Blog : Sanzioni

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

Negli ultimi anni si sono sempre più sviluppate pratiche di telemarketing aggressivo, attuate maggiormente tramite un vero e proprio “assalto” alle utenze telefoniche dei privati; eppure esistono regole in grado di arginare tali prassi.

La norma principale che regola i contatti tra utente ed operatori economici è espressa dall’art. 23 del D.lgs. 196/2003 (di seguito Codice Privacy o Codice), in base al quale il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

Il consenso deve essere informato, ovvero, l’interessato deve ricevere un’informativa, attraverso la quale venga messo a conoscenza di tutte le informazioni relative all’esercizio dei propri diritti ed alle modalità di trattamento dei propri dati.

Ottenuto il consenso dell’interessato, il trattamento dovrà essere effettuato rispettando sempre il vincolo della finalità, non potendo andare oltre quanto previsto dallo scopo originario, riducendo al minimo l’utilizzo dei dati; è assurdo pensare che ottenuto il consenso, il titolare sia legittimato a trattare senza restrizioni i dati dell’interessato.

A tal proposito il Garante è intervenuto numerose volte in materia, sia con un provvedimento generale “Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto” e sia con le “Linee Guida in materia di attività promozionale e contrasto allo spam”, entrambi emanati nel 2013. L’Autorità Garante ha previsto che sia richiesto un consenso specifico per ogni finalità perseguita dal titolare del trattamento, come marketing, profilazione o diffusione.

Le società possono ricercare nuovi clienti ricavando le utenze dagli elenchi telefonici, al fine di chiedere il consenso a ricevere comunicazioni commerciali e solo nel caso in cui l’utenza non risulti iscritta al Registro Pubblico delle Opposizioni1. A partire dal 31 gennaio 2011 gli operatori di telemarketing sono tenuti sia a verificare, prima di contattare le utenze, se queste siano iscritte o meno a suddetto Registro e sia ad informare gli abbonati, nel corso della telefonata, della possibilità di iscriversi al Registro delle Opposizioni.

La violazione del diritto di opposizione, da parte degli operatori di telemarketing, è punita dall’art. 162 comma 2-quater del D.lgs. 196/2003 (di seguito Codice Privacy) con una sanzione amministrativa da 10.000 a 200.000 euro, senza possibilità di pagamento in forma ridotta.

Le decisioni dell’Autorità giurisdizionale in materia hanno spesso punito pesantemente le violazioni alla disciplina di tutela dei dati personali poste in essere dalle società; non da ultimo, la Corte di Cassazione con la sentenza n° 17143/2016 ha confermato la condanna all’operatore al pagamento di una maxi sanzione amministrativa di 300.000 euro.

Quale il precetto violato? La società di telecomunicazioni utilizzava banche dati, fornitele da due società, composte da oltre quattordici milioni di anagrafiche provenienti da elenchi telefonici formati prima dell’agosto 20052; in merito a tali banche dati, il Garante con Provvedimento del 12 marzo 2009 stabiliva che i titolari del trattamento, e solo questi, potevano accedere ad un regime più favorevole per il loro utilizzo, ovvero era sufficiente dare prova di aver fornito agli interessati l’informativa.

L’Autorità Garante per la protezione dei dati personali, dopo aver ricevuto numerose segnalazioni da parte di utenti contattati dall’operatore telefonico, ha eseguito un’ispezione nella sede e nei call center della società, emettendo nell’immediato un provvedimento inibitorio (Provv. 26 giugno 2008).

Le contestazioni mosse alla società di telecomunicazione nel provvedimento del Garante Privacy riguardavano:

  1. L’utilizzo di dati, acquisiti da terzi, provenienti da elenchi telefonici pubblicati antecedentemente al 1° agosto 2005;
  2. L’aver trattato dati acquisiti da altre società senza aver fornito idonea informativa3 e senza aver acquisito il consenso degli interessati4;
  3. L’aver commesso le suddette violazioni in relazione a banche dati di particolari rilevanza e dimensioni5.

La società di telecomunicazioni ha provveduto al pagamento in forma ridotta per tutte le violazioni contestatele, con eccezione dell’ultima in elenco, e per la quale il Garante ha irrogato, in un secondo provvedimento (Provv. 18 ottobre 2012), una sanzione autonoma di 300.000 euro.

