http://www.compliancenet.it/
e
sion
r
e
V
leta
p
m
co
http://www.cmaconsulting.it/
Panfilo Marcelli
Sei lezioni sulla privacy
corso di formazione per le aziende
con casi pratici ed esercitazioni
1.
2.
3.
4.
5.
6.
Introduzione alla privacy
Organizzazione aziendale per la privacy
Protezione dei dati personali
Diritto d'accesso
Videosorveglianza
Marketing e comunicazioni
Licenza libera per uso
commerciali
personale
versione 3.1
17 novembre 2009
Per uso commerciale
si vedano le istruzioni
all’interno
http://www.compliancenet.it/content/6-lezioni-sulla-privacy
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
http://creativecommons.org/licenses/by-nc/2.5/it/
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
http://creativecommons.org/licenses/by-nc/2.5/it/
Commons Deed
Tu sei libero:
 di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,
rappresentare, eseguire e recitare quest'opera
 di modificare quest'opera
Per uso
commerciale si
vedano le istruzioni
all’interno
Alle seguenti condizioni:
 Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore
o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi
avallino te o il modo in cui tu usi l'opera.
 Non commerciale. Non puoi usare quest'opera per fini commerciali.
 Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza,
che va comunicata con chiarezza.
 In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da
questa licenza ([email protected]).
 Questa licenza lascia impregiudicati i diritti morali.
Limitazione di responsabilità
Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo
limitati da quanto sopra.
Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.
1
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
Indice
Indice sintetico
INDICE SINTETICO ................................................................................. I
INDICE COMPLETO .............................................................................. II
LICENZA PER USO PERSONALE E PER USO COMMERCIALE
DEL LIBRO ................................................................................................ 1
INTRODUZIONE ...................................................................................... 1
LEZIONE 1 – INTRODUZIONE ALLA PRIVACY ............................ 7
LEZIONE 2 – ORGANIZZAZIONE DELLA PRIVACY .................. 47
LEZIONE 3 – PROTEZIONE DEI DATI PERSONALI .................. 113
LEZIONE 4 - DIRITTO D’ACCESSO ............................................... 194
LEZIONE 5 - VIDEOSORVEGLIANZA ........................................... 222
LEZIONE 6 - MARKETING E COMUNICAZIONI
COMMERCIALI ................................................................................... 261
I
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Indice
Indice completo
INDICE SINTETICO ........................................................................................................................................................I
INDICE COMPLETO ..................................................................................................................................................... II
LICENZA PER USO PERSONALE E PER USO COMMERCIALE DEL LIBRO ................................................. 1
INTRODUZIONE............................................................................................................................................................. 1
LEZIONE 1 – INTRODUZIONE ALLA PRIVACY .................................................................................................... 7
CASO DI STUDIO A – ARCOBALENI196 E LA PRIVACY ........................................................................................................ 9
UNITÀ DIDATTICA 1.1 – IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI ................................................................ 15
Modulo 1.1.1 – Mini glossario ................................................................................................................................ 16
Modulo 1.1.2 – Sintesi delle norme sulla privacy ................................................................................................... 17
Modulo 1.1.3 – Quadro normativo .......................................................................................................................... 18
DOMANDE DI VERIFICA 1.1 ........................................................................................................................................... 19
UNITÀ DIDATTICA 1.2 – IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI ........................................................... 21
Modulo 1.2.1 – L’ufficio del Garante...................................................................................................................... 22
Modulo 1.2.2 – Ispezioni del Garante ..................................................................................................................... 24
Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della Guardia di Finanza ........................................ 25
DOMANDE DI VERIFICA 1.2 ........................................................................................................................................... 26
UNITÀ DIDATTICA 1.3 – LE PRINCIPALI NORME SULLA PRIVACY ................................................................................... 27
Modulo 1.3.1 – Codice in materia di protezione dei dati personali ........................................................................ 28
Modulo 1.3.2 – Allegati al Codice .......................................................................................................................... 31
Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza ................................. 32
Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione .................................................. 37
Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” ............................................ 39
Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008 .............................................................. 41
DOMANDE DI VERIFICA 1.3 ........................................................................................................................................... 43
RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 1 ............................................................................................ 44
LEZIONE 2 – ORGANIZZAZIONE DELLA PRIVACY .......................................................................................... 47
CASO DI STUDIO B - ARCOBALENI196 SI ORGANIZZA....................................................................................................... 49
UNITÀ DIDATTICA 2.1 – PRINCIPALI ADEMPIMENTI PREVISTI DAL CODICE ................................................................... 57
Modulo 2.1.1 – L’informativa ................................................................................................................................. 58
Modulo 2.1.2 – Il consenso ..................................................................................................................................... 61
Modulo 2.1.3 – La notificazione.............................................................................................................................. 66
Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi ............................................................................................ 71
Modulo 2.1.5 – Le lettere di incarico ...................................................................................................................... 72
Modulo 2.1.6 – Le misure di sicurezza .................................................................................................................... 74
Modulo 2.1.7 – La formazione ................................................................................................................................ 76
Modulo 2.1.8 – I diritti degli interessati ................................................................................................................. 78
Modulo 2.1.9 – Check list di verifica degli adempimenti ........................................................................................ 80
DOMANDE DI VERIFICA 2.1 ........................................................................................................................................... 82
UNITÀ DIDATTICA 2.2 – PROVVEDIMENTI PIÙ RILEVANTI PER LE AZIENDE ................................................................... 83
Modulo 2.2.1 – Iniziative e provvedimenti del Garante .......................................................................................... 84
Modulo 2.2.2 – I nuovi adempimenti per le funzioni di “amministratore di sistema” ............................................ 86
Modulo 2.2.3 – Semplificazioni degli adempimenti ................................................................................................ 87
Modulo 2.2.4 – Banche: la “guida” del Garante per l'uso dei dati dei clienti ....................................................... 90
Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del Garante ........................................................... 91
Modulo 2.2.6 – Linee guida del Garante per posta elettronica e internet .............................................................. 92
Modulo 2.2.7 – Linee guida per il trattamento di dati dei dipendenti privati ......................................................... 93
Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici .................................................................................... 94
Modulo 2.2.9 – Videosorveglianza .......................................................................................................................... 97
Modulo 2.2.10 – Altri provvedimenti e pubblicazioni ............................................................................................. 98
II
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Indice
DOMANDE DI VERIFICA 2.2 ......................................................................................................................................... 100
UNITÀ DIDATTICA 2.3 – ORGANIZZAZIONE DELLA PRIVACY ....................................................................................... 101
Modulo 2.3.1 – Il censimento dei dati personali ................................................................................................... 102
Modulo 2.3.2 – Il censimento dei dati personali – elementi da catalogare .......................................................... 103
Modulo 2.3.3 – I soggetti che effettuano il trattamento ........................................................................................ 105
Modulo 2.3.4 – Titolare, contitolare o responsabile esterno ................................................................................ 107
Modulo 2.3.5 – Nomina del responsabile interno ................................................................................................. 108
Modulo 2.3.6 – Nomina del responsabile esterno ................................................................................................. 109
DOMANDE DI VERIFICA 2.3 ......................................................................................................................................... 110
RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 2 .......................................................................................... 111
LEZIONE 3 – PROTEZIONE DEI DATI PERSONALI ......................................................................................... 113
CASO DI STUDIO C ARCOBALENI196 E LA SICUREZZA INFORMATICA .............................................................................. 115
UNITÀ DIDATTICA 3.1 – LA SICUREZZA INFORMATICA ................................................................................................ 123
Modulo 3.1.1 – Privacy e sicurezza ...................................................................................................................... 124
Modulo 3.1.2 – Il quadro normativo della sicurezza informatica ......................................................................... 126
Modulo 3.1.3 – Cos’è la sicurezza informatica? ................................................................................................... 131
Modulo 3.1.4 – Standard di sicurezza ................................................................................................................... 132
Modulo 3.1.5 – Analisi dei rischi – la teoria......................................................................................................... 134
Modulo 3.1.6 – Analisi dei rischi – metodologie disponibili in italiano ............................................................... 135
Modulo 3.1.7 – Analisi dei rischi – un approccio semplificato ............................................................................. 136
Modulo 3.1.8 – Siti utili ed approfondimenti sulla sicurezza informatica ............................................................ 138
DOMANDE DI VERIFICA 3.1 ......................................................................................................................................... 139
UNITÀ DIDATTICA 3.2 – IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA ......................................................... 141
Modulo 3.2.1 – Domande frequenti sul DPS ......................................................................................................... 142
Modulo 3.2.2 – Tipologie di DPS .......................................................................................................................... 145
Modulo 3.2.3 –DPS – le novità normativa del 2009 ............................................................................................. 149
Modulo 3.2.4 – Un esempio di DPS (con licenza aperta) ..................................................................................... 154
Modulo 3.2.5 – Analisi preliminare dell’azienda .................................................................................................. 156
Modulo 3.2.6 – Elenco dei trattamenti di dati personali....................................................................................... 157
Modulo 3.2.7 – Distribuzione dei compiti e delle responsabilità .......................................................................... 158
Modulo 3.2.8 – Analisi dei rischi che incombono sui dati .................................................................................... 160
Modulo 3.2.9 – Misure in essere ........................................................................................................................... 164
Modulo 3.2.10 – Criteri e modalità di ripristino della disponibilità dei dati........................................................ 165
Modulo 3.2.11 – Pianificazione degli interventi formativi previsti ....................................................................... 166
Modulo 3.2.12 – Trattamenti affidati all’esterno .................................................................................................. 167
Modulo 3.2.13 – Adempimenti per la funzione di amministratore di sistema ....................................................... 168
DOMANDE DI VERIFICA 3.2 ......................................................................................................................................... 171
UNITÀ DIDATTICA 3.3 – LA PROTEZIONE DEI DATI PERSONALI IN PRATICA ................................................................. 173
Modulo 3.3.1 – Regolamento per l’uso delle risorse informatiche aziendali........................................................ 174
Modulo 3.3.2 – Regolamento su posta elettronica e internet ................................................................................ 176
Modulo 3.3.3 – Le verifiche interne ...................................................................................................................... 178
Modulo 3.3.4 – Le verifiche sull’amministratore di sistema ................................................................................. 181
