Blog :

Privacy of enterprises: transfer abroad of personal data through a delegate in outsourcing resident in a third country.

Privacy of enterprises: transfer abroad of personal data through a delegate in outsourcing resident in a third country.

Being able to transfer personal data in third countries has become of fundamental importance for companies, given the transversal internationalization of most of the commercial enterprises.

If, on the one hand, Art. 43 of Legislative Decree 196/03 allows data transfer outside national borders with previous express consent by the subject concerned, on the other hand it is quite difficult to assume that a multinational enterprise with thousands of employees is able to acquire everyone’s consent.

Moreover, data is frequently not treated directly by the company itself but, especially with regard to human resources, processed in outsourcing. In such case, what are the controller’s fulfillments when a processor in outsourcing also entrusts such process to a delegate in a third country?

The company can go through the following steps:

  • Presence of an adequacy decision by the European Commission

  • Use of standard contractual clauses predisposed by a decision of the European Commission

  • Adoption of Binding Corporate Rules

  • Adoption of Binding Corporate Rules for the Processor

Currently, the European Commission’s adequacy decisions only involve 13 States: the protection assured with regards to data treatment in such countries is considered to be satisfactory and it is therefore possible to transfer personal data. Lastly, the issue of data transferred to the USA was solved last 12th July with the adoption of the Privacy Shield by the European Commission, already discussed in a previous article of the blog.

The standard contractual clauses are predisposed by the European Commission and, once inserted in the text of a commercial contract, consent data transfer to third countries. These provide for specific technical and organizational safety measures that need to be strictly applied by the delegate of the treatment based in a third country that does not guarantee an adequate level of protection.

The European Commission, with a decision dated 5 December 2010, has decided for the standard clauses’ application in case the controller, resident in Europe, delegates the treatment to a European company which, in turn, subcontracts to a business enterprise based in a third country.

The decision has confirmed that for the processor of data treatment residing in the European Union, it will be sufficient to follow the standard contractual clauses in order to provide adequate guarantees for the transfer to a third country delegate. The contract needs to be subject to the legislation of the member’s residence country in order to guarantee any eventual actions of the interested party on personal data protection.

It goes beyond doubt that the data protection authorities of each Member State need to continue executing their main guarantee role by supervising that personal data is adequately controlled after transfer outside the European Union borders.

The Italian data protection authority has transposed the European Commission’s decision (Gazzetta Ufficiale n.141 of 19th June 2010) and, afterwards, with the measure of 15th November 2012 has given further clarifications on the issue. In particular, it has provided the controller to confer upon the processor residing in the European Union a specific mandate, in accordance with art. 1704 of the Italian Civil Code, for the subscription of specific contractual clauses given by the European Commission; however, the Italian data protection authority has left a choice to the controllers who do not intend exercising the mandate to request the same data protection authority a specific authorization according to art.44, 1st comma of Legislative Decree 196/03.

In its last annual report, the Italian data protection authority has given particular attention to data transfer to third countries. This has underlined the increased use of Binding Corporate Rules (hereinafter BCR), that are being discovered as the most privileged way of transferring data to third countries among groups of enterprises.

Accordingly, the BCR for Processors represent a valid option: these permit transfer, within the same group company, of personal data on which a processor operates for the controllers residing in a European Member State. In such way, the controllers have a guarantee deriving from the presence of BCR for Processors, which prove transfer’s lawfulness carried out by the processor enterprises in outsourcing. For more information on BCR please consult our previous article.

In the light of such drastic increase of personal data transfer to third countries, the Italian data protection authority has focused its inspections on subjects that carry out data transfer abroad, “in order to verify the treatment typos, the security measures adopted, together with the legal conditions, the scope and the modality of personal data transfer in non-EU countries”1.

The new European Regulation on the protection of natural persons with regard to the processing of personal data has provided for a general prohibition, except in the presence of an adequacy decision of the European Commission2. Moreover, the Commission has an obligation to evaluate overall third countries’ legislation with regard to privacy of personal data.

In case of absence of an adequacy decision by the Commission, the controller must compensate such deficiency with adequate guarantees to the interested subject. Such guarantees can consist of the BCR’s application, of standard clauses adopted by the Commission, of clauses regarding data protection adopted by a national supervisory authority or of contractual clauses authorized by a supervisory authority.

Many are the safeguard measures adopted, deriving from national and European legislation as a guarantee of safe transfer to third countries. It is well said that an adequate knowledge and a punctual application of such measures will allow companies to operate, by transferring data in third countries, without many obstacles and without having any limits to their own actions.

2 Recital 103 and art.45 of the EU Regulation 679/2016

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

Poter trasferire dati personali in paesi extra UE è diventato di fondamentale importanza per le aziende, sull’onda di una internalizzazione che riguarda trasversalmente la quasi totalità delle società commerciali.

Se è vero che l’art. 43 del D.lgs. 196/03 ammette il trasferimento fuori del territorio dello Stato qualora l’interessato abbia manifestato il proprio consenso espresso, dall’altro canto, è difficilmente ipotizzabile che una multinazionale con migliaia di dipendenti riesca ad acquisire il consenso di tutti.