Confermato il provvedimento anche dal Tribunale ordinario, l’operatore telefonico è ricorso in Cassazione avverso tale sentenza. Secondo la società risultava illegittimo il cumulo materiale effettuato tra le varie sanzioni, in quanto il bene giuridico sotteso era lo stesso, trovandosi quindi davanti alla violazione del principio giuridico del ne bis in idem.

Di contrario avviso sono stati i giudici della Suprema Corte, i quali hanno chiarito che trattandosi di due diversi beni giuridici (da una parte il dato personale e dall’altro le banche dati) la questione dibattuta riguarda non aspetti quantitativi, bensì qualitativi. Inoltre, l’utilizzo di banche dati di particolare rilevanza non integra un’ipotesi aggravata rispetto alle altre, ma configura un’ipotesi di illecito del tutto autonoma e, quindi, materialmente cumulabile alle altre sanzioni.

Per ciò che concerne la mancata informativa e l’assenza del consenso, i giudici di legittimità hanno ribadito come queste siano condizioni legittimanti il trattamento dei dati; chi acquisisce banche dati da terzi, deve accertarsi che gli interessati abbiano validamente espresso il proprio consenso sia alla trasmissione di dati e sia al trattamento per finalità di marketing.

Nel caso di specie, né le società che hanno formato le banche dati, né lo stesso operatore telefonico sono stati in grado di dar prova di aver fornito l’informativa e di aver ricevuto il consenso alla comunicazione ed al trattamento dei dati.

Appare evidente come le operazioni poste in essere dalla società di telecomunicazione abbiano violato la privacy di milioni di cittadini, invadendo la loro sfera privata e non rispettando le norme basilari sulla protezione dei dati personali.

Non da ultimo, un altro operatore telefonico è stato oggetto di analogo provvedimento del Garante (Provv. 22 giugno 2016), con il quale l’Autorità ha vietato alla società l’ulteriore trattamento per finalità di marketing dei dati di circa 7 milioni di ex clienti, i quali non avevano dato il consenso al trattamento dei propri dati.

E’ pacifico che, l’attuale sistema sanzionatorio non costituisce un concreto strumento di difesa dei diritti dei dati personali, contenuti in banche-dati ed utilizzati per le finalità di cui finora si è argomentato.

Non sarà così con l’operatività del Nuovo Regolamento UE n° 679/2016 che, a partire dal 25 Maggio 2018, prevedrà, tra le altre diverse e significative novità, anche l’inasprimento delle sanzioni per chi violerà la “privacy”, attesa la parametrazione al volume d’affari mondiale del trasgressore, variando dal 2% al 4% del fatturato. Nel caso di violazione dei principi di base del trattamento, comprese le condizioni relative al consenso, è prevista la sanzione pecuniaria fino a 20.000 000 di Euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art.83, comma 5 Reg. UE 679/20166).

1Il Registro Pubblico delle Opposizioni è un servizio a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici. Iscrivendosi a tale Registro l’interessato manifesta la sua volontà di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato, e non potrà più essere contattato dalle società per tali finalità.

2In base al dettato dell’art.44 D.L. 207/08 (convertito nella l. 14/2009) “i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali (sino al termine di sei mesi successivi alla data di entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135) , anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.”

3 L’art. 161 del D.lgs. 196/2003 punisce l’omessa o inidonea informativa con una sanzione amministrativa da 6.000 a 36.000 euro.

4 L’art. 162 comma 2-bis del D.lgs. 196/2003 prevede una sanzione da 10.000 a 50.000 euro.

5 L’art. 164-bis punisce i trattamenti in violazione delle norme precedenti effettuati con riferimento a banche dati di particolare rilevanza, con una sanzione amministrativa dai 50.000 ai 300.000 euro.

6 In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.”

 

La videosorveglianza e la privacy dopo il Jobs Act

La videosorveglianza e la privacy dopo il Jobs Act

Come regolarizzare l’installazione e l’impiego illecito di impianti audiovisivi accertati nel corso di ispezioni.

Moltissimo è stato scritto in tema di videosorveglianza all’indomani della riforma del famigerato art. 4 dello Statuto dei Lavoratori, strettamente connesso alle disposizioni dettate dal Codice della Privacy per le implicazioni sul rispetto di principi fondamentali della dignità e della libertà individuale dei lavoratori in ipotesi di trattamento dei dati personali ad essi riconducibili (immagini).