DOMANDE DI VERIFICA 3.3 ......................................................................................................................................... 190
RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 3 .......................................................................................... 191
LEZIONE 4 - DIRITTO D’ACCESSO ...................................................................................................................... 194
CASO DI STUDIO D - GESTIRE I DIRITTI DEGLI INTERESSATI ........................................................................................... 196
UNITÀ DIDATTICA 4.1 – ADEMPIMENTI RICHIESTI PER IL DIRITTO D’ACCESSO ............................................................ 200
Modulo 4.1.1 – Mini glossario .............................................................................................................................. 201
Modulo 4.1.2 – Diritti dell’interessato .................................................................................................................. 202
Modulo 4.1.3 – Adempimenti ................................................................................................................................ 203
Modulo 4.1.4 – Quesiti frequenti .......................................................................................................................... 204
Modulo 4.1.5 – Modello per esercitare il diritto d’accesso .................................................................................. 207
Modulo 4.1.6 – Interventi più rilevanti del Garante sul diritto d’accesso ............................................................ 210
DOMANDE DI VERIFICA 4.1 ......................................................................................................................................... 213
UNITÀ DIDATTICA 4.2 – ORGANIZZARE IL DIRITTO D’ACCESSO .................................................................................. 214
Modulo 4.2.1 – Responsabilità del diritto d’accesso ............................................................................................ 215
Modulo 4.2.3 – Diritto d’accesso esercitato presso terzi ...................................................................................... 216
III
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Indice
Modulo 4.2.3 – Procedura per il diritto d’accesso ............................................................................................... 217
DOMANDE DI VERIFICA 4.2 ......................................................................................................................................... 219
RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 4 .......................................................................................... 220
LEZIONE 5 - VIDEOSORVEGLIANZA .................................................................................................................. 222
CASO DI STUDIO E – LA VIDEOSORVEGLIANZA IN AZIENDA ............................................................................................ 224
UNITÀ DIDATTICA 5.1 – GUIDA ALLA VIDEOSORVEGLIANZA ...................................................................................... 234
Modulo 5.1.1 – I principi generali ........................................................................................................................ 235
Modulo 5.1.2 – Norme di riferimento.................................................................................................................... 237
Modulo 5.1.3 – Interventi più rilevanti del Garante sulla videosorveglianza ....................................................... 238
Modulo 5.1.4 – Cosa si può videosorvegliare ....................................................................................................... 241
Modulo 5.1.5 – Registrazioni di immagini ............................................................................................................ 243
DOMANDE DI VERIFICA 5.1 ......................................................................................................................................... 244
UNITÀ DIDATTICA 5.2 – ORGANIZZARE LA VIDEOSORVEGLIANZA .............................................................................. 245
Modulo 5.2.1 – Riepilogo degli adempimenti organizzativi .................................................................................. 246
Modulo 5.2.2 – Analisi preliminare ...................................................................................................................... 248
Modulo 5.2.3 – Regolamento aziendale sulla videosorveglianza.......................................................................... 249
Modulo 5.2.4 – Modulistica per la videosorveglianza .......................................................................................... 250
Modulo 5.2.5 – Check list sulla videosorveglianza ............................................................................................... 255
DOMANDE DI VERIFICA 5.2 ......................................................................................................................................... 258
RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 5 .......................................................................................... 259
LEZIONE 6 - MARKETING E COMUNICAZIONI COMMERCIALI ................................................................ 261
CASO DI STUDIO F – EMAIL, FAX E NEWSLETTER COMMERCIALI ..................................................................................... 263
UNITÀ DIDATTICA 6.1 – QUADRO NORMATIVO ED ADEMPIMENTI ............................................................................... 272
Modulo 6.1.1 – Un quadro in evoluzione .............................................................................................................. 273
Modulo 6.1.2 – I principi generali ........................................................................................................................ 276
Modulo 6.1.3 – Norme di riferimento.................................................................................................................... 277
Modulo 6.1.4 – Interventi più rilevanti del Garante sul marketing, spamming, fidelity card ............................... 280
Modulo 6.1.5 – Fidelity card ................................................................................................................................. 285
Modulo 6.1.6 – Quesiti frequenti .......................................................................................................................... 287
DOMANDE DI VERIFICA 6.1 ......................................................................................................................................... 289
UNITÀ DIDATTICA 6.2 – LO SPAMMING ....................................................................................................................... 290
Modulo 6.2.1 – Quadro generale sullo spamming ................................................................................................ 291
Modulo 6.2.2 – Spamming via fax ......................................................................................................................... 293
Modulo 6.2.3 – Provvedimenti del Garante in relazione ai trattamenti di marketing .......................................... 294
Modulo 6.2.4 – Codici di autodisciplina ............................................................................................................... 296
Modulo 6.2.5 – Link ed approfondimenti sulle comunicazioni commerciali e privacy ......................................... 297
DOMANDE DI VERIFICA 6.2 ......................................................................................................................................... 298
RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 6 .......................................................................................... 299
IV
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Licenza per uso personale e per uso commerciale dell’opera
Licenza per uso personale e per
uso commerciale del libro
Uso
personale
(senza
scopo di lucro)
L’uso personale, non commerciale, è libero e non richiede nessuna autorizzazione né ha alcun
costo. Come recita la licenza2 c’è libertà di riprodurre, distribuire, comunicare al pubblico, esporre
in pubblico, rappresentare, eseguire e recitare quest'opera nonché di modificarla a condizione che
sia attribuita la paternità dell'opera nei modi indicati nel testo.
Esempi di uso personale: leggere, diffondere, presentare a terzi i contenuti dell’opera e tutte le
attività che non producono vantaggi economici diretti o indiretti all’utilizzatore. È ovviamente
possibile (ri)pubblicare il testo, completo o in parte, su siti web, newsletter, magazine, eccetera
(attribuendo sempre la paternità dell’opera).
In alcuni casi il confine tra uso personale e uso commerciale può non essere del tutto netto; per
qualsiasi dubbi scriveteci per segnalarci la vostra situazione ed avere maggiori informazioni.
Uso
commerciale
L’uso commerciale dell’opera richiede l’acquisito di una licenza da CMa Consulting3 nelle
modalità indicate nel sito web della società.
Esempi di uso commerciale: usare il testo in azienda come testo per la formazione, usare i
contenuti per realizzare altre opere poi commercializzate, diffondere, presentare a terzi i contenuti
2
3
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
http://www.cmaconsulting.it/
1
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Licenza per uso personale e per uso commerciale dell’opera
dell’opera ottenendone vantaggi economici diretti o indiretti all’utilizzatore (ad esempio per fare
formazione a pagamento per terzi).
I diritti derivanti
dalla licenza
Diritti derivanti dall’acquisto della licenza (durata 12 mesi):




è possibile utilizzare la copia licenziata dell’opera in azienda per uso formativo interno ad
esempio come risorsa didattica
è possibile utilizzare la copia licenziata dell’opera per effettuare corsi a pagamento presso
terzi
aggiornamenti in tempo reale del testo in relazione alle novità normative (questi
aggiornamenti saranno comunque resi liberamente disponibili con tempistiche “ritardate”
anche sui siti web che pubblicano l’opera)
credenziali per accedere al sito web collegato al testo ed effettuare i test e le verifiche
online relative ai percorsi formativi presenti nell’opera; al superamento dei test e delle
verifiche, conseguimento della “certificazione” nominativa del percorso formativo con
stampa individuale dell’attestato di partecipazione.
Altri accordi
commerciali
Accordi commerciali con altre aziende o professionisti per la “personalizzazione” dell’opera
CMA Consulting, oltre alla vendite delle licenze, realizza anche versioni “personalizzate”
dell’opera rivolte a terze aziende o professionisti (azienda terza) che intendono “rivendere” l’opera
ai propri clienti. Queste personalizzazioni possono consistere in:
 inserimento del logo dell’azienda terza (accanto a quello di ComplianceNet e CMA
Consulting)
 nuovi contenuti da concordare (ad esempio indicazioni specifiche per la privacy in
ambiente sanitario, PA, bancario)
2
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Introduzione
Introduzione
Questo testo è un corso di formazione sulle tematiche della privacy rivolto a coloro che
lavorano in azienda.
Come è noto il “Codice in materia di protezione dei dati personali” 4 prevede, tra gli
obblighi di sicurezza, la programmazione di interventi formativi per “rendere edotti”
gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle
relative contromisure di sicurezza; è inoltre necessario che la pianificazione della
formazione sia riportata nel Documento Programmatico sulla Sicurezza, se redatto.
Per rispondere anche a tali esigenze è stato realizzato questo corso che si articola in sei
lezioni.
1.
2.
3.
4.
5.
6.
Introduzione alla privacy.
Organizzazione aziendale per la privacy.
Protezione dei dati personali.
Diritto di accesso.
Videosorveglianza.
Marketing e comunicazioni commerciali.
Gli argomenti vengono proposti ed approfonditi attraverso casi pratici simulando di
operare all’interno di una media impresa manifatturiera, la Arcobaleni1965 srl.
4
5
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
http://www.arcobaleni196.it
1
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Introduzione
Percorsi formativi
È opportuno che la formazione sulla privacy non venga svolta in maniera indifferenziata
per tutti gli incaricati ma che, viceversa, sia predisposta una “struttura formativa
modulare” in relazione alle tipologie di incarico al trattamento dei dati personali.
Le sei lezioni del testo si rivolgono, dunque, ad interlocutori diversi, come di seguito
specificato.
1. Introduzione alla privacy: illustra il quadro normativo della privacy
sottolineando i principi di base e gli adempimenti di maggior rilievo; la lezione
si rivolge a tutti gli incaricati dei trattamenti e a coloro che hanno necessità di
una overview generale.
2. Organizzazione aziendale per la privacy: descrive le misure organizzative
che occorre adottare, in azienda, per garantire il rispetto delle norme in ambito
privacy; la lezione si rivolge ai dirigenti e quadri aziendali e a coloro che hanno
responsabilità aziendali, anche non esclusive, in ambito privacy, controlli e
sicurezza.
3. Protezione dei dati personali: approfondisce il tema delle misure di sicurezza,
minime ed idonee, che devono essere applicate nel trattamento dei dati
personali; la lezione si rivolge ai Responsabili privacy aziendale e a coloro che
hanno responsabilità aziendali, anche non esclusive, in ambito privacy,
controlli e sicurezza.
4. Diritto di accesso: contiene le linee guida per la corretta gestione, in azienda,
dei diritti in relazione al trattamento dei dati personali; la lezione si rivolge ai
Responsabili privacy aziendali, ai responsabili ed incaricati dei trattamenti
degli uffici che si occupano di aspetti legali, contenzioso, reclami, customer
satisfaction.
5. Videosorveglianza: contiene le indicazioni per la corretta gestione, in azienda,
dei sistemi di videosorveglianza; la lezione si rivolge ai Responsabili privacy
aziendali ed ai responsabili dei trattamenti di videosorveglianza.
6. Marketing e comunicazioni commerciali: contiene il quadro di riferimento
per gli adempimenti privacy da rispettare nelle attività di commerciali; la
lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed incaricati
dei trattamenti di marketing, commerciale, vendite, comunicazione.
2
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Introduzione
Le sei lezioni possono essere combinate secondo veri e propri “percorsi formativi”
quali quelli di seguito proposti.
Corso per incaricati al trattamento dei dati personali
lezione 1 Introduzione alla privacy
Corso per Direzione
lezione 1 Introduzione alla privacy
lezione 2 Organizzazione aziendale per la privacy
Corso per Responsabile dei trattamenti
lezione 1 Introduzione alla privacy
lezione 2 Organizzazione aziendale per la privacy
lezione 3 Protezione dei dati personali
lezione 4 Diritto di accesso
lezione 5 Videosorveglianza
Corso per Responsabile dei trattamenti con video
sorveglianza
lezione 1 Introduzione alla privacy
lezione 2 Organizzazione aziendale per la privacy
lezione 3 Protezione dei dati personali
lezione 4 Diritto di accesso
lezione 5 Videosorveglianza
Corso per Responsabile dei trattamenti di marketing
lezione 1 Introduzione alla privacy
lezione 2 Organizzazione aziendale per la privacy
lezione 3 Protezione dei dati personali
lezione 4 Diritto di accesso
lezione 6 Marketing e comunicazioni commerciali
È ovviamente possibile far svolgere a particolari classi di incaricati l’intero corso per
dare una formazione ed informazione più ampia.
3
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Introduzione
Organizzazione dei contenuti
Ogni lezione si compone di unità didattiche; ogni unità didattica è suddivisa in
moduli.
Lezioni, unità e moduli sono numerati così da facilitare sia i percorsi didattici sia il
reperimento delle informazioni.