Di frequente, tra l’altro, i dati non sono trattati direttamente dalla società, ma tali attività, specialmente quelle riguardanti la gestione delle risorse umane avvengono in outsourcing. In tal caso, a quali ulteriori adempimenti deve far fronte il titolare, qualora incarichi un responsabile in outsourcing il quale a sua volta affidi il trattamento ad un incaricato con sede in un paese extra UE?

Le strade percorribili dalle aziende sono le seguenti:

  • Presenza di una decisione di adeguatezza della Commissione EU

  • Utilizzo di clausole contrattuali standard predisposte con decisione dalla Commissione Europea

  • Adozione di Binding Corporate Rules (BCR)

  • Adozione di Binding Corporate Rules for Processor

Le decisioni di adeguatezza della Commissione, ad oggi, riguardano solamente tredici stati, per i quali è stato stabilito che la tutela assicurata al trattamento dei dati in quei paesi è soddisfacente ed è, quindi, possibile trasferirvi dati. Si veda, da ultimo, la questione relativa al trasferimento dei dati negli Stati Uniti da poco conclusasi con l’adozione, il 12 luglio scorso, da parte della Commissione europea del cd. Privacy Shield e già trattata in un precedente articolo.

Le clausole contrattuali standard sono predisposte dalla Commissione Europea e, una volta incorporate nel testo di un contratto commerciale consentono di trasmettere dati in paesi terzi.Esse prevedono le misure tecniche e organizzative di sicurezza che l’incaricato del trattamento, stabilito in un paese terzo non garante di un livello di protezione adeguato, è tenuto ad applicare.

La Commissione ha predisposto le clausole standard, con decisione del 5 febbraio 2010, utilizzabili nel caso in cui il titolare, residente in Europa, incarichi al trattamento una società comunitaria che, a sua volta, dia il subappalto ad una società extra UE.

La decisione ha stabilito che per il responsabile del trattamento, stabilito nell’Unione europea, sarà sufficiente avvalersi delle clausole standard al fine di presentare garanzie sufficienti al trasferimento verso l’incaricato extra UE. Il contratto deve essere soggetto alla legge dello Stato membro in cui è stabilito il titolare, in modo da garantire eventuali azioni dell’interessato a tutela dei propri dati.

Ovviamente, le autorità di controllo degli Stati membri devono, in ogni caso, continuare a svolgere un ruolo di garanzia, vigilando affinché i dati personali siano adeguatamente garantiti in seguito al trasferimento.

Il Garante italiano ha recepito la decisione della Commissione (Gazzetta Ufficiale n.141 del 19 giugno 2010) e, successivamente, con provvedimento del 15 novembre 2012 ha fornito ulteriori chiarimenti in merito. In particolare, ha prescritto al titolare del trattamento di conferire al responsabile con sede nell’Unione europea un apposito mandato, ai sensi dell’art. 1704 c.c., per la sottoscrizione delle clausole contrattuali tipo stabilite dalla Commissione; il Garante ha lasciato comunque facoltà ai titolari del trattamento, che non intendano avvalersi del mandato, di richiedere all’Autorità una specifica autorizzazione ai sensi dell’art. 44, comma 1 lett. a del D.lgs. 196/03.

Nella sua ultima relazione annuale il Garante per la protezione dei dati personali, ha dimostrato una particolare attenzione al tema del trasferimento dei dati verso paesi extra UE. L’Autorità ha evidenziato il grande incremento dell’ impiego di Binding Corporate Rules (di seguito BCR), le quali stanno rivelandosi il mezzo privilegiato per i trasferimenti di dati personali verso Paesi terzi attuati nell’ambito di gruppi di imprese.

Allo stesso modo, le BCR for Processors rappresentano una valida opzione in quanto permettono il trasferimento, sempre all’interno dello stesso gruppo societario, di dati personali sui quali si opera in qualità di responsabili del trattamento per conto di titolari stabiliti in un Paese comunitario. In questo modo, i titolari sono garantiti dalla presenza delle BCR for Processors, le quali provano la liceità dei trasferimenti effettuati dalla società responsabile in outsourcing. Per ulteriori approfondimenti sulle BCR potete visionare un nostro precedente articolo.

Proprio alla luce di tale cospicuo aumento dei trasferimenti di dati personali verso paesi terzi, l’autorità Garante ha concentrato le ispezioni presso soggetti che effettuano trasferimenti di dati all’estero, “al fine di verificare le tipologie di trattamento effettuate, le misure di sicurezza predisposte, nonché i presupposti giuridici, l’ambito e le modalità del trasferimento di dati personali in Paesi non appartenenti all’Unione europea”1.

Il nuovo Regolamento Europeo in materia di trasferimenti dati verso paesi extra UE ha previsto un generale divieto, salvo l’esistenza di una decisione di adeguatezza della Commissione2. E’ stato, inoltre, previsto un obbligo per la Commissione di effettuare una valutazione complessiva che consideri, più in generale, le norme del paese terzo in materia di tutela dei dati personali.