Ma al di là delle apparenti “formali” differenze nel testo del citato art. 4 rispetto al previgente (ante 25 settembre 2015), ciò che più interessa di questa riforma è l’eliminazione del divieto assoluto di installare apparecchi audiovisivi all’interno degli ambienti di lavoro, in presenza di lavoratori, oltre che l’aver sancito, per norma, la possibilità di installare videocamere per finalità di difesa del patrimonio dell’azienda, utilizzando le immagini in tutte le fasi del rapporto di lavoro – anche di carattere disciplinare.

Naturalmente, stante esigenze di tutela della riservatezza dei dati personali dei lavoratori, la norma, oltre a dettare quale presupposto legittimante l’installazione, l’accordo sindacale o, in mancanza, l’autorizzazione della Direzione Territoriale del Lavoro competente per territorio (non mi dilungo su quest’aspetto), prescrive lo stretto rispetto della normativa privacy, oggetto di adeguata informazione, allorquando occorrerà utilizzare i dati raccolti mediante l’utilizzo degli impianti audiovisivi o di altri strumenti per fini connessi al rapporto di lavoro.

Dunque, due ordini di “paletti” normativi fissati dalla nuova formulazione del già citato articolo 4: al 1° comma, in continuità con la norma ante Jobs act – ad eccezione di quanto sopra precisato – e l’altro, invece, al 3° comma, totalmente nuovo rispetto al vecchio testo e che qui si riporta: “ Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.”.

In altri termini, il Legislatore, mutuando da orientamenti giurisprudenziali della Suprema Corte di Cassazione e da Provvedimenti del Garante della Privacy, ha sintetizzato in un’unica norma di precetto la disciplina dell’utilizzo di sistemi audiovisivi, e la sanzione implicita, quale conseguenza della mancata osservanza del precetto stesso.

Ma quali sono le ulteriori conseguenze nel caso di violazione alla disciplina contenuta nell’art. 4 citato, oltre a quanto “implicitamente” previsto e sopra riportato?

In virtù di consolidato orientamento della giurisprudenza della Suprema Corte di Cassazione e dei Provvedimenti dell’Autorità Garante della Privacy, è ormai chiarita l’illegittimità dell’installazione di impianti di videosorveglianza senza che sia intervenuto, preventivamente, l’accordo con le rappresentanze sindacali o, in mancanza, dell’autorizzazione della Direzione Territoriale del Lavoro.

Dunque, come chiaramente espresso dalla Cassazione in una delle note sentenze in materia, “l’idoneità degli impianti a ledere il bene giuridico protetto, cioè il diritto alla riservatezza dei lavoratori, emerge ictu oculi dalla lettura del testo normativo – idoneità che peraltro è sufficiente anche se l’impianto non è messo in funzione, poiché, configurandosi come un reato di pericolo, la norma sanziona a priori l’installazione, prescindendo dal suo utilizzo o meno”. Né vale ad evitare la responsabilità penale il consenso, ancorché unanime, dei lavoratori all’installazione delle telecamere nei luoghi di lavoro; addirittura, si è chiamati a rispondere a titolo di reato anche nel caso di telecamere “finte” montate solo per dissuadere il malintenzionato che vuole arrecare un danno.

Di recente, anche il Ministero del Lavoro e delle Politiche Sociali, conformemente a quanto sinora riportato, con Circolare datata 1° Giugno u.s. si è pronunciato sia sul tenore letterale del più volte citato art. 4 dello Statuto dei Lavoratori, sia sui modi e tempi di ottenimento o richiesta dell’accordo sindacale o dell’autorizzazione della Direzione Territoriale del Lavoro, ponendo in evidenza anche gli effetti della “prescrizione” ( o anche, in gergo comune, diffida ) che il personale ispettivo impartisce al rappresentante legale dell’azienda contravventore, nel corso di ispezioni e all’esito di verifiche dalle quali scaturisce l’installazione e l’utilizzo illegittimo di impianti audiovisivi.