Ogni lezione inizia con la descrizione di un “caso di studio” concreto che serve ad
introdurre gli argomenti di seguito trattati.
Dopo ogni unità didattica ci sono “domande di verifica” sugli argomenti trattati le cui
soluzioni sono fornite in allegato al testo.
L1
Introduzione alla privacy
CS1
Arcobaleni196
e la privacy
Caso di
studio
U11
Il diritto
alla protezione
dei dati personali
Domande
di verifica
Lezioni
U12
Il Garante per la
protezione dei dati
personali
….
Unità
Didattiche
DV11
Verifica
la tua comprensione
M111
La privacy
in
Italia
M112
Quadro
normativo
…
4
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Moduli
Introduzione
Il sito web collegato al libro
Questo testo viene diffuso attraverso i siti ComplianceNet6 e CMa Consulting7.
Al corso è inoltre collegato il sito Arcobaleni1968 dal nome (fittizio) della società che è
protagonista dei nostri casi di studio ed esercitazioni.
Ringraziamenti
Si ringrazia ComplianceNet e CMa Consulting per l’aiuto e l’assistenza nella
redazione di questo corso; in particolare:


Cristina Cellucci per l’entusiasmo che mette in tutte le sue iniziative (questo
corso non avrebbe visto luce senza il suo aiuto); Cristina può essere contattata al
seguente indirizzo email: [email protected]
Manlio Torquato per la revisione, correzione, puntualizzazione dei contenuti
del testo (questo corso ha rischiato, per colpa sua, più di una volta di non vedere
la luce...); Manlio può essere contattato al seguente indirizzo email:
[email protected]
Limitazione di responsabilità
ComplianceNet, CMA Consulting, Panfilo Marcelli, Cristina Cellucci, Manlio Torquato
e tutti coloro che hanno contribuito a tale documento non forniscono nessuna
assicurazione né garanzia che l’uso di questo documento, delle relative linee guida, dei
suggerimenti, delle check list e degli strumenti indicati in questa pubblicazione possano
garantire di per sé la conformità alle norme.
6
http://www.compliancenet.it/
http://www.cmaconsulting.it/
8
http://www.arcobaleni196.it
7
5
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Introduzione
Panfilo Marcelli si presenta
Panfilo Marcelli si è laureato in Ingegneria
all’Università de l’Aquila. Ha lavorato per oltre
vent’anni presso primarie aziende informatiche e di
consulenza (IPACRI, Euros Consulting, OASI) con
incarichi, anche direttivi, in ambito Information
Technology, Privacy e Protezione dei dati personali,
Qualità e Certificazione ISO9000 e ISO27001,
Workflow Management e Business Process
Reengineering, Internet, Intranet e gestione di siti con
sistemi CMS. Attualmente é partner di CMa
Consulting9 società specializzata in servizi,
consulenza e formazione in ambito Compliance,
Privacy, Qualità e Sicurezza. Per contatti la email è
[email protected]
9
http://www.cmaconsulting.it/
6
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Introduzione alla privacy
Lezione 1 –
Introduzione alla
privacy
Caso di studio a – Arcobaleni196 e la privacy
Unità Didattica 1.1 - Il diritto alla protezione dei dati
personali
Unità Didattica 1.2 - Il Garante per la protezione dei dati
personali
Unità Didattica 1.3 - Le principali norme sulla privacy
Risposte alle domande di verifica della lezione 1
7
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Introduzione alla privacy
Obiettivi di apprendimento
 Cos’è la Privacy?
 Quale sono le norme più importanti in ambito privacy?
 Cos’è il Garante per la protezione dei dati personali e che poteri ha?
A chi si rivolge questa lezione?
A tutti gli incaricati.
Percorsi formativi
 Corso per incaricati al trattamento dei dati personali.
 Corso per Direzione.
 Corso per Responsabile dei trattamenti.
 Corso per Responsabile dei trattamenti con video sorveglianza.
 Corso per Responsabile dei trattamenti di marketing.
Concetti chiave:
 Codice in materia di protezione dei dati personali.
 Allegati al Codice.
 Ufficio del Garante.
8
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Caso di studio A
Lezione 1 –
Caso di studio A –
Arcobaleni196 e la privacy
9
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Caso di studio A
Le lezioni di questo corso sono basate su una serie di casi di studio concreti. Simuleremo di
trovarci presso Arcobaleni196 srl10 una società che produce e commercializza vernici speciali per
la carrozzeria di veicoli. Sono stato convocato dal cavalier Pinco Arcobaleni, fondatore e
Direttore Generale dell’azienda. “Ho bisogno di una consulenza sulla privacy” mi ha detto
telefonicamente. E così vado a trovarlo.
Primo incontro
con il cavalier
Arcobaleni
“Voglio mettere telecamere ovunque!” ha esordito il cavalier
Arcobaleni non appena mi sono accomodato nel suo ufficio.
“Come mai?” ho chiesto cercando di rimanere imperturbabile.
“Ieri è stato rubato un altro computer portatile! È il terzo dall’inizio dell’anno adesso basta! Voglio
sapere chi è che ruba in azienda. Inoltre il mese scorso, nonostante il divieto di fumo in tutti gli
uffici, qualcuno ha acceso una sigaretta in uno dei bagni facendo suonare l’allarme antincendio.”
“Le telecamere non sono vietate di per sé” gli ho spiegato “ma la legge sulla privacy impone di
seguire delle regole.”
“Regole, sempre regole! In Italia è diventato impossibile condurre un’azienda” ha sbuffato
Arcobaleni “l’ho chiamata proprio per questo, caro ingegnere. Il mio assistente, dottor Marroni, ha
letto su Internet i suoi articoli11 sulla privacy e ha consigliato di avere un suo parere prima di
installare le telecamere. Ma mi dica subito: cosa c’entra la legge sulla privacy con le telecamere?
Posso installarle sì o no?”
10
11
http://www.arcobaleni196.it/
http://www.compliancenet.it/category/compliancenet/privacy
10
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Caso di studio A
“In Italia esistono norme precise, ed in alcuni casi anche severe, sui trattamenti di dati personali. Le
riprese effettuate con sistemi di videosorveglianza sono considerati trattamenti di dati personali. Dal
primo gennaio 2004 l’intera materia è stata riordinata e precisata dal Codice in materia di
protezione dei dati personali” ho spiegato.
“Le dico subito che in azienda non trattiamo dati personali!” mi ha
interrotto con un sorriso trionfante Arcobaleni.
“Come fa ad esserne così sicuro?” gli ho chiesto non poco sorpreso.
“Legga qua” mi dice il cavaliere allungandomi un foglio.
Comunicazione del
Direttore Generale del 15
settembre 2008
Si comunica a tutto il
personale che a far data da
oggi è vietato il
trattamento di qualsiasi
dato personale in
azienda.
Firmato
Pinco Arcobaleni
Direttore Generale
Sono sempre più preoccupato.
“Perché ha scritto questa comunicazione?” gli chiedo.
“Me lo ha consigliato la dottoressa Rossetti. Mi ha detto che nel giugno 2008 è stato abrogato
l’obbligo delle misure di sicurezza per le aziende che non trattano dati sensibili.”
“Nessuno ha abrogato l’obbligo di adottare le misure di sicurezza” chiarisco “il Decreto Legge 25
giugno 2008 n.11212 del giugno 2008, poi tradotto in un provvedimento13 del Garante nel
12
http://www.camera.it/parlam/leggi/decreti/08112d.htm
11
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Caso di studio A
dicembre 2008, ha semplicemente abrogato l’obbligo della redazione del Documento
Programmatico sulla sicurezza per tutte le aziende che non trattano dati sensibili o che trattano
solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi”.
“Mi scusi mi sono espresso male. Intendevo dire che non trattiamo dati sensibili! Sa con tutte
queste definizioni … Adesso però dovrò rifare la comunicazione a tutto il personale … Non è che
mi darebbe una mano? Avrei bisogno che qualcuno mi chiarisse un po’ meglio le idee sulla
privacy. Ma mi dica subito: posso installare o no le telecamere?”
“Solo se segue le indicazioni del Garante.”
“Mi può riepilogare quali sono queste indicazioni?”
“Certamente cavaliere. Ma il mio consiglio è di fare un po’ di ordine sia sulle norme sia sugli
adempimenti privacy. Temo che ci siano numerosi obblighi che avete sottovalutato. Le posso fare
una proposta? Convochi i suoi principali collaboratori ed in un paio d’ore le farò un quadro
completo della normativa e di quello che serve per fare il censimento dei trattamenti.”
“Ingegnere, sarò franco: fino ad oggi non ci siamo curati di questi aspetti e non abbiamo mai avuto
problemi … Non siamo una grande azienda che può spendere migliaia di euro su questi temi. Io la
ringrazio per essere venuto a trovarmi ma vorrei essere onesto con lei: ho altre priorità!”
“Tocca a lei decidere, cavaliere. Le ricordo però che le sanzioni previste per il mancato rispetto
delle norme sulla privacy sono sia penali sia amministrative.”
“Ohibò, si rischia il carcere?”
“Le sanzioni penali possono comportare anche pene detentive oltre che pecuniarie. Le sanzioni
amministrative possono essere pecuniarie o a fronte di gravi irregolarità arrivare anche al blocco del
trattamento dei dati.”
“Che significa?”
“Significa che Arcobaleni196 non potrebbe più operare e sarebbe costretta a chiudere… Cavaliere
si fidi di me! Facciamo così: mi accordi due ore con i suoi collaboratori più stretti. E poi decida lei
se andare avanti con il mio aiuto o continuare a fare tutto da solo.”
13
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
12
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Caso di studio A
Sanzioni per gli adempimenti privacy prima degli inasprimenti introdotti con il D.L. n. 207 del 30
dicembre 2008 (articolo 4414)
Illeciti penali
Sanzioni amministrative
Trattamento illecito di dati
Omessa o inidonea informativa
Da € 3.000,00 a € 18.000,00
Omessa o inidonea informativa (dati
sensibili, giudiziari, trattamenti che
presentano rischi specifici)
Da € 5.000,00 a € 30.000,00
Cessione illecita di dati
Da € 5.000,00 a € 30.000,00
Violazione relativa ai dati personali
idonei a rilevare lo stato di salute
Da € 500,00 a € 3.000,00
Omessa o incompleta notificazione
Da € 10.000,00 a € 60.000,00
Omessa informazione o esibizione al
Garante dei documenti richiesti
Da € 4.000,00 a € 24.000,00
Reclusione da 6 a 24 mesi
Trattamento illecito di dati (dati sensibili,
giudiziari, trattamenti che presentano
rischi specifici)
Reclusione da 1 a 3 anni
Falsità nelle dichiarazioni e notificazioni
al Garante
Reclusione da 6 mesi a 3 anni
Omessa adozione delle misure minime
di sicurezza
Arresto fino a 2 anni Sanzione
pecuniaria da € 10.000,00 a €
50.000,00
Violazione da parte dei datori di lavoro
del divieto di Effettuare indagini su
opinioni politiche, Controllo attraverso
luso di impianti audiovisivi, o altre
apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno
L’articolo 44 del D.L. 30.12.2008 n. 207
ha inasprito le sanzioni previste dal
“Codice in materia di protezione dei dati
personali”.
Il trattamento di dati personali in
violazione delle misure di sicurezza, oltre
ad essere punito con l’arresto sino a due
anni, viene punito con una sanzione
amministrativa da 20.000 a 120.000
euro; vengono inoltre previsti casi di
minore e maggiore gravità,
rispettivamente con diminuzione ed
aumento delle sanzioni.