Nel caso in cui non vi sia una decisione di adeguatezza, il titolare del trattamento dovrà compensare la carenza con adeguate garanzie a tutela dell’interessato. Tali garanzie possono consistere nell’applicazione di BCR, di clausole standard adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo.

Numerosi sono gli strumenti di tutela predisposti, sia dalla normativa nazionale e sia da quella comunitaria, a garanzia dei trasferimenti di dati verso paesi extra UE. È certo che un’adeguata conoscenza ed una puntuale applicazione di tali strumenti permetterà alle aziende di poter operare, esportando dati oltre i confini europei, senza troppi impedimenti e senza dover porre limiti alle proprie azioni.

2 Considerando 103 ed art. 45 Regolamento UE 679/2016

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

Negli ultimi anni si sono sempre più sviluppate pratiche di telemarketing aggressivo, attuate maggiormente tramite un vero e proprio “assalto” alle utenze telefoniche dei privati; eppure esistono regole in grado di arginare tali prassi.

La norma principale che regola i contatti tra utente ed operatori economici è espressa dall’art. 23 del D.lgs. 196/2003 (di seguito Codice Privacy o Codice), in base al quale il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

Il consenso deve essere informato, ovvero, l’interessato deve ricevere un’informativa, attraverso la quale venga messo a conoscenza di tutte le informazioni relative all’esercizio dei propri diritti ed alle modalità di trattamento dei propri dati.

Ottenuto il consenso dell’interessato, il trattamento dovrà essere effettuato rispettando sempre il vincolo della finalità, non potendo andare oltre quanto previsto dallo scopo originario, riducendo al minimo l’utilizzo dei dati; è assurdo pensare che ottenuto il consenso, il titolare sia legittimato a trattare senza restrizioni i dati dell’interessato.

A tal proposito il Garante è intervenuto numerose volte in materia, sia con un provvedimento generale “Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto” e sia con le “Linee Guida in materia di attività promozionale e contrasto allo spam”, entrambi emanati nel 2013. L’Autorità Garante ha previsto che sia richiesto un consenso specifico per ogni finalità perseguita dal titolare del trattamento, come marketing, profilazione o diffusione.

Le società possono ricercare nuovi clienti ricavando le utenze dagli elenchi telefonici, al fine di chiedere il consenso a ricevere comunicazioni commerciali e solo nel caso in cui l’utenza non risulti iscritta al Registro Pubblico delle Opposizioni1. A partire dal 31 gennaio 2011 gli operatori di telemarketing sono tenuti sia a verificare, prima di contattare le utenze, se queste siano iscritte o meno a suddetto Registro e sia ad informare gli abbonati, nel corso della telefonata, della possibilità di iscriversi al Registro delle Opposizioni.

La violazione del diritto di opposizione, da parte degli operatori di telemarketing, è punita dall’art. 162 comma 2-quater del D.lgs. 196/2003 (di seguito Codice Privacy) con una sanzione amministrativa da 10.000 a 200.000 euro, senza possibilità di pagamento in forma ridotta.

Le decisioni dell’Autorità giurisdizionale in materia hanno spesso punito pesantemente le violazioni alla disciplina di tutela dei dati personali poste in essere dalle società; non da ultimo, la Corte di Cassazione con la sentenza n° 17143/2016 ha confermato la condanna all’operatore al pagamento di una maxi sanzione amministrativa di 300.000 euro.

Quale il precetto violato? La società di telecomunicazioni utilizzava banche dati, fornitele da due società, composte da oltre quattordici milioni di anagrafiche provenienti da elenchi telefonici formati prima dell’agosto 20052; in merito a tali banche dati, il Garante con Provvedimento del 12 marzo 2009 stabiliva che i titolari del trattamento, e solo questi, potevano accedere ad un regime più favorevole per il loro utilizzo, ovvero era sufficiente dare prova di aver fornito agli interessati l’informativa.

L’Autorità Garante per la protezione dei dati personali, dopo aver ricevuto numerose segnalazioni da parte di utenti contattati dall’operatore telefonico, ha eseguito un’ispezione nella sede e nei call center della società, emettendo nell’immediato un provvedimento inibitorio (Provv. 26 giugno 2008).

Le contestazioni mosse alla società di telecomunicazione nel provvedimento del Garante Privacy riguardavano:

  1. L’utilizzo di dati, acquisiti da terzi, provenienti da elenchi telefonici pubblicati antecedentemente al 1° agosto 2005;
  2. L’aver trattato dati acquisiti da altre società senza aver fornito idonea informativa3 e senza aver acquisito il consenso degli interessati4;
  3. L’aver commesso le suddette violazioni in relazione a banche dati di particolari rilevanza e dimensioni5.

La società di telecomunicazioni ha provveduto al pagamento in forma ridotta per tutte le violazioni contestatele, con eccezione dell’ultima in elenco, e per la quale il Garante ha irrogato, in un secondo provvedimento (Provv. 18 ottobre 2012), una sanzione autonoma di 300.000 euro.