Proprio in base al combinato disposto di cui all’art. 171 del Codice della Privacy che, per gli effetti sanzionatori, rinvia all’art. 38 dello Statuto dei Lavoratori e dell’art. 20 del D.lgs. 758/1994, si evince che, salvo non venga configurato un reato più grave, la sanzione dell’ammenda da Euro 154 a Euro 1.549 o dell’arresto da 15 giorni ad un anno può essere “sanata” adempiendo alla “prescrizione” di cui sopra.

In particolare, il citato art. 20, nello statuire la possibilità di eliminazione della contravvenzione accertata in virtù di apposita prescrizione impartita dal personale ispettivo in veste di Polizia Giudiziaria, definisce anche un limite massimo di sei mesi, non prorogabile per più di una volta per poter adempiere e comunque in presenza di una “particolare complessità o per l’oggettiva difficoltà, dell’adempimento”.

Se poi specifiche circostanze non imputabili al contravventore determinano un’ulteriore ritardo nella regolarizzazione, il termine di sei mesi può essere prorogato per ulteriori sei mesi a richiesta del contravventore medesimo, con provvedimento motivato che dovrà essere immediatamente comunicato al pubblico ministero.

Dunque, se da un lato la prescrizione detta le attività che il contravventore dovrà porre in essere per regolarizzare l’illecito accertato (smantellamento del sistema di videosorveglianza installato ante accordo sindacale o richiesta di autorizzazione alla Direzione Territoriale del Lavoro e contestuale proposta di accordo o autorizzazione ai sensi dell’art. 4 cit.) nei tempi indicati nella prescrizione medesima e tenendo fede a quanto indicato nell’alinea che precede, dall’altro lato resta l’obbligo del personale ispettivo, in veste di Polizia Giudiziaria, di riferire al pubblico ministero la notizia di reato secondo le previsioni del codice di procedura penale; il procedimento viene sospeso dal momento dell’iscrizione nel registro delle notizie di reato e fino al verificarsi di una delle cause di estinzione o di riavvio del procedimento medesimo (adempimento o inadempimento alla diffida).

Ciò detto, vediamo più nel dettaglio come si sviluppa la fase processuale penale e quella amministrativa a seguito dell’accertata violazione e dei termini di regolarizzazione della prescrizione.

Se il contravventore adempie alla prescrizione nei termini fissati dall’organo di vigilanza che la emette, nei successivi trenta giorni, il contravventore medesimo verrà ammesso a pagare, in via amministrativa, una sanzione pecuniaria pari a un quarto del massimo dell’ammenda stabilita di Euro 387,00 (trecento ottantasette), con successiva comunicazione al pubblico ministero del pagamento della sanzione e dell’adempimento di quanto prescritto, sempre a cura dello stesso organo di vigilanza. Ovviamente, tali circostanze, testè indicate, produrranno l’estinzione del reato con richiesta di archiviazione del procedimento a cura del pubblico ministero procedente.

Qualora il pubblico ministero acquisisca la notizia di reato di propria iniziativa o la riceva da privati, ovvero da altri pubblici ufficiali diversi dall’organo di vigilanza preposto per legge a tali tipologie di controllo, informa immediatamente l’organo di vigilanza per l’eventuale emissione della già citata prescrizione e al fine di eliminare la contravvenzione. Naturalmente, ed è questo il caso più delicato, se l’organo di vigilanza non assume alcuna iniziativa ovvero omette di informare il pubblico ministero circa le proprie determinazioni, il procedimento riprende il suo corso, fino a conclusione delle indagini preliminari e con l’avvio delle ulteriori fasi processuali.

È del tutto evidente che, qualora intervenga la sigla dell’accordo sindacale oppure l’autorizzazione della Direzione Territoriale competente nell’arco del periodo di tempo fissato dall’organo di vigilanza utile ad eliminare la contravvenzione, il contravventore sarà ammesso a pagare la sanzione amministrativa di Euro 387 nel termine di trenta giorni e il procedimento verrà archiviato per intervenuta estinzione dell’illecito penale.

E allora avviamoci alle conclusioni.

Se è vero che ( “salvo che il fatto non costituisca reato più grave” ) l’illecito penale generato dalla violazione del precetto di cui all’art. 4 dello Statuto dei Lavoratori è sanzionato con una pena assolutamente blanda e di semplice “gestione” processuale, ciò che invece gli addetti ai lavori più attenti non sottovalutano sono le ulteriori conseguenze civilistiche per il risarcimento del danno richiesto dal soggetto nei cui confronti è stato posto in essere un trattamento illecito dei dati, atteso che tale trattamento è configurabile quale “attività pericolosa” e dunque annoverabile tra i fatti giuridici potenzialmente idonei a produrre un risarcimento (art. 2050 c.c.).