“Okay ingegnere. Faccio venire immediatamente i miei principali collaboratori: Carmela Rossetti
della qualità e controlli, Giuseppina Nerucci delle risorse umane, Ercole Marroni della produzione,
Mariuccia Nerini della Contabilità.”
14
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-1231&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0
232&tmstp=1232193077977
13
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Caso di studio A
Introduzione
alla privacy
(Alcuni minuti dopo: presenti tutti i collaboratori.)
“Bene. Vi farò una breve introduzione alla privacy affrontando tre
argomenti:
1. Il diritto alla protezione dei dati personali
2. Il Garante per la protezione dei dati personali
3. Le principali norme sulla privacy”
Inizia il corso…
14
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.1
Lezione 1 –
Unità didattica 1.1 – Il diritto
alla protezione dei dati
personali
Modulo 1.1.1 – Mini glossario
Modulo 1.1.2 – Sintesi delle norme sulla privacy
Modulo 1.1.3 – Quadro normativo
Domande di verifica 1.1
15
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.1
Modulo 1.1.1 – Mini glossario
Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo
Garante sei tu”15.
Dato personale: qualunque informazione relativa ad un individuo, ad una persona giuridica, ad un
ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, compreso un numero di identificazione personale.
Dato sensibile: qualunque dato che può rivelare l’origine razziale, l’appartenenza etnica, le
convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti o sindacati, lo
stato di salute e la vita sessuale.
Trattamento dei dati personali: qualunque operazione o complesso di operazioni, effettuate anche
senza mezzi elettronici o automatizzati (raccolta, registrazione, organizzazione, conservazione,
elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco,
comunicazione, diffusione, cancellazione e distruzione).
Titolare del trattamento: la pubblica amministrazione, la persona giuridica o fisica cui competono
le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali.
Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati.
Informativa: contiene le informazioni che il titolare del trattamento deve fornire all’interessato per
chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e
le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla
legge.
Consenso: la libera manifestazione della volontà con la quale l’interessato accetta – in modo
espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo
riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.
Il Garante: un’Autorità indipendente composta da quattro membri eletti dal Parlamento. È stata
istituita per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone rispetto al
trattamento dei dati personali. Controlla se il trattamento di dati personali da parte di privati e
pubbliche amministrazioni è lecito e corretto. Esamina reclami, segnalazioni e ricorsi, svolge
accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche
necessarie od opportune per far adeguare i trattamenti alla disciplina vigente. Segnala al Parlamento
e al Governo l’opportunità di interventi normativi per tutelare gli interessati. Esprime pareri su
regolamenti e atti amministrativi di alcune amministrazioni pubbliche. Presenta al Parlamento e al
Governo una relazione annuale sullo stato di attuazione della normativa che regola la materia.
15
http://www.garanteprivacy.it/garante/document?ID=1382763
16
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.1
Modulo 1.1.2 – Sintesi delle norme sulla
privacy
Dal 1996 in Italia vige il “diritto alla protezione dei dati personali” a cui comunemente ci si riferisce
come “Legge sulla Privacy”: infatti il 31 dicembre 1996 è entrata in vigore la legge n. 675 “Tutela
delle persone e di altri soggetti rispetto al trattamento dei dati personali”. Nel 2003 tale legge è stata
abrogata e sostituita dal decreto legislativo 196/03 noto come “Codice in materia di protezione
dei dati personali” 16 entrato in vigore il primo gennaio 2004.
Il primo articolo del Codice chiarisce cosa si intende per privacy nell’ordinamento italiano; recita
infatti tale articolo: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”.
Tale protezione consiste nella garanzia che il trattamento dei dati personali si svolga nel rispetto dei
diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento
alla riservatezza, all'identità personale ed al diritto alla protezione dei dati personali.
Va chiarito che lo spirito della legge non è impedire il trattamento dei dati personali ma evitare che
questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità “pregiudizievoli”. Il
Codice, in pratica, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o
tratta dati personali e le responsabilità e sanzioni in caso di danni.
Nel 1997 è stato costituito il “Garante per la protezione dei dati personali”, un organo collegiale
composto da quattro membri eletto dal Parlamento che ha il compito di vigilare sul rispetto delle
norme sulla privacy. Alle dipendenze del Garante è posto un Ufficio con un organico di circa 100
unità.
Il Garante ha sintetizzato17 i contenuti delle norme sulla privacy come segue.




I dati personali sono una proiezione della persona. La legge tutela la riservatezza,
l’identità personale, la dignità e gli altri nostri diritti e libertà fondamentali.
Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla legge.
La prima garanzia è la trasparenza. Ognuno di noi ha il diritto di “sapere”. Il diritto di
conoscere se un soggetto detiene informazioni, di apprenderne il contenuto, di farle
rettificare se erronee, incomplete o non aggiornate.
Conoscere i nostri diritti e il modo per farli valere è semplice.
16
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
Brochure “La tutela dei dati personali: il primo Garante sei tu”
http://www.garanteprivacy.it/garante/document?ID=1382763
17
17
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.1
Modulo 1.1.3 – Quadro normativo
Il “Codice in materia di protezione dei dati personali” 18 è il testo principale di riferimento per la
privacy. Si tratta di una sorta di “testo unico” che a far data dal primo gennaio 2004 sostituisce,
integra ed accorpa tutte le precedenti normative in materia (in
particolare sostituisce la legge 675/96). Il Codice contiene le
definizioni ed i principi di riferimento. Le misure pratiche per
adempiere ai principi sono contenute negli allegati; tra questi
uno dei più importanti è l’allegato B sulle misure minime di
sicurezza.
Infine occorre tener presente i diversi provvedimenti19, con
valore di legge, che il Garante ha emanato.
Periodicamente il Garante pubblica anche linee guida e modelli
di riferimento per il rispetto degli adempimenti. Mentre il
Codice, gli allegati al codice ed i provvedimenti hanno valore di
legge e sono dunque obbligatori le linee guida ed i modelli sono
opzionali.
Tutti i testi di legge sono disponibili sul sito del Garante20.
Il 24 febbraio 2009 il Garante per la protezione dei dati
personali ha predisposto sul proprio sito una nuova area “Indice
per materia”21che raccoglie i principali provvedimenti dell'Autorità suddivisi per materia e
affianca quella cronologica.
Codice
Obblighi
normativi
Allegati
Provvedimenti
Best
practices
18
19
Linee guida
Modelli
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti
20
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali
21
http://www.garanteprivacy.it/garante/doc.jsp?ID=1592067
18
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.1
Domande di verifica 1.1
Domanda
Il Codice in materia di
protezione dei dati
personali è in vigore
dal primo gennaio
2001.
Quando è stata
abrogata la legge sulla
privacy del 1996?
La legge sulla privacy
riguarda solo le
persone fisiche e non
le aziende.
Prima risposta
Falso, il Codice in
materia di protezione
dei dati personali è in
vigore dal primo
gennaio 2004 e
sostituisce la
precedente legge n.675
del 1996.
Non è stata abrogata.
Dal 2003 è stata
integrata dal Codice in
materia di protezione
dei dati personali.
Vero. Le aziende però
possono appellarsi al
Garante per la
protezione dei dati
personali.
Seconda risposta
Falso. Dal 2001 è in
vigore la legge n.675
sulla privacy poi
abrogata dal Codice
nel 2003.
Terza risposta
Vero. Il primo gennaio
2001 è entrato il
vigore il nuovo Codice
che ha abrogato la
legge n.675 sulla
privacy.
Non è stata abrogata.
È ancora in vigore.
Nel 2004 dal Codice in
materia di protezione
dei dati personali.
Vero. Le aziende
fanno riferimento ad
altre norme.
Falso. Le norme sulla
privacy si applicano
sia a persone fisiche
che ad aziende.
19
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.1
Pagina lasciata intenzionalmente bianca
20
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.2
Lezione 1 –
Unità didattica 1.2 – Il
Garante per la protezione dei
dati personali
Modulo 1.2.1 – L’Ufficio del Garante
Modulo 1.2.2 – Ispezioni del Garante
Modulo 1.2.3 – Nucleo speciale funzione pubblica e
privacy della Guardia di Finanza
Domande di verifica 1.2
21
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.2
Modulo 1.2.1 – L’ufficio del Garante
Il Garante per la protezione dei dati personali è
un’autorità indipendente, istituita dalla legge sulla privacy
del 31 dicembre 1996 per assicurare la tutela dei diritti e
delle libertà fondamentali ed il rispetto della dignità nel
trattamento dei dati personali. Si tratta di un organo
collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un
mandato di quattro anni rinnovabile una volta sola. Il Codice del 200322 ha confermato ruoli e
compiti di tale authority.
L’attuale collegio23 si è insediato il 18 aprile 2005 ed è così composto:
Presidente
Francesco Pizzetti
Vicepresidente
Giuseppe Chiaravalloti
Componenti
Mauro Paissan
Giuseppe Fortunato
Fonte immagini24
zzzz
Il Segretario generale dell’Ufficio del Garante è Filippo Patroni Griffi25.
22
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
Alla data del 17 gennaio 2009
24
http://www.garanteprivacy.it/garante/doc.jsp?ID=1116178
25
http://www.garanteprivacy.it/garante/doc.jsp?ID=1596831
23
22
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.2
Il primo Presidente dell’Ufficio del Garante è stato il professor Stefano Rodotà26
considerato il “padre” fondatore della legge.
Rodotà è stato “Garante” della privacy dal 2000 al 2004.
Fonte immagine27
Il primo Segretario generale dell’Ufficio del Garante è stato Giovanni Buttarelli28
che il 23 dicembre 2008 è stato nominato Garante europeo aggiunto dei dati
personali29 (EDPS) ed ha lasciato l’Autorità30.
Fonte immagine31
I principali compiti del Garante sono:
 controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la
segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per
conseguire tale conformità;
 esame delle segnalazioni, dei ricorsi e dei reclami degli interessati;
 adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le
autorizzazioni generali per il trattamento dei dati sensibili;
 promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di
deontologia e di buona condotta;
 divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la
loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto
di un rilevante pregiudizio per l’interessato.
Per rivolgersi al Garante ci si può recare presso l’Autorità, Ufficio per le
relazioni con il pubblico, Piazza di Monte Citorio, 123, Lunedì - Venerdì
ore 10.00 - 13.00, e-mail: [email protected]
Immagine tratta da Google Maps32
26
http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0
http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it
28
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990
29
http://europa.eu/institutions/others/edps/index_it.htm
30
http://www.garanteprivacy.it/garante/doc.jsp?ID=1581546
31
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990
32
http://maps.google.it/
27
23
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.2
Modulo 1.2.2 – Ispezioni del Garante
Ogni anno, attraverso il proprio sito web e la sua newsletter33, il Garante rende noto il piano
ispettivo previsto per i successivi mesi.
Nella newsletter n. 326 del 27 luglio 200934 il Garante ha comunicato il piano ispettivo per il
secondo semestre 2009.
Tre i settori interessati dall'attività di accertamento del Garante per la privacy:
1. sistema informativo del fisco
2. enti previdenziali
3. commercializzazione di banche dati per finalità di marketing.
Il piano prevede sia nel settore pubblico che in quello privato, specifici controlli anche riguardo
all'adozione delle misure di sicurezza, all'informativa da fornire ai cittadini, al consenso da
richiedere nei casi previsti dalla legge.