Confermato il provvedimento anche dal Tribunale ordinario, l’operatore telefonico è ricorso in Cassazione avverso tale sentenza. Secondo la società risultava illegittimo il cumulo materiale effettuato tra le varie sanzioni, in quanto il bene giuridico sotteso era lo stesso, trovandosi quindi davanti alla violazione del principio giuridico del ne bis in idem.

Di contrario avviso sono stati i giudici della Suprema Corte, i quali hanno chiarito che trattandosi di due diversi beni giuridici (da una parte il dato personale e dall’altro le banche dati) la questione dibattuta riguarda non aspetti quantitativi, bensì qualitativi. Inoltre, l’utilizzo di banche dati di particolare rilevanza non integra un’ipotesi aggravata rispetto alle altre, ma configura un’ipotesi di illecito del tutto autonoma e, quindi, materialmente cumulabile alle altre sanzioni.

Per ciò che concerne la mancata informativa e l’assenza del consenso, i giudici di legittimità hanno ribadito come queste siano condizioni legittimanti il trattamento dei dati; chi acquisisce banche dati da terzi, deve accertarsi che gli interessati abbiano validamente espresso il proprio consenso sia alla trasmissione di dati e sia al trattamento per finalità di marketing.

Nel caso di specie, né le società che hanno formato le banche dati, né lo stesso operatore telefonico sono stati in grado di dar prova di aver fornito l’informativa e di aver ricevuto il consenso alla comunicazione ed al trattamento dei dati.

Appare evidente come le operazioni poste in essere dalla società di telecomunicazione abbiano violato la privacy di milioni di cittadini, invadendo la loro sfera privata e non rispettando le norme basilari sulla protezione dei dati personali.

Non da ultimo, un altro operatore telefonico è stato oggetto di analogo provvedimento del Garante (Provv. 22 giugno 2016), con il quale l’Autorità ha vietato alla società l’ulteriore trattamento per finalità di marketing dei dati di circa 7 milioni di ex clienti, i quali non avevano dato il consenso al trattamento dei propri dati.

E’ pacifico che, l’attuale sistema sanzionatorio non costituisce un concreto strumento di difesa dei diritti dei dati personali, contenuti in banche-dati ed utilizzati per le finalità di cui finora si è argomentato.

Non sarà così con l’operatività del Nuovo Regolamento UE n° 679/2016 che, a partire dal 25 Maggio 2018, prevedrà, tra le altre diverse e significative novità, anche l’inasprimento delle sanzioni per chi violerà la “privacy”, attesa la parametrazione al volume d’affari mondiale del trasgressore, variando dal 2% al 4% del fatturato. Nel caso di violazione dei principi di base del trattamento, comprese le condizioni relative al consenso, è prevista la sanzione pecuniaria fino a 20.000 000 di Euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art.83, comma 5 Reg. UE 679/20166).

1Il Registro Pubblico delle Opposizioni è un servizio a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici. Iscrivendosi a tale Registro l’interessato manifesta la sua volontà di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato, e non potrà più essere contattato dalle società per tali finalità.

2In base al dettato dell’art.44 D.L. 207/08 (convertito nella l. 14/2009) “i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali (sino al termine di sei mesi successivi alla data di entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135) , anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.”

3 L’art. 161 del D.lgs. 196/2003 punisce l’omessa o inidonea informativa con una sanzione amministrativa da 6.000 a 36.000 euro.

4 L’art. 162 comma 2-bis del D.lgs. 196/2003 prevede una sanzione da 10.000 a 50.000 euro.

5 L’art. 164-bis punisce i trattamenti in violazione delle norme precedenti effettuati con riferimento a banche dati di particolare rilevanza, con una sanzione amministrativa dai 50.000 ai 300.000 euro.

6 In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.”

 

LA TUTELA DEI DATI SENSIBILI ED IL DIVIETO DI DIFFUSIONE NELLA GIURISPRUDENZA PIU’ RECENTE

LA TUTELA DEI DATI SENSIBILI ED IL DIVIETO DI DIFFUSIONE NELLA GIURISPRUDENZA PIU’ RECENTE

Il D.lgs. 196/2003 (di seguito Codice Privacy), sulla scia dei principi espressi nella nostra Carta Costituzionale1, fornisce una tutela rafforzata a quei dati che riguardano gli aspetti più intimi della vita di un individuo e che, se non trattati secondo i principi di liceità e correttezza, potrebbero arrecare grave danno all’interessato.

La classificazione dei dati personali, approntata dallo stesso Codice Privacy all’art. 4, riflette un sistema di tutele graduate in ragione della natura del dato e della sua capacità di incidere nel concreto vivere degli interessati.

I dati personali comuni identificano un individuo tramite ad esempio il nome ed il cognome, quelli sensibili rivelano gli orientamenti politici e sindacali, le convinzioni religiose, mentre sono considerati “supersensibili” i dati idonei a rilevare lo stato di salute e la vita sessuale delle persone.