Da ultimo si evidenziano le implicazioni – in termini di risonanza anche mediatica – connesse alla pubblicazione della sentenza di condanna, nei casi più gravi, da parte del giudice, secondo le modalità e tempistiche definite nel codice penale.

Fonti normative, organi e sanzioni che regolano la privacy

Fonti normative, organi e sanzioni che regolano la privacy

Da quali Fonti Normative deriva la TUTELA DELLA RISERVATEZZA degli INDIVIDUI (PRIVACY)?

In via prevalente, la Privacy è disciplinata da:

  • Carta dei diritti fondamentali dell’Unione Europea
  • Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 operativo a partire dal 25 maggio 2018 e direttive europee (95/46/CE e 2002/58/CE);
  • Codice in materia di protezione dei dati personali:

Decreto Legislativo  30 giugno 2003 n. 196

  • Decreti Legislativi, in particolare:

Decreto-Legge 22 giugno 2012, n. 83 convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134 Art. 24-bis  Misure a sostegno della tutela dei dati personali, della sicurezza nazionale, della concorrenza e dell’occupazione nelle attività svolte da call center- 

Decreto legislativo   28 maggio 2012 , n. 69
Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita’ nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.

Decreto-legge 9 febbraio 2012, n. 5
Recante disposizioni urgenti in materia di semplificazione e di sviluppo,
convertito con modificazioni, dalla legge 4 aprile 2012, n. 35

Decreto del Presidente della Repubblica 7 settembre 2010, n. 178
Regolamento recante istituzione e gestione del registro pubblico degli abbonati che si oppongono all’utilizzo del proprio numero telefonico per vendite o promozioni commerciali.

Decreto Legislativo 30 maggio 2008, n. 109
Attuazione della direttiva 2006/24/CE riguardante la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE

  • Linee Guida / Provvedimenti del Garante ;
  • Autorizzazioni Generali del Garante.

Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675) – che ha attuato nell’ordinamento giuridico italiano la direttiva comunitaria 95/46/CE – e oggi disciplinata dal Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196).

Il Garante è un organo collegiale formato da quattro membri, eletti due dalla Camera dei Deputati e due dal Senato della Repubblica con voto limitato, scelti tra persone che assicurino indipendenza ed  esperti riconosciuti nelle materie del diritto o dell’informatica. La durata in carica è di sette anni ed il mandato non è rinnovabile.

I poteri del Garante

I compiti assegnati al Garante sono puntualmente individuati dall’art. 154 del D.lgs. 196/2003, tra cui i più rilevanti possono essere riepilogati in funzioni di:

  1. Controllo sul rispetto della disciplina privacy
  2. Risoluzione di casi specifici
  3. Emanazione di atti autoritativi
  4. Educazione alla privacy
  5. Irrogazione di sanzioni amministrative
  6. Consulenza al Parlamento e Governo
  7. Relazione al Parlamento e Governo

Inoltre, il Garante partecipa alle attività comunitarie ed internazionale di settore e fa parte del Gruppo art. 29 – organismo europeo consultivo formato dalle Autorità di protezione dei dati personali di ciascuno stato membro, dal Garante Europeo e da un rappresentante della Commissione –  e delle Autorità comuni di controllo previste dalle convenzioni internazionali.

Ruolo di primaria importanza ricoperto dal Garante è quello di tutore del diritto alla protezione dei dati in sede amministrativa; gli interessati possono alternativamente rivolgersi all’Autorità giudiziaria ordinaria o all’Autorità Garante.

La protezione dei dati personali

Come ci si rivolge al Garante per esercitare la tutela dei propri dati personali?

Essenzialmente, attraverso:

  • il reclamo, vale a dire un atto circostanziato per rappresentare una violazione della disciplina rilevante in materia di trattamento dei dati personali;
  • la segnalazione, qualora non sia possibile presentare un reclamo al fine di sollecitare un controllo da parte del Garante;
  • il ricorso, qualora si voglia far valere lo specifico diritto di accesso ai dati personali. Si tratta di uno strumento alternativo all’esercizio dei medesimi diritti di fronte all’autorità giudiziaria

L’art. 150 del Codice Privacy prevede che, qualora la peculiarità del caso lo preveda, il Garante può disporre in via provvisoria il blocco in tutto o in parte di taluno dei dati, ovvero l’immediata sospensione di una o più operazioni del trattamento.