Oltre 200 gli accertamenti ispettivi previsti che verranno effettuati anche in collaborazione con le
Unità Speciali della Guardia di Finanza - Nucleo Privacy. A questi accertamenti si affiancheranno,
come di consueto, quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati.
33
34
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter
http://www.garanteprivacy.it/garante/doc.jsp?ID=1634378
24
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.2
Modulo 1.2.3 – Nucleo speciale funzione
pubblica e privacy della Guardia di
Finanza
Per le attività ispettive il Garante si avvale di un reparto speciale della Guardia di Finanza noto
“Nucleo Speciale Funzione Pubblica e Privacy35” che collabora all'attività ispettiva attraverso:




il reperimento di dati ed informazioni sui soggetti da controllare;
l'assistenza nei rapporti con le Autorità Giudiziarie;
la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle
altre rilevazioni nei luoghi ove si svolge il trattamento;
lo sviluppo delle attività delegate o sub-delegate per l'accertamento delle violazioni di natura
penale o amministrativa;
 la contestazione delle sanzioni amministrative rilevate nell'ambito delle
attività delegate;
 l'esecuzione di indagini conoscitive sullo stato di attuazione della citata
Legge in settori specifici;
 la segnalazione all'Autorità di tutte le situazioni rilevanti ai fini
dell'applicazione del Codice, di cui venga a conoscenza nel corso
dell'esecuzione delle ordinarie attività di servizio.
Fonte immagine36
35
36
http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale=
http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html
25
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.2
Domande di verifica 1.2
Domanda
L’Autorità Garante per
la protezione dei dati
personali non ha reali
poteri ma può
semplicemente
“consigliare” i
comportamenti
corretti.
La nomina dei
componenti
dell’Autorità Garante
per la privacy è di tipo
“politica”.
Prima risposta
Vero.
Il garante può solo
effettuare una “moral
suasion”.
I cittadini, e le
imprese, possono
appellarsi direttamente
al garante per far
valere i propri diritti.
Falso.
I membri dell’autorità
sono nominati dai
rappresentanti delle
associazioni di
categoria.
Vero.
Solo però dopo aver
fatto prima ricorso
attraverso la
magistratura.
Tra gli incarichi del
Garante vi sono le
ispezioni nelle aziende
per valutare il rispetto
degli adempimenti di
legge.
Vero.
Ogni anno il Garante
presenta
pubblicamente il piano
delle ispezioni
previste.
Seconda risposta
Falso.
Pur non avendo reali
poteri può richiedere
l’intervento della
magistratura o delle
forze di polizia per
imporre i propri
provvedimenti.
Vero.
I membri dell’autorità
sono nominati dal
Governo.
Terza risposta
Falso.
Il Garante può
infliggere sanzioni ed
imporre le proprie
decisioni fino al
blocco dei trattamenti.
Vero.
Sul sito del Garante
sono disponibili anche
suggerimenti e modelli
per esercitare tale
diritto.
Vero.
Il Garante può fare
ispezioni solo in
seguito a denunce o
ricorsi da parte di
cittadini o imprese.
Falso.
Occorre fare ricorso
alla magistratura per
far valere i propri
diritti in ambito
privacy.
Falso.
Solo le forse di polizia
possono fare ispezioni
nelle aziende.
Vero.
I membri dell’autorità
sono nominati dal
Parlamento.
26
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Lezione 1 –
Unità didattica 1.3 – Le
principali norme sulla privacy
Modulo 1.3.1 – Codice in materia di protezione dei dati personali
Modulo 1.3.2 – Allegati al Codice
Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di
misure minime di sicurezza
Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la
notificazione
Modulo 1.3.5 – I nuovi adempimenti per le funzioni di
“amministratore di sistema”
Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre
2008
Domande di verifica 1.3
27
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Modulo 1.3.1 – Codice in materia di
protezione dei dati personali
Il primo gennaio 2004 è entrato in vigore il “Codice in materia di protezione dei dati
personali37” che ha abrogato e sostituito la precedente legge n. 675/96 sulla privacy e successive
modifiche.
Il Codice è diviso in tre parti:
1. disposizioni generali;
2. disposizioni relative a specifici settori;
3. norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione
dei dati personali.
Diritti fondamentali
L’articolo 1 spiega chiaramente lo spirito della norma: “chiunque ha diritto alla protezione dei dati
personali che lo riguardano”.
L’articolo 2 recita che il Codice “garantisce che il trattamento dei dati personali si svolga nel
rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare
riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.
Trattamenti e dati
Le disposizioni del Codice si applicano al trattamento di dati personali cioè a “qualunque
operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici,
concernenti:
 la raccolta,
 la registrazione,
 l’organizzazione,
 la conservazione,
 la consultazione,
 l’elaborazione,
 la modificazione,
 la selezione,
 l’estrazione,
 il raffronto,
 l’utilizzo,
 l’interconnessione,
 il blocco,
 la comunicazione,
 la diffusione,
 la cancellazione,
 la distruzione di dati
37
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
28
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
anche se non registrati in una banca di dati”.
L’articolo 4 definisce i dati personali come “qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
I dati personali si dividono in:
 dati identificativi, ossia “dati personali che permettono l’identificazione diretta
dell'interessato”;
 dati sensibili,ossia “dati personali idonei a rivelare l’origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
I soggetti che effettuano il trattamento
Gli obblighi in materia di Privacy sono a carico del “titolare del trattamento” cioè di norma la
persona fisica (si pensi all’imprenditore individuale) o giuridica (ad esempio, la società) che tratta i
dati personali (con la raccolta, la registrazione, la comunicazione o la diffusione).
Il “responsabile del trattamento” (ma possono essere più d’uno) è una figura che può essere
designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno
indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza,
capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). La nomina
del responsabile è utile o in presenza di imprese con organizzazione articolata (ad es., possono
essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del
personale o del settore marketing) o rispetto a soggetti esterni all’impresa, per svariate forme di
outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati
contabili, per i servizi di postalizzazione, per le società di recupero crediti, etc.).
Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente
le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del
responsabile) attenendosi a istruzioni scritte (art. 30 del Codice); in pratica sono i dipendenti o
collaboratori dell'azienda. Il "titolare del trattamento" è tenuto a designarli cioè a nominarli per
iscritto incaricati specificando quali dati può trattare. In pratica è sufficiente "assegnare un
dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui
può avere accesso e gli ambiti del trattamento. Così, in un’azienda nella quale ad una unità
organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una
formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora
si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità
mediante una previsione scritta (ad es. nell’organigramma, nel contratto, nei mansionari, ecc.) e
risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità".
Principi
Il Codice fissa alcuni principi generali che devono esser seguiti nel trattamento di dati personali; in
particolare:
 in applicazione del principio di necessità (articolo 3), i sistemi informativi e i programmi
informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo
di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a
clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono
essere perseguite con dati anonimi o solo indirettamente identificativi;
29
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
 nel rispetto del principio di proporzionalità nel trattamento (articolo 11, comma 1, lett. d),
tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non
eccedenti rispetto alle finalità perseguite;
 il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il
Codice prevede espressamente per gli organi pubblici da un lato (svolgimento di funzioni
istituzionali: articoli 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici
(adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di
interessi” o consenso libero ed espresso: articoli 23-27);
 le finalità perseguite dal trattamento devono essere determinati, espliciti e legittimi (articolo
11, comma 1, lett. b); ciò comporta che il titolare possa perseguire solo finalità di sua
pertinenza.
Diritti degli interessati
La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai
dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice.
Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti
che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di
regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).
In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi
all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).
L’inversione dell’onere della prova
L’articolo 15 del Codice recita “chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, il quale a sua volta
dispone che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua
natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato
tutte le misure idonee a evitare il danno”.
Nella pratica, l’art. 2050 del Codice Civile obbliga, in caso di contenzioso, il titolare a dimostrare di
aver adottato tutte le misure idonee ad evitare il possibile danno.
Sanzioni
Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali.
Le sanzioni di carattere amministrativo sono causate da:
 omessa o inidonea informativa all’interessato (articolo 161);
 illecita cessione di dati personali (articolo 162);
 omessa o incompleta notificazione (articolo 163);
 omessa informazione o esibizione al Garante (articolo 164).
Gli illeciti penali sono causati da:
 trattamento illecito di dati (articolo 167);
 falsità nelle dichiarazioni e notificazioni al Garante (articolo 168);
 omissione delle misure minime di sicurezza (articolo 169);
 inosservanza di provvedimenti del Garante (articolo 170).
30
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Modulo 1.3.2 – Allegati al Codice
Gli allegati sono:
 Allegato A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali
effettuati per svolgere investigazioni difensive38
 Allegato A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da
soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti39
 Allegato A.4. Codice di deontologia e di buona condotta per i trattamenti di dati personali
per scopi statistici e scientifici40
 Allegato A.1. Codice di deontologia - Trattamento dei dati personali nell'esercizio
dell'attività giornalistica41
 Allegato A.2. Codici di deontologia - Trattamento dei dati personali per scopi storici42
 Allegato A.3. Codice di deontologia - Trattamento dei dati personali a scopi statistici in
ambito Sistan43
 Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza44
 Allegato C. Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia45
38
http://www.garanteprivacy.it/garante/doc.jsp?ID=1565171
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556693
40
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556635
41
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556386
42
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556419
43
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556573
44
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
45
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557209
39
31
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Modulo 1.3.3 – Allegato B - Disciplinare
tecnico in materia di misure minime di
sicurezza
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B46) specifica le
modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in
caso di trattamenti di dati con strumenti elettronici o senza strumenti elettronici. Tali modalità
vanno “lette” a partire da quanto indicato negli articoli da 33 a 36 del Codice in materia di
protezione dei dati personali” 47 relative alla cosiddette “Misure minime di sicurezza” che
indicano che, “nel quadro dei più generali obblighi di sicurezza”, i titolari del trattamento sono
comunque tenuti ad adottare le misure minime di seguito indicate (suddivise tra misure da adottare
per i trattamenti effettuati con strumenti elettronici e misure da adottare per trattamenti effettuati
senza strumenti elettronici).
Trattamenti con strumenti elettronici (articolo 34 del Codice)
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a)
b)
c)
d)
e)
f)
g)
h)
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità
dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Con le semplificazioni adottate nel dicembre 2008 è stato aggiunto all’articolo 34 il comma 1-bis di
seguito riportato.
Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come
unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri
dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi,
ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un
46
47
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
32
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico
di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare
soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali
trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e
contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il
Garante, sentito il Ministro per la semplificazione normativa, individua con proprio
provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del
disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui
al comma 1.
Trattamenti senza l'ausilio di strumenti elettronici (articolo 35 del Codice)
Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti
misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per
lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli
incaricati.
Allegato B
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B48) specifica le
modalità con cui attuare le misure minime di sicurezza indicate nel Codice.
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento di una procedura di
autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato
associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un
dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure in una caratteristica
biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola
chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per
l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per
assicurare la segretezza della componente riservata della credenziale e la diligente custodia
dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno
otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero
di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e,
48
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
33
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati
giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati,
neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo
quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente
all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante
uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee
e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il
titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata
assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per
esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle
copie delle credenziali è organizzata garantendo la relativa segretezza e individuando
preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono
informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è
utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono
individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare
l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle
condizioni per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per
classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui
all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici
da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità
di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con
frequenza almeno settimanale.