La particolare tutela riconosciuta ai dati idonei a rivelare lo stato di salute è sancita dallo stesso Codice Privacy il quale ne vieta la diffusione, ovvero la divulgazione al pubblico o, comunque, ad un numero indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di dati personali su un quotidiano o su una pagina web).

Secondo quanto stabilito dal Codice Privacy, i dati “supersensibili” devono essere trattati solo in forma anonima e mediante codici identificativi. È quindi pacifico che chiunque effettui il trattamento di tali dati, debba operare a maggior ragione con diligenza e perizia adottando ogni idonea misura di sicurezza2.

Il Garante ha posto la sua attenzione sulla diffusione dei dati “supersensibili” in svariate occasioni; nelle Linee Guida in materia di trattamento di dati personali per finalità di pubblicità e trasparenza sul web (provv. 15 maggio 2014) ha chiarito che “ è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche direttamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di disabilità, invalidità o handicap fisici e/o psichici”.

Ma vediamo più nel concreto cosa ha stabilito la Corte di Cassazione in merito ai trattamenti di dati sensibili, nel caso in cui questi siano stati diffusi senza essere anonimizzati.

Già con la sentenza n. 10947 del 19 maggio 2014, la I Sez. della Cassazione Civile aveva consolidato il principio per il quale deve essere accordata particolare tutela ai dati c.d. sensibili, in quanto in questi convergono la tutela della salute e quella della riservatezza3.

Nel caso in questione la Suprema Corte ha statuito che chi beneficia di un’indennità ex L. 201/1992 per aver contratto una malattia, a causa di errore medico, ha diritto al risarcimento del danno dovuto ad illegittimo trattamento dei dati sensibili, qualora la causale riportata nel bonifico bancario faccia riferimento a dati idonei a rivelare il suo stato di salute.

Secondo il dispositivo della sentenza in commento, la Regione e la Banca, “avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili.”, il riferimento nella causale del bonifico alla l.201/1992, si è quindi tradotto in un illecito trattamento di dati personali legittimante, quindi, la richiesta di risarcimento del danno da parte del ricorrente.

Non più di un mese fa è stata pubblicata la sentenza della Cassazione Sez. I n.10512 del 20 maggio 2016, con la quale gli Ermellini condannano la Corte dei conti per illecita diffusione di dati sanitari.

In breve, il ricorrente aveva richiesto al Tribunale di Palermo la condanna al risarcimento dei danni in capo alla Corte dei Conti ovvero alla Presidenza del Consiglio dei Ministri, per aver illecitamente diffuso propri dati sanitari. Il ricorrente difatti, aveva avanzato ricorso alla corte dei Conti in materia pensionistica e, successivamente, aveva visto pubblicata online la sentenza contenente dati riguardanti la propria invalidità.

La Suprema Corte, nel testo nella sentenza, ha effettuato una comparazione tra il principio, stabilito dall’art. 22 del Codice privacy, dell’assoluto divieto di diffusione dei dati relativi allo stato di salute e l’assunto dell’art. 52, il quale disciplina le modalità di diffusione delle sentenze e dei provvedimenti per finalità di informativa giuridica.

Ebbene, da tale valutazione la Cassazione ne ha dedotto che il divieto di diffusione di dati sensibili non ammette deroghe e prevale in ogni caso sull’interesse alla pubblicazione dei provvedimenti giurisdizionali a scopo di informativa giuridica.

La Suprema Corte ha, altresì, individuato un ulteriore argomentazione a favore della tesi del ricorrente nelle “Linee Guida sul trattamento dei dati nella riproduzione di provvedimenti giurisdizionali” del 02 dicembre 2010. Il Garante Privacy in tale documento ha fornito chiarimenti in merito alla opportunità di anonimizzare i provvedimenti, chiarendo che l’oscuramento dei dati degli interessati “non pregiudica la finalità di informazione giuridica sottesa alla diffusione di un provvedimento” ed ha posto a carico dell’Autorità giudiziaria, la attenta valutazione di tale profilo.

Per ciò che concerne l’aspetto risarcitorio della vicenda in esame, spetterà al giudice del rinvio stabilirne l’entità, valutando nel concreto le conseguenze pregiudizievoli dell’illecito trattamento, ricadendo però su colui che agisce in giudizio la prova del danno in concreto subito, in quanto la sola illiceità del trattamento non è sufficiente a dar luogo all’obbligazione risarcitoria.

E’ indubbio che la quantificazione in denari del danno non è di semplice definizione, non sempre il danno subito ha un valore economico, come nel caso del risarcimento per danno biologico o esistenziale. La Cassazione con la sentenza n. 1361 del 23 gennaio 2014, ha assunto il danno non patrimoniale quale categoria generale, e statuito che, in ossequio al principio della integralità del risarcimento, si deve tener conto di tutte le lesioni degli interessi della persona, di natura non prettamente economica, protetti dall’ordinamento.