Il Garante, qualora ritenga fondato il ricorso, ordina al titolare, con decisione motivata di cessare dal comportamento illegittimo contestualmente indicando le misure necessarie per la tutela dei diritti dell’interessato, altresì indica un termine per la loro adozione.

Avverso i provvedimenti del Garante ed avverso il rigetto tacito, decorsi quindi 60 giorni dalla data di presentazione del ricorso, è esperibile ricorso all’Autorità giudiziaria ordinaria.

Diritto di accedere ai propri dati personali

E’ riconosciuto agli interessati il diritto di richiedere ad un soggetto, sia esso persona fisica o giuridica, di fornire informazioni sul trattamento dei propri dati personali, nonché ottenere tutte le informazioni personali detenute dal titolare del trattamento.

E’ quindi possibile richiedere l’origine dei dati personali trattati, le finalità e le modalità del trattamento, se i dati sono stati trattati con strumenti elettronici e quale sia la logica applicata a tale trattamento, gli estremi identificativi di chi tratta i dati ed infine i soggetti/categorie di soggetti ai quali i dati personali possono essere comunicati, o che posso venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

Diritto all’aggiornamento, alla rettificazione o alla cancellazione dei dati personali

E’ possibile richiedere a chi sta trattando i propri dati personali che questi vengano aggiornati, rettificati o integrati, nonché che i dati siano bloccati, cancellati o trasformati in forma anonima nei casi in cui il trattamento non venga effettuato secondo le regole stabilite dalla legge o non sia più necessaria la loro conservazione.

Diritto di opposizione

E’ sempre possibile opporsi al trattamento dei propri dati personali per motivi legittimi o quando i dati sono trattati per finalità commerciali o di marketing.

Il sistema sanzionatorio

Il sistema sanzionatorio distingue tra violazioni amministrative ed illeciti penali.

Le sanzioni amministrative puniscono la violazione delle norme procedurali o di condotte che ostacolano l’attività del Garante. In particolare sono punite:

  • L’omessa o inidonea informativa – art. 161 d.lgs. 196/2003 –
  • La cessione di dati, in occasione della cessazione del trattamento, fatta ad altro Titolare che destina i dati ad un trattamento con finalità non compatibili con gli scopi per cui sono stati raccolti – art. 162 c.1 d.lgs. 196/2003-
  • La comunicazione all’interessato di suoi dati inerenti la stato di salute e la vita sessuale non per il mezzo del medico designato dall’interessato o dal titolare – art. 162 c. 2 d.lgs. 196/2003-
  • La violazione delle misure minime di sicurezza o delle disposizioni dell’art 167 “Trattamento illecito dei dati” – art. 162 c. 2-bis d.lgs. 196/2003-
  • Il mancato rispetto delle misure necessarie o dei divieti previsti dal Garante ai sensi dell’art. 154 c. 1 lett. C) ed E) – art 162 c. 2-ter d.lgs. 196/2003 –
  • La violazione del diritto di opposizione nelle forme previste dall’art. 130 c. 3-bis – art.162 c. 2-quater d.lgs. 196/2003-
  • L’omessa o incompleta notificazione – art. 163 d.lgs. 196/2003 –
  • L’omessa informazione o esibizione al Garante – art. 164 d.lgs. 196/2003 –

Le sanzioni penali riguardano in primis il Titolare del trattamento ed in alcuni casi anche gli incaricati. Le fattispecie punibili riguardano:

  • Il trattamento illecito dei dati – art. 167 d.lgs. 196/2003 –
  • Falsità nelle dichiarazioni e notificazioni al Garante – art. 168 d.lgs. 196/2003 –
  • L’omissione dell’adozione delle misure minime di sicurezza – art. 169 d.lgs. 196/2003-
  • L’inosservanza di provvedimenti del Garante – art. 170 d.lgs. 196/2003 –
  • La violazione del divieto per il datore di lavoro, di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché la violazione del nuovo art. 4, commi 1 e 2 dello Statuto dei Lavoratori.