34
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati
giudiziari49 redige anche attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1.l'elenco dei trattamenti di dati personali;
19.2.la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte
al trattamento dei dati;
19.3.l'analisi dei rischi che incombono sui dati;
19.4.le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5.la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6.la previsione di interventi formativi degli incaricati del trattamento, per renderli
edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi
dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in
rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità
per aggiornarsi sulle misure minime adottate dal titolare. La formazione è
programmata già al momento dell'ingresso in servizio, nonchè in occasione di
cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;
19.7.la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice,
all'esterno della struttura del titolare;
19.8.per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto
24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali
dati dagli altri dati personali dell'interessato.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del
codice penale, mediante l'utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti
rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e
trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o
resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al
trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono
intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di
danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati
idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di
49
Con le semplificazioni adottate nel dicembre 2008 per i titolari che trattano soltanto dati personali non sensibili e
che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori
anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a
carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione
35
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il
trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di
identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati
esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai
soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali
riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi
equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria
struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta
dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente
disciplinare tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta,
dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
Trattamenti senza l'ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato,
in caso di trattamento con strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per
l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza
almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e
dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati
agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e
documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad
essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle
operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone
ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando
gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati
della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
36
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Modulo 1.3.4 – Le “semplificazioni” del
2008 sulla sicurezza e la notificazione
Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto50 un
provvedimento51 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati
personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa,
interessano:
 amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
 piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.
Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza
venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni,
volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a
contenere i costi.
In base al provvedimento del Garante, le categorie interessate:
 possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
 possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di
autenticazione basato su un username e una password; lo username deve essere disattivato
quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno
dell'organizzazione);
 in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto
procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad
es. l'invio automatico delle mail ad un altro recapito accessibile);
 devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e
effettuare backup dei dati almeno una volta al mese.
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi
professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune
indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi
informatici.
Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento
che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare
50
51
http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
37
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
all'Autorità quando si avvia un trattamento di particolari tipi di dati (genetici, biometrici,
procreazione assistita, ecc.).
Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze
o comunicazioni al Garante, mentre quello sulla notificazione sarà operativo entro 60 giorni dalla
pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le
notificazioni a carico di chi lo abbia già fatto.
38
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Modulo 1.3.5 – I nuovi adempimenti per
le funzioni di “amministratore di sistema”
Sulla Gazzetta Ufficiale n. 300 del 24 dicembre 200852 è stato pubblicato il testo del
provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali dal titolo
“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di amministratore di sistema”53.
Il Garante ha rilevata l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad
attività riconducibili alle mansioni tipiche dei cosiddetti “amministratori di sistema” nonché di
coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati,
evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere
presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni
nella "Società dell'informazione" e dei rischi a esse associati.
Di conseguenza il Garante impone nuovi adempimenti ai titolari di trattamenti effettuati (anche
parzialmente) con strumenti elettronici. I nuovi adempimenti non riguardano i titolari destinatari
delle recenti “semplificazioni” sugli obblighi privacy.
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
1. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di
amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e
dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo
alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono
attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi
dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di
valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi
dell'art. 29.
2. Designazioni individuali. La designazione quale amministratore di sistema deve essere in
ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in
base al profilo di autorizzazione assegnato.
3. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche
amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere
riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare
non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere
aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora
l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che
trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i
titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o
conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie
organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi
52
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-1224&task=dettaglio&numgu=300&redaz=08A09816&tmstp=1230659946972
53
http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831
39
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli
interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al
titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento
del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in
alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet
aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale
forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di
legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di
amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e
specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche
preposte quali amministratori di sistema.
4. Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in
modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
5. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici
da parte degli amministratori di sistema. Le registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità
adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni
devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e
devono essere conservate per un congruo periodo, non inferiore a sei mesi.
6. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già
iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta
Ufficiale del presente provvedimento, le misure e gli accorgimenti (…) dovranno essere
introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in
centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo
il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure
dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.
Il 26 giugno 2009 il Garante per la protezione dei dati personali, attraverso un “comunicato
stampa”54 ha integrato e parzialmente modificato il provvedimento relativo agli "amministratori di
sistema", recependo alcune indicazioni pervenute, anche da associazioni di categoria, nel corso
della consultazione pubblica conclusasi il 31 maggio. Con le nuove disposizioni55 il Garante intende
facilitare il corretto adempimento alle prescrizioni impartite, mantenendo comunque elevato il
livello di protezione dei dati personali e le garanzie per i cittadini.
L’autorità, in particolare, ha consentito che gli adempimenti connessi all'individuazione degli
amministratori di sistema e alla tenuta dei relativi elenchi possano essere effettuati, oltre che dai
titolari, anche dai responsabili del trattamento. Ciò allo scopo di rendere tali obblighi più
agevoli per quelle realtà aziendali nelle quali determinati servizi informatici vengono svolti da
società esterne.
Di conseguenza - limitatamente alle misure tecniche e organizzative necessarie per quanto richiesto
- il termine per l'adozione delle prescrizioni è stato prorogato al 15 dicembre prossimo.
54
55
http://www.garanteprivacy.it/garante/doc.jsp?ID=1626716
http://www.garanteprivacy.it/garante/doc.jsp?ID=1626595
40
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Modulo 1.3.6 – Gli “inasprimenti” delle
sanzioni del 30 dicembre 2008
Con l’articolo 4456 del D.L. 30.12.2008 n. 207 sono state inasprite le sanzioni previste dal “Codice
in materia di protezione dei dati personali”57. In particolare il trattamento in violazione delle
misure di sicurezza, oltre ad essere punito con l’arresto sino a due anni, viene punito con una
sanzione amministrativa da 20.000 a 120.000 euro; vengono inoltre previsti casi di minore e
maggiore gravità, rispettivamente con diminuzione ed aumento delle sanzioni.
Le sanzioni prima del D.L. 30.12.2008 n. 207
Illeciti penali
Sanzioni amministrative
Trattamento illecito di dati
Omessa o inidonea informativa
Da € 3.000,00 a € 18.000,00
Omessa o inidonea informativa (dati
sensibili, giudiziari, trattamenti che
presentano rischi specifici)
Da € 5.000,00 a € 30.000,00
Cessione illecita di dati
Da € 5.000,00 a € 30.000,00
Violazione relativa ai dati personali
idonei a rilevare lo stato di salute
Da € 500,00 a € 3.000,00
Omessa o incompleta notificazione
Da € 10.000,00 a € 60.000,00
Omessa informazione o esibizione al
Garante dei documenti richiesti
Da € 4.000,00 a € 24.000,00
Reclusione da 6 a 24 mesi
Trattamento illecito di dati (dati sensibili,
giudiziari, trattamenti che presentano
rischi specifici)
Reclusione da 1 a 3 anni
Falsità nelle dichiarazioni e notificazioni
al Garante
Reclusione da 6 mesi a 3 anni
Omessa adozione delle misure minime
di sicurezza
Arresto fino a 2 anni Sanzione
pecuniaria da € 10.000,00 a €
50.000,00
Violazione da parte dei datori di lavoro
del divieto di Effettuare indagini su
opinioni politiche, Controllo attraverso
luso di impianti audiovisivi, o altre
apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno
Gli inasprimenti delle sanzioni già previste
Sanzioni amministrative
Omessa od inidonea informativa all’interessato
Cessione illecita dei dati
Violazioni relative ai dati personali idonei a rivelare lo stato
di salute
Omessa o incompleta notificazione
Omessa informazione o esibizione di documenti al Garante
Prima del DL 207/2008
Da 3.000 a 18.000 euro
Da 5.000 a 30.000 euro
Da 500 a 3.000 euro
DOPO il DL 207/2008
Da 6.000 a 36.000 euro
Da 10.000 a 60.000 euro
Da 1.000 a 6.000 euro
Da 10.000 a 60.000 euro
Da 4.000 a 24.000 euro
56
Da 20.000 a 120.000 euro
Da 10.000 a 60.000 euro
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-1231&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0
232&tmstp=1232193077977
57
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
41
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Le nuove sanzioni
Nuovo comma 2 bis all’articolo 162
In caso di “trattamento di dati in violazione delle misure di sicurezza (misure di cui all’art. 33 e
dell’allegato B al Dlgs. 196/2003 incluso il DPS)” si applica in sede amministrativa in ogni caso la
sanzione da 20.000 a 120.000 euro. L’articolo 169 prevede inoltre l’arresto sino a due anni ‐ nel
caso di regolarizzazione delle omissioni nei 60 giorni successivi l’autore della violazione è
ammesso a definire la violazione con il pagamento del quarto del massimo; l’adempimento ed il
pagamento estinguono il reato.
Introduzione dell’articolo 164 bis c. 1
(Casi di minore gravità) Se taluna delle violazioni di cui agli articoli 161‐162‐163‐164 è di
minore gravità avuto riguardo anche alla natura economica e sociale dell’attività svolta i limiti
minimi e massimi delle sanzioni sono applicati in misura pari a 2/5 (due quinti)
Introduzione dell’articolo 164 bis c. 2
(Cumulo delle sanzioni) In caso di violazione di più disposizioni ad eccezione di quelle di cui
all’art. 162 c. 2 ‐162 bis e 164, commesse anche in tempi diversi in relazione a banche dati di
particolare rilevanza o dimensioni si applica la sanzione amministrativa da 50.000 a 300.000 euro
Introduzione dell’articolo 164 bis c. 3
(Casi di maggiore gravità) Nei casi di maggiore gravità e di maggiore rilevanza del pregiudizio per
uno o più interessati, o quando la violazione coinvolge numerosi interessati, i limini minimo e
massimo delle sanzioni sono applicati in misura pari al doppio
Introduzione dell’articolo 164 bis c. 4
(Casi di maggiore gravità) Le sanzioni possono essere aumentate sino al quadruplo quando possono
risultare inefficaci in ragione delle condizioni economiche del trasgressore.
42
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Unità didattica 1.3
Domande di verifica 1.3
Domanda
L’allegato B al Codice
contiene l’elenco delle
misure minime di
sicurezza da adottare
per i trattamenti di dati
personali.
Prima risposta
Vero.
L’allegato contiene le
disposizioni tecniche
relative alla misure
minime di sicurezza
già enunciate nel
Codice.
L’allegato A5 riguarda Vero. Questo allegato
le centrali rischi
fissa le regole su come
private.
trattare i dati delle
persone ed aziende
registrate come cattivi
(o buoni) pagatori.
L’allegato A3 contiene Vero.
il codice deontologico Il codice deontologico
sul marketing.
fissa le regole da
adottare nel
trattamento di dati
personali per finalità
di marketing e
commerciali.
Seconda risposta
Falso.
L’allegato B indica
come garantire i diritti
dei cittadini in ambito
privacy.
Terza risposta
Parzialmente vero
L’allegato B faceva
parte della precedente
legge 675 sulla
privacy. Oggi è in
vigore il d.lgs. 231/01.
Vero. L’allegato
contiene anche un
codice di condotta da
far sottoscrivere al
consumatore.
Falso. L’allegato
contiene le modalità
per inviare la
notificazione dei
trattamenti al Garante.
Parzialmente vero.
È l’allegato A4 che
contiene il codice
deontologico sul
marketing.