L’utilizzo sempre maggiore di strumenti informatici e nuove tecnologie, come si è visto nelle due sentenze citate, sta incidendo in maniera sempre maggiore sulla tutela dei dati. Il trattamento di dati su larga scala è effettuato sia dai privati sia dagli enti pubblici, ed entrambe le categorie devono operare, soprattutto qualora ci si trovi davanti dati “supersensibili”, seguendo i dettami del Codice Privacy nonché dei provvedimenti del Garante.

Si tenga sempre a mente che le sanzioni in caso di illecito trattamento prevedono la reclusione sino a 3 anni, mentre nel caso di violazione delle misure di sicurezza è prevista un’ammenda che può arrivare nel massimo a centoventimila euro.

Ma le imprese e le pubbliche amministrazioni non sono lasciate sole nel difficile compito di trattare lecitamente i dati sensibili: per assisterle il Regolamento Europeo 2016/679 ha introdotto la figura del Data Protection Officer. Il Regolamento Europeo, all’art.37, stabilisce che tale figura sarà obbligatoria, a partire dal Maggio 2018, per tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Da questa breve analisi si può evincere come da un lato il trattamento dei dati sensibili richieda particolari tutele e il non osservarle può avere risvolti pesanti sul versante sanzionatorio, ma dall’altro sicuramente con l’ausilio del Data Protection Officer il compito dei titolari del trattamento sarà in gran parte semplificato.

1L’art. 3 della Costituzione stabilisce che non possono essere fatte distinzioni in base al sesso, alla razza, alla lingua, alla religione, alle opinioni politiche ed alle condizioni personali e sociali.

2Le uniche deroghe presenti nel Codice Privacy riguardano il trattamento effettuato dagli esercenti professioni sanitarie e dagli organismi sanitari pubblici, trovando applicazione in caso di trattamento effettuato per la tutela della salute dell’interessato. L’art. 76 del Codice Privacy prevede modalità semplificate per il consenso, il quale può essere manifestato anche oralmente in un’unica dichiarazione

3Al riguardo Cass. n. 19635 del 2011 e Cass. n 18980 del 2013.

GLI ELEVATI RISCHI INFORMATICI NELLA GESTIONE DEI DATI PERSONALI TRATTATI DALLE AZIENDE: METODOLOGIE DI PREVENZIONE

GLI ELEVATI RISCHI INFORMATICI NELLA GESTIONE DEI DATI PERSONALI TRATTATI DALLE AZIENDE: METODOLOGIE DI PREVENZIONE

445 miliardi di dollari l’anno, secondo le stime della World Bank, è il costo degli attacchi informatici, pesando in maniera maggiore sulle 10 maggiori economie mondiali. Di questi attacchi il 31% è dovuto a incidenti riguardanti la sicurezza dei dati (fonte: www.bakerlaw.com), ovvero casi di phishing, attacchi hacker e malware, con forte impatto, principalmente, nel settore delle industrie farmaceutiche. A fronte di questi allarmanti dati le previsioni per il futuro non sembrano certo essere rosee; il costo del crimine informatico continuerà ad aumentare in maniera proporzionale all’aumento della connettività di aziende e privati.

Gli studi stimano che l’economia di Internet ogni anno genera tra 2.000 e 3.000 miliardi di dollari, una quota dell’economia globale che è destinata a crescere rapidamente, quota che viene ridotta circa del 15 % – 20 % dai crimini informatici. Il cybercrime produce rendimenti elevati a basso rischio e, relativamente, a basso costo per gli hacker, le violazioni rappresentano un costo sistematico per le imprese.

Ed è così che la questione della tutela della privacy in internet ha travolto tutti, dalle pubbliche amministrazione alle aziende fino ai singoli privati. L’8 giugno u.s. il sito LeakedSource ha rivelato di essere in possesso di circa 32 milioni di account twitter – ovvero indirizzi mail, username e password, in vendita nel dark web. I dati personali hackerati sui vari social e siti web vengono poi rivenduti dai pirati informatici, in un vero e proprio mercato nero dove ogni account viene venduto anche per meno di 1 dollaro.

I furti di dati personali oltre a rappresentare una perdita economica, sempre più di frequente, producono un considerevole danno d’immagine sul mercato per l’azienda “vittima”, come ad esempio accaduto alla Sony, la quale dopo aver subito un attacco hacker ha visto crollare il proprio titolo in borsa e, conseguentemente, la propria credibilità.

Il vero “dramma” per le aziende colpite o attentate è la sempre maggiore presenza di soggetti radicati nella stessa organizzazione aziendale che portano avanti indisturbati la loro opera di sottrazione di dati anche per anni. Proprio a riguardo, il report “The State of Cybersecurity and Digital Trust 2016” (scaricabile cliccando qui) realizzato per conto di Accenture da HfS Research, ha evidenziato che il 69% dei security manager intervistati ha dovuto fare i conti in azienda con furti di dati da parte di insider.

