ed  esperti riconosciuti nelle materie del diritto o dell’informatica. La durata in carica è di sette anni ed il mandato non è rinnovabile.

I poteri del Garante

I compiti assegnati al Garante sono puntualmente individuati dall’art. 154 del D.lgs. 196/2003, tra cui i più rilevanti possono essere riepilogati in funzioni di:

  1. Controllo sul rispetto della disciplina privacy
  2. Risoluzione di casi specifici
  3. Emanazione di atti autoritativi
  4. Educazione alla privacy
  5. Irrogazione di sanzioni amministrative
  6. Consulenza al Parlamento e Governo
  7. Relazione al Parlamento e Governo

Inoltre, il Garante partecipa alle attività comunitarie ed internazionale di settore e fa parte del Gruppo art. 29 – organismo europeo consultivo formato dalle Autorità di protezione dei dati personali di ciascuno stato membro, dal Garante Europeo e da un rappresentante della Commissione –  e delle Autorità comuni di controllo previste dalle convenzioni internazionali.

Ruolo di primaria importanza ricoperto dal Garante è quello di tutore del diritto alla protezione dei dati in sede amministrativa; gli interessati possono alternativamente rivolgersi all’Autorità giudiziaria ordinaria o all’Autorità Garante.

La protezione dei dati personali

Come ci si rivolge al Garante per esercitare la tutela dei propri dati personali?

Essenzialmente, attraverso:

  • il reclamo, vale a dire un atto circostanziato per rappresentare una violazione della disciplina rilevante in materia di trattamento dei dati personali;
  • la segnalazione, qualora non sia possibile presentare un reclamo al fine di sollecitare un controllo da parte del Garante;
  • il ricorso, qualora si voglia far valere lo specifico diritto di accesso ai dati personali. Si tratta di uno strumento alternativo all’esercizio dei medesimi diritti di fronte all’autorità giudiziaria

L’art. 150 del Codice Privacy prevede che, qualora la peculiarità del caso lo preveda, il Garante può disporre in via provvisoria il blocco in tutto o in parte di taluno dei dati, ovvero l’immediata sospensione di una o più operazioni del trattamento.

Il Garante, qualora ritenga fondato il ricorso, ordina al titolare, con decisione motivata di cessare dal comportamento illegittimo contestualmente indicando le misure necessarie per la tutela dei diritti dell’interessato, altresì indica un termine per la loro adozione.

Avverso i provvedimenti del Garante ed avverso il rigetto tacito, decorsi quindi 60 giorni dalla data di presentazione del ricorso, è esperibile ricorso all’Autorità giudiziaria ordinaria.

Diritto di accedere ai propri dati personali

E’ riconosciuto agli interessati il diritto di richiedere ad un soggetto, sia esso persona fisica o giuridica, di fornire informazioni sul trattamento dei propri dati personali, nonché ottenere tutte le informazioni personali detenute dal titolare del trattamento.

E’ quindi possibile richiedere l’origine dei dati personali trattati, le finalità e le modalità del trattamento, se i dati sono stati trattati con strumenti elettronici e quale sia la logica applicata a tale trattamento, gli estremi identificativi di chi tratta i dati ed infine i soggetti/categorie di soggetti ai quali i dati personali possono essere comunicati, o che posso venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

Diritto all’aggiornamento, alla rettificazione o alla cancellazione dei dati personali

E’ possibile richiedere a chi sta trattando i propri dati personali che questi vengano aggiornati, rettificati o integrati, nonché che i dati siano bloccati, cancellati o trasformati in forma anonima nei casi in cui il trattamento non venga effettuato secondo le regole stabilite dalla legge o non sia più necessaria la loro conservazione.

Diritto di opposizione

E’ sempre possibile opporsi al trattamento dei propri dati personali per motivi legittimi o quando i dati sono trattati per finalità commerciali o di marketing.

Il sistema sanzionatorio

Il sistema sanzionatorio distingue tra violazioni amministrative ed illeciti penali.

Le sanzioni amministrative puniscono la violazione delle norme procedurali o di condotte che ostacolano l’attività del Garante. In particolare sono punite:

  • L’omessa o inidonea informativa – art. 161 d.lgs. 196/2003 –
  • La cessione di dati, in occasione della cessazione del trattamento, fatta ad altro Titolare che destina i dati ad un trattamento con finalità non compatibili con gli scopi per cui sono stati raccolti – art. 162 c.1 d.lgs. 196/2003-
  • La comunicazione all’interessato di suoi dati inerenti la stato di salute e la vita sessuale non per il mezzo del medico designato dall’interessato o dal titolare – art. 162 c. 2 d.lgs. 196/2003-
  • La violazione delle misure minime di sicurezza o delle disposizioni dell’art 167 “Trattamento illecito dei dati” – art. 162 c. 2-bis d.lgs. 196/2003-
  • Il mancato rispetto delle misure necessarie o dei divieti previsti dal Garante ai sensi dell’art. 154 c. 1 lett. C) ed E) – art 162 c. 2-ter d.lgs. 196/2003 –
  • La violazione del diritto di opposizione nelle forme previste dall’art. 130 c. 3-bis – art.162 c. 2-quater d.lgs. 196/2003-
  • L’omessa o incompleta notificazione – art. 163 d.lgs. 196/2003 –
  • L’omessa informazione o esibizione al Garante – art. 164 d.lgs. 196/2003 –

Le sanzioni penali riguardano in primis il Titolare del trattamento ed in alcuni casi anche gli incaricati. Le fattispecie punibili riguardano:

  • Il trattamento illecito dei dati – art. 167 d.lgs. 196/2003 –
  • Falsità nelle dichiarazioni e notificazioni al Garante – art. 168 d.lgs. 196/2003 –
  • L’omissione dell’adozione delle misure minime di sicurezza – art. 169 d.lgs. 196/2003-
  • L’inosservanza di provvedimenti del Garante – art. 170 d.lgs. 196/2003 –
  • La violazione del divieto per il datore di lavoro, di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché la violazione del nuovo art. 4, commi 1 e 2 dello Statuto dei Lavoratori.