Falso.
Il codice deontologico
sul marketing non è
ancora stato emanato.
43
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Risposte alle domande di verifica
Risposte alle domande di
verifica della lezione 1
Domande di verifica 1.1 e risposte corrette
Domanda
Il Codice in materia di
protezione dei dati
personali è in vigore
dal primo gennaio
2001.
Falso, il Codice in
materia di protezione
dei dati personali è in
vigore dal primo
gennaio 2004 e
sostituisce la
precedente legge
n.675 del 1996.
Quando è stata
abrogata la legge sulla
privacy del 1996?
Nel 2004 dal Codice
in materia di
protezione dei dati
personali.
Falso. Le norme sulla
privacy si applicano
sia a persone fisiche
che ad aziende.
La legge sulla privacy
riguarda solo le
persone fisiche e non
le aziende.
Domande di verifica 1.2 e risposte corrette
Domanda
L’Autorità Garante per
la protezione dei dati
personali non ha reali
poteri ma può
semplicemente
“consigliare” i
comportamenti
corretti.
La nomina dei
componenti
dell’Autorità Garante
per la privacy è di tipo
“politica”.
I cittadini, e le imprese,
possono appellarsi
direttamente al garante per
far valere i propri diritti.
Falso.
Il Garante può
infliggere sanzioni ed
imporre le proprie
decisioni fino al
blocco dei
trattamenti.
Vero.
I membri
dell’autorità sono
nominati dal
Parlamento.
Vero.
Sul sito del Garante sono
disponibili anche
suggerimenti e modelli
44
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Risposte alle domande di verifica
per esercitare tale diritto
Tra gli incarichi del
Garante vi sono le
ispezioni nelle aziende
per valutare il rispetto
degli adempimenti di
legge.
Vero.
Ogni anno il Garante
presenta
pubblicamente il
piano delle ispezioni
previste.
Domande di verifica 1.3 e risposte corrette
Domanda
L’allegato B al Codice
contiene l’elenco delle
misure minime di
sicurezza da adottare
per i trattamenti di dati
personali.
L’allegato A5 riguarda
le centrali rischi
private.
Vero.
L’allegato contiene le
disposizioni tecniche
relative alla misure
minime di sicurezza
già enunciate nel
Codice.
Vero. Questo allegato
fissa le regole su
come trattare i dati
delle persone ed
aziende registrate
come cattivi (o buoni)
pagatori.
L’allegato A3 contiene
il codice deontologico
sul marketing.
Falso.
Il codice deontologico
sul marketing non è
ancora stato
emanato.
45
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 1 – Risposte alle domande di verifica
Pagina lasciata intenzionalmente bianca
46
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Organizzazione della privacy
Lezione 2 –
Organizzazione
della privacy
Caso di studio a – Arcobaleni196 si organizza
Unità Didattica 2.1 – Principali adempimenti previsti dal
Codice
Unità Didattica 2.2 – Provvedimenti più rilevanti per le
aziende
Unità Didattica 2.3 – Organizzazione della privacy
Risposte alle domande di verifica della lezione 2
47
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Organizzazione della privacy
Obiettivi di apprendimento
 Cosa sono i provvedimenti del Garante?
 Informativa, consenso, notificazione
 Misure di sicurezza
A chi si rivolge questa lezione?
Direzione aziendale, Responsabili dei trattamenti
Percorsi formativi
 Corso per Direzione.
 Corso per Responsabile dei trattamenti.
 Corso per Responsabile dei trattamenti con video sorveglianza.
 Corso per Responsabile dei trattamenti di marketing.
Concetti chiave:
 Organizzazione per la privacy.
 Adempimenti privacy.
 Titolare, Responsabile, incaricato.
48
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Caso di studio B
Lezione 2 –
Caso di studio B Arcobaleni196 si
organizza
49
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Caso di studio B
Nel primo incontro con il Direttor Generale della società Arcobaleni196 (il cavalier Arcobaleni!)
ho fatto, a lui ed ai suoi collaboratori, un riepilogo delle principali norme in ambito privacy.
Adesso sono di nuovo a colloquio con il cavalier Arcobaleni per decidere cosa deve fare l’azienda
per essere “conforme” alla normativa sulla privacy.
“Caro ingegnere” esordisce il cavalier Arcobaleni non appena mi sono accomodato nel suo ufficio
“la sua lezione di introduzione alla Privacy è stata molto interessante però fin’ora ho sentito solo
teoria … Capisce, noi siamo una piccola impresa e dobbiamo essere concreti! Mi ha convinto che
Arcobaleni196 deve organizzarsi meglio rispetto alla privacy. Ci dica dunque: cosa dobbiamo fare,
in concreto? Quanto tempo ci vuole per mettere tutto a posto? E specialmente quanto mi costerà
tutto ciò?”
“Risponderò tra un attimo a tutte le sue domande, caro cavaliere. Per indicarle in modo chiaro e
completo gli adempimenti a cui siete soggetti ho bisogno di qualche altra informazione. Dunque le
chiedo una ulteriore cortesia. Mi spiega in breve di cosa si occupa Arcobaleni196?”
“Molto volentieri ingegnere. Ho fondato io quest’azienda vent’anni fa!”
Presentazione di
Arcobaleni196
srl
La storia
Arcobaleni196 srl è una società specializzata nella produzione di vernici speciali per la carrozzeria
di veicoli. La società è stata fondata agli inizi degli anni 80 da Pinco Arcobaleni, attuale Direttore
Generale, ed è detentrice di numerosi brevetti nazionali ed internazionali. I prodotti non sono
venduti direttamente al pubblico ma alle principali case automobilistiche mondiali. La sede unica
dell’azienda è ubicata presso Colleazzurro, vicino Roma.
I dipendenti sono circa 60.
La società è certificata secondo la norma UNI EN ISO 9001:2000 per tutte le proprie attività.
Struttura organizzativa
La maggior parte dei dipendenti lavora nell’area “produzione”, area a cui fanno riferimento 4
reparti:
1. logistica;
2. impianti;
3. ricerca e sviluppo;
4. informatica.
50
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Caso di studio B
Il resto dei dipendenti lavora nelle funzioni amministrative: contabilità, risorse umane, qualità.
Canali distributivi
Arcobaleni196 si avvale, per la commercializzazione dei propri prodotti, di una rete di distributori
internazionali. Negli ultimi cinque anni ha cominciato ad utilizzare anche il canale Internet e si è
dotata di un sito web58 che fungere da vetrina elettronica dei prodotti della società e permette:
 ai distributori di fare gli ordini ad Arcobaleni196 via web;
 ai clienti di trovare il fornitore di riferimento per zona geografica o tipo di prodotto;
 alla società di pubblicizzare eventi commerciali.
Funzioni e processi esternalizzati
Sono affidati a ditte esterne:
 gestione paghe e contributi;
 aspetti fiscali, legali e di diritto del lavoro;
 sicurezza fisica e vigilanza;
 sicurezza 626 sul posto di lavoro.
“Bene cavaliere, adesso ho le idee più chiare. Un’ultima domanda. In questa azienda non c’è un
responsabile per la privacy?”
“Assolutamente no! Le ho già detto che non trattiamo dati personali! Anzi mi scusi non trattiamo
dati sensibili … Perché me lo chiede? Lei mi consiglia di nominare un responsabile?”
“La nomina del responsabile dei trattamenti non è obbligatoria ma di solito è utile in quanto
concentra su una figura aziendale il rispetto degli adempimenti. Adesso cercherò di riassumerle
58
http://www.arcobaleni196.it/
51
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Caso di studio B
quali sono questi adempimenti nel caso di Arcobaleni196. Le dico subito che parte di essi nascono
dal tipo di trattamenti di dati personali che sono effettuati in azienda. Chi è che ha un quadro
completo di essi?”
“Non so …” medita Arcobaleni “Qualcosa posso dirle io stesso. Poi occorre chiedere al
responsabile dei sistemi informativi. Inoltre dobbiamo verificare anche con il responsabile
amministrativo …”
“Dobbiamo censire i trattamenti elettronici ed anche quelli cartacei” ricordo al cavaliere.
“Allora riconvochiamo tutti i miei collaboratori e facciamoci indicare i trattamenti direttamente da
loro!” esclama il Arcobaleni sollevando il telefono.
Al lavoro!
Eccoci di nuovo tutti intorno al tavolo. Spiego ancora una volta che per operare in modo efficace
rispetto agli adempimenti della privacy occorre in primo luogo partire dal censimento dei
trattamenti dei dati personali. Propongo dunque un “esercizio collettivo”.
“Proviamo a censire tutti i trattamenti di dati personali che sono
svolti in Arcobaleni196. Ciascuno scriva i trattamenti che conosce e poi
confrontiamo i risultati
Subito nascono i dubbi.
“Mi scusi può ripetere la definizione di trattamento? Sarebbero i database?”
“Abbiamo anche applicazioni informatiche senza database!”
“Dobbiamo anche elencare i tabulati?”
“Cosa facciamo per gli archivi cartacei del personale?”
“Calma, calma! Dobbiamo fare solo un simulazione. Riepilogo le regole di questo gioco
52
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Caso di studio B
1) ciascuno di voi scriva sul proprio block notes un semplice elenco dei dati che tratta per la
propria attività lavorativa
2) con trattamento intendiamo letteralmente l’uso, manuale o informatizzato, di dati ed
informazioni
3) per semplificare consideriamo tutti i dati e le informazioni, anche quelle pubbliche, come
dati personali
4) indicate se il trattamento è completamento cartaceo (non automatizzato) o mediante sistemi
informatici
5) abbiamo 10 minuti.”
10 minuti dopo abbiamo i risultati. Mi faccio consegnare gli elenchi e metto tutto insieme in una
unica lista eliminando i doppioni. Ecco il risultato:










Paghe e contributi
Gestione personale
Fatturazione attiva Clienti
Fornitori
Contabilità
Ciclo di produzione
Gestione Qualità, cartaceo
Adempimenti societari, cartaceo
Guardiania,
Prototipi
“Bene, grazie a tutti per la collaborazione. A mio avviso, però, sulla base di quanto il cavalier
Arcobaleni mi ha raccontato prima del vostro arrivo dovremmo aggiungere i seguenti trattamenti:
 sicurezza sul posto di lavoro 626, cartaceo
 corrispondenza e protocollo posta entrata ed uscita
 videosorveglianza
 ordini via web
 posta elettronica
 curricula aspiranti collaboratori e dipendenti, cartaceo
 comunicazioni commerciali
 adempimenti e consulenza fiscale, cartaceo
 adempimenti e consulenza legale, cartaceo
 adempimenti e consulenza giuslavoristica, cartaceo”
Poi chiedo ai presenti di aiutarmi ad individuare dove si trovano i dati sensibili e giudiziari nei
trattamenti che abbiamo censito.
Ricordo le definizioni.
 Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i
dati personali idonei a rivelare lo stato di salute e la vita sessuale.
 Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma
1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario
giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi
53
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Caso di studio B
pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale.
Ecco il risultato.