Ma oltre il danno la beffa! È così che, nel caso in cui una società subisca un furto di dati, questa potrebbe vedersi addirittura “imputata”, a norma di quanto previsto dal D.lgs. 231/01: il decreto in questione prevede la responsabilità dell’ente per un reato informatico commesso a suo vantaggio o nel suo interesse da parte di amministratori, dirigenti e/o dipendenti, noncuranti minimamente dei presidi di sicurezza assolutamente necessari per la protezione dei dati (adozione di misure minime e misure idonee, sia fisiche e sia logiche).

Nel caso, molto frequente, in cui l’autore materiale non venga individuato dalle autorità inquirenti, e quindi non potendosi dimostrare che l’autore abbia agito a suo vantaggio esclusivo, è la società stessa a vedersi attribuita la responsabilità.

L’azienda va protetta prima di tutto dall’interno, partendo da una sensibilizzazione dei dipendenti, i quali sovente incorrono in reati senza esserne pienamente coscienti, come nel caso di utilizzo di software non originali o del download di file da siti pirata: necessario rendere i propri dipendenti consapevoli dei rischi e di tutto quello che può rappresentare una minaccia alla sicurezza e alla stessa esistenza della società Occorre poi stabilire gradi di responsabilità all’interno della società in ordine al trattamento dei dati, ed adottare e portare a conoscenza di tutti i dipendenti una policy privacy che sia calata nella realtà aziendale.

il problema principale è la mancata presa di coscienza della portata del rischio in cui incorre l’azienda, da parte soprattutto degli stessi vertici: investire risorse nella sicurezza, dotarsi di un valido ed efficace Modello di Organizzazione Gestione e Controllo e formare i dipendenti appaiono essere per le aziende i mezzi più adeguati per tutelarsi sia dagli attacchi interni e sia da eventuali imputazioni per responsabilità ex D.lgs. 231/01.

Per ulteriori approfondimenti visitate un articolo molto interessante pubblicato su “altalex” cliccando qui.

Il codice deontologico privacy e la professione forense

Il codice deontologico privacy e la professione forense

La libera professione forense ha interessato la produzione di provvedimenti privacy, sin dall’entrata in vigore del relativo Codice (D.lgs. 196/03), in considerazione della natura e tipologia di dati personali trattati. Il Garante Privacy ne ha sottolineato l’importanza e la peculiarità emanando, già nel 2004, un primo provvedimento datato 3 giugno dello stesso anno.

Il 1° gennaio 2009 è entrato in vigore il “Codice Deontologico sul trattamento dei dati personali per avvocati ed investigatori privati” (Provvedimento del Garante n. 60 del 6 novembre 2008) che, in virtù dell’art. 12 del Codice Privacy, costituisce “condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici”, allorquando interessano specifici settori.

Lo scopo del Codice Deontologico è, fondamentalmente, la prevenzione di incertezze che possano arrecare pregiudizi all’attività forense ed a quella investigativa, delineando le modalità di comportamento cui devono attenersi avvocati ed investigatori per far sì che i trattamenti di dati, da questi effettuati, rispettino sempre i principi della liceità, proporzionalità e correttezza.

Occupiamoci adesso più nel dettaglio del Codice Deontologico.

Qual è l’ambito di applicazione del Codice Deontologico?

Da un punto di vista oggettivo, il Codice, la cui puntuale osservanza costituisce condizione legittimante il trattamento dei dati in questione, trova applicazione nell’ambito dello svolgimento di investigazioni difensive o dell’esercizio di un diritto in sede giudiziaria. Per ciò che attiene quest’ultimo ambito, esso ricomprende altresì i procedimenti avviati in sede amministrativa, di arbitrato o di conciliazione, nonché le fasi propedeutiche o successive all’instaurazione di un giudizio.

L’ambito di applicazione soggettivo del Codice, invece, oltre ad avvocati ed investigatori, riguarda anche i collaboratori dei su menzionati professionisti che prestano, dietro specifico mandato, attività di assistenza o consulenza per le medesime finalità.

Quali sono gli adempimenti a cui è tenuto il professionista?

Anzitutto occorre chiarire che, nell’ambito dell’attività forense, il titolare del trattamento è individuato o nel singolo professionista, o in una pluralità di professionisti, qualora codifensori della stessa parte, od infine in un’associazione tra professionisti.

La designazione di un “responsabile” è facoltativa, mentre il professionista dovrà necessariamente designare gli incaricati al trattamento e fornire a questi concrete istruzioni da seguire.

Ciò posto, per incaricati del trattamento si devono intendere: il sostituto processuale, il praticante avvocato, il consulente tecnico di parte, il perito, l’investigatore privato o altro ausiliario che non rivesta la qualità di autonomo titolare del trattamento, i tirocinanti, lo stagista, nonché la persona addetta ai compiti di collaborazione amministrativa.

L’informativa può essere fornita sia in forma scritta sia in forma orale e non deve sottostare a specifici requisiti formali, dunque, anche semplicemente esporla nei locali dello studio o pubblicarla sul proprio sito internet.

L’avvocato o l’investigatore, nell’esercizio del proprio mandato, sono tenuti a richiedere il consenso dell’interessato?

La risposta è da ritenersi di senso negativo. Per i dati trattati sia nel corso di un procedimento, sia nella fase propedeutica e/o successiva, il consenso dell’interessato non va richiesto qualora venga perseguita la finalità di difesa di un diritto: l’art 24, comma 1 lett. f) fissa un importante principio, in base al quale non è richiesto il consenso per il trattamento dei dati personali qualora, questo sia necessario ai fini delle attività investigative o per far valere o difendere un diritto in sede giudiziaria.

Più nel particolare, l’art. 26 del Codice Privacy stabilisce che i dati sensibili possano essere trattati, previa autorizzazione del Garante, anche senza consenso quando il trattamento sia finalizzato al compimento di investigazioni difensive o alla difesa di un diritto in sede giudiziaria, ed il trattamento avvenga esclusivamente per tali finalità e per il periodo di tempo strettamente necessario.

Tuttavia, lo stesso Codice Privacy prevede, all’art. 40, la possibilità che il Garante emani Autorizzazioni Generali al trattamento dei dati rivolte a determinate categorie di titolari o trattamenti: i destinatari sono quindi esonerati dal richiedere autorizzazioni ad hoc al Garante, ogni qualvolta il trattamento che si accingono ad effettuare rientri in quelli previsti dalle suddette autorizzazioni generali

A tal proposito, è intervenuta l’Autorizzazione Generale n° 4/2014 con la quale il Garante, con cadenza biennale, ha autorizzato i liberi professionisti al trattamento dei dati sensibili e giudiziari, stabilendo che i destinatari di tale autorizzazione sono esonerati dal richiedere il provvedimento autorizzativo all’Autorità ogni qualvolta debbano trattare dati giudiziari e/o sensibili.

Nonostante quanto stabilito in sede di Autorizzazione Generale, per il trattamento dei dati idonei a rilevare lo stato di salute o la vita sessuale, il consenso non è richiesto qualora il diritto da tutelare in sede giudiziaria sia di rango pari a quello dell’interessato, ovvero consista in un diritto della personalità o in altri diritti o libertà fondamentali.

Tutto quanto sopra riportato è di notevole importanza se si pensa, altresì, alle conseguenze legate alla violazione del disposto dell’Autorizzazione Generale; il Codice Privacy sanziona con la reclusione da 1 a 3 anni il trattamento illecito dei dati conseguente al mancato adempimento delle prescrizioni della citata autorizzazione1.

Per quanto tempo possono essere lecitamente conservati i dati personali?

Prima ancora di individuare un termine di conservazione, è utile premettere che, in ogni caso, l’avvocato, per tutto l’arco di tempo in cui ha la custodia dei dati personali del cliente, è tenuto ad adottare ogni misura di sicurezza idonea che sia utile al fine di ridurre il rischio di perdita e/o danneggiamento degli stessi.

Una volta estintosi il procedimento cui i dati si riferiscono, il difensore non è più obbligato alla loro dismissione; atti e documenti possono essere conservati qualora siano necessari per ulteriori esigenze difensive e sono sempre custoditi solamente i dati strettamente necessari ad ulteriori eventuali esigenze difensive, nonché ad adempiere ad obblighi normativi.

Tuttavia, in caso di revoca o rinuncia al mandato, la documentazione deve essere rimessa al nuovo difensore, mentre, nel caso in cui non sia stato nominato un altro difensore, tutti i documenti dovranno essere consegnati al consiglio dell’Ordine di appartenenza ai fini della conservazione per finalità difensive.

Si possono, in conclusione, riassumere quelle che sono le regole fondamentali per un corretto trattamento di dati personali:

  • il trattamento dei dati deve sempre rispondere ai principi generali di liceità, proporzionalità e non eccedenza;

  • deve essere effettuato solo dal responsabile, se designato, e dagli incaricati correttamente nominati e dopo aver impartito loro specifiche istruzioni;

  • è necessario fornire un’adeguata informativa agli interessati;

  • è doveroso predisporre ogni idonea misura di sicurezza;

  • in caso si tratti di dati sensibili o giudiziari è necessario seguire le istruzioni impartite dal Garante nelle Autorizzazioni Generali.

Con l’auspicio di aver contribuito a chiarire i principali adempimenti in capo a professionisti che trattano dati sensibili ed in particolare di natura giudiziaria, mi riservo di procedere con un ulteriore approfondimento relativamente alle attività investigative che, per loro natura, sono connotate da particolare complessità.

1 Nel comparto sanzionatorio privacy occorre fare una precisazione: la violazione a quanto disposto da un Autorizzazione Generale è punita con la reclusione da 1 a 3 anni, diversamente per il mancato rispetto di un provvedimento autorizzativo ad hoc la sanzione è dettata dall’art. 170 ( in osservanza dei provvedimenti del Garante ) che sancisce la reclusione da 3 mesi a 2 anni.