Trattamento
Paghe e contributi
Gestione personale
Fatturazione attiva Clienti
Fornitori
Contabilità
Ciclo di produzione
Gestione Qualità
Adempimenti societari
Guardania,
Prototipi
Sicurezza sul posto di lavoro 626
corrispondenza e protocollo posta entrata
ed uscita
videosorveglianza
ordini via web
posta elettronica
curricula aspiranti collaboratori e
dipendenti, cartaceo
comunicazioni commerciali
adempimenti e consulenza fiscale
adempimenti e consulenza legale
adempimenti e consulenza giuslavoristica
Automatizzato
Dato sensibile
Sì
Sì
No
No
No
No
No
No
Dato giudiziario
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Infine inseriamo una nuova colonna per indicare se il trattamento è svolto internamento all’azienda
o esternalizzato ad un fornitore.
54
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Caso di studio B
Trattamento
Paghe e contributi
Gestione personale
Fatturazione attiva Clienti
Fornitori
Contabilità
Ciclo di produzione
Gestione Qualità
Adempimenti societari
Guardania,
Prototipi
Sicurezza sul posto di lavoro 626
corrispondenza e protocollo posta entrata
ed uscita
videosorveglianza
ordini via web
posta elettronica
curricula aspiranti collaboratori e
dipendenti, cartaceo
comunicazioni commerciali
adempimenti e consulenza fiscale
adempimenti e consulenza legale
adempimenti e consulenza giuslavoristica
Automatizzato
Dato sensibile
Sì
Sì
Dato giudiziario
Sì
Sì
No
No
Esternalizzato
Sì
Sì
Sì
No
No
No
No
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
È il momento delle conclusioni.
“Bene signori, grazie a questo esercizio comune siamo giunti al punto che ci premeva. Quali sono
gli adempimenti privacy che Arcobaleni196 deve rispettare?”
1) Come tutte le aziende che trattano dati personali Arcobaleni196 deve dare l’informativa su
tali trattamenti a tutti gli interessati (clienti, fornitori, dipendenti) e nei casi previsti dalla
legge ottenere da questi il consenso al trattamento.
2) Tutti coloro che in azienda trattano dati personali devono ricevere dal titolare una lettera di
incarico scritta che specifichi ambiti e modalità del trattamento.
3) Arcobaleni196 tratta anche dati sensibili e giudiziari, dunque deve adottare le relative
misure di sicurezza di tipo organizzativo e tecnologico tra cui la redazione e
l’aggiornamento annuale del Documento Programmatico della Sicurezza (DPS).
4) Arcobaleni effettua trattamenti di videosorveglianza dunque deve adottare gli
adempimenti indicati dal Garante per tali casi.
5) È opportuno dare ulteriori istruzioni scritte a tutti gli utilizzatori sull’uso di sistemi quali
Internet e posta elettronica.
6) Infine, in relazione al provvedimento del Garante del novembre 2008, occorre provvedere a
nominare gli “amministratori di sistema” interni e censire quelli esterni.
“Per concludere” sottolineo “per garantire il rispetto di tutti questi adempimenti, che non vanno
svolti una tantum ma periodicamente, è fortemente consigliato, specie a garanzia del titolare
dell’azienda, nominare un responsabile aziendale della privacy.”
Dopo qualche secondo di silenzio prende la parola il cavalier Arcobaleni.
“Bene ingegner Marcelli. Mi ha convinto. Mettiamoci al lavoro. Da dove cominciamo?”
55
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Caso di studio B
“Cominciamo a vedere più in dettaglio gli adempimenti richiesti dalle norme privacy. Siete tutti
pronti? Si parte con la seconda lezione.”
Vi parlerò di tre argomenti
1. I provvedimenti più rilevanti
2. Principali adempimenti
3. Organizzazione della privacy
Inizia il corso…
56
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Lezione 2 –
Unità didattica 2.1 –
Principali adempimenti
previsti dal Codice
Modulo 2.1.1 – L’informativa
Modulo 2.1.2 – Il consenso
Modulo 2.1.3 – La notificazione
Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi
Modulo 2.1.5 – Le lettere di incarico
Modulo 2.1.6 – Le misure di sicurezza
Modulo 2.1.7 – La formazione
Modulo 2.1.8 – I diritti degli interessati
Modulo 2.1.9 – Check list di verifica degli adempimenti
Domande di verifica 2.1
57
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Modulo 2.1.1 – L’informativa
L’informativa contiene le informazioni che il titolare del trattamento deve fornire all’interessato
per chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli
scopi e le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti
riconosciuti dalla legge.
Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo
Garante sei tu”59.
In maniera più formale il “Codice in materia di protezione dei dati personali”60 all’articolo 13
recita come segue.
Art. 13. Informativa
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
a)
b)
c)
d)
le finalità e le modalità del trattamento cui sono destinati i dati;
la natura obbligatoria o facoltativa del conferimento dei dati;
le conseguenze di un eventuale rifiuto di rispondere;
i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili
o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel
territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il
titolare ha designato più responsabili è indicato almeno uno di essi,
indicando il sito della rete di comunicazione o le modalità attraverso le
quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili.
Quando è stato designato un responsabile per il riscontro all'interessato in
caso di esercizio dei diritti di cui all'articolo 7, è indicato tale
responsabile.
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche
disposizioni del presente codice e può non comprendere gli elementi già noti alla persona
che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte
di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o
sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.
3. Il Garante può individuare con proprio provvedimento modalità semplificate per
59
60
http://www.garanteprivacy.it/garante/document?ID=1382763
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
58
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al
pubblico.
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma
1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della
registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima
comunicazione.
5. La disposizione di cui al comma 4 non si applica quando:
a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o
dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui
alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un
diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali
finalità e per il periodo strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego di mezzi che il Garante,
prescrivendo eventuali misure appropriate, dichiari manifestamente
sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante,
impossibile.
In pratica
L’azienda deve predisporre un documento61 denominato “informativa” che contenga almeno le
seguenti informazioni:
 finalità e modalità del trattamento;
 natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale
rifiuto di rispondere;
 soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza;
 diritti riconosciuti all’interessato dall'articolo 7 del Codice;
 estremi identificativi del titolare e, se designato, del responsabile del trattamento.
Il Garante ha precisato62 che:
Se taluno di questi elementi è già noto all’interessato, non è necessario farlo presente
nuovamente. In caso di dati raccolti presso l’interessato, l’informativa deve essere resa, anche
in forma orale, prima delle operazioni del trattamento. Nel rapporto con fornitori, clienti,
dipendenti e collaboratori non è necessario ripeterla in occasione di ogni contatto: è
sufficiente fornirla con una formula generale una tantum, all’inizio delle operazioni di
trattamento (che potranno anche protrarsi nel tempo). È possibile fornire l’informativa anche
oralmente, in modo sintetico e colloquiale, senza includere elementi già noti all’interessato
(art. 13 comma 2, del Codice). Si può utilizzare anche uno spazio all’interno dell’ordinario
materiale cartaceo e della corrispondenza
Ove possibile in forma scritta; ma si possono usare anche “informative” sotto forma di voce preregistrata (operatori
telefonici) o forma analoghe.
62
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par3
61
59
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Esempio di informativa per clienti e fornitori (senza consenso)
Informativa al trattamento dei dati personali al sensi del d. lgs. 196/2003 “Codice in materia
di protezione dei dati personali”
Ai sensi dell'art. 13 del d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” ed in
relazione al rapporto contrattuale in essere con la nostra azienda, si informa che i Vostri dati
personali formeranno oggetto di trattamento, e più precisamente che:
 le finalità del trattamento sono relative all’esecuzione degli obblighi derivanti dal rapporto
contrattuale e ad ogni incombenza ad esso strettamente correlata nonché a obblighi
derivanti da leggi, regolamenti e normativa comunitaria;
 le modalità del trattamento possono prevedere l’utilizzo di mezzi cartacei e informatici atti
a memorizzare e gestire i dati stessi, mediante strumenti idonei a garantire la loro sicurezza
e la riservatezza;
 i dati da Voi forniti potranno essere oggetto di comunicazione, nel pieno rispetto delle
prescrizioni di legge, per finalità strettamente correlate all’esecuzione dei nostri obblighi
contrattuali.
 possono venire a conoscenza dei dati, in qualità di incaricati o responsabili, i dipendenti e i
collaboratori esterni addetti alla Funzione Contabilità Fornitori nonché soggetti, interni ed
esterni, che svolgono per conto della società compiti tecnici, di supporto (in particolare,
servizi legali, servizi informatici, spedizioni) e di controllo aziendale.
Vi ricordiamo che l’art. 7 del D.Lgs. 196 del 2003 Vi riconosce taluni diritti. In particolare Voi
potrete:
 ottenere la conferma della esistenza o meno di dati personali che Vi riguardano, e che tali
dati Vi vengano comunicati in forma intelligibile;
 ottenere l’indicazione dell’origine dei dati, delle finalità e modalità del trattamento, della
logica applicata nel caso di trattamento con l’ausilio di strumenti elettronici, degli estremi
identificativi del titolare e del responsabile, dei soggetti o delle categorie di soggetti ai quali
i dati possono essere comunicati o che possono venirne a conoscenza;
 ottenere l’aggiornamento, la rettifica o, quando vi avete interesse, l’integrazione dei dati; la
cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione
di legge; l’attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali
i dati sono stati comunicati o diffusi (quando ciò non si riveli impossibile o sproporzionato
rispetto al diritto tutelato);
 opporVi in tutto o in parte, per motivi legittimi, al trattamento dei Vostri dati personali
ancorché pertinenti allo scopo della raccolta, o quando siano trattati ai fini di invio di
materiale pubblicitario o di vendita diretta o di ricerche di mercato o di comunicazione
commerciale.
Per l’esercizio di tali diritti, potrete rivolgerVi al responsabile del trattamento di Arcobaleni196
domiciliato per le funzioni presso la sede legale della società al quale ci si può rivolgere via email
privacy@arcobaleni196.
60
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Modulo 2.1.2 – Il consenso
Il consenso è la libera manifestazione della volontà con la quale l’interessato accetta – in modo
espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo
riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.
Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo
Garante sei tu”63.
In maniera più formale il “Codice in materia di protezione dei dati personali”64 agli articoli 23 e
24 recita come segue.
Art. 23. Consenso
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è
ammesso solo con il consenso espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello
stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in
riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se
sono state rese all'interessato le informazioni di cui all'articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il
trattamento:
a. è necessario per adempiere ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
b. è necessario per eseguire obblighi derivanti da un contratto del quale è
parte l'interessato o per adempiere, prima della conclusione del contratto,
a specifiche richieste dell'interessato;
c. riguarda dati provenienti da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i
regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e
pubblicità dei dati;
63
64
http://www.garanteprivacy.it/garante/document?ID=1382763
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
61
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
d.
e.
f.
g.
h.
d) riguarda dati relativi allo svolgimento di attività economiche, trattati
nel rispetto della vigente normativa in materia di segreto aziendale e
industriale;
è necessario per la salvaguardia della vita o dell'incolumità fisica di un
terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può
prestare il proprio consenso per impossibilità fisica, per incapacità di agire
o per incapacità di intendere o di volere, il consenso è manifestato da chi
esercita legalmente la potestà, ovvero da un prossimo congiunto, da un
familiare, da un convivente o, in loro assenza, dal responsabile della
struttura presso cui dimora l'interessato. Si applica la disposizione di cui
all'articolo 82, comma 2;
con esclusione della diffusione, è necessario ai fini dello svolgimento
delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o,
comunque, per far valere o difendere un diritto in sede giudiziaria, sempre
che i dati siano trattati esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento, nel rispetto della vigente
normativa in materia di segreto aziendale e industriale;
con esclusione della diffusione, è necessario, nei casi individuati dal
Garante sulla base dei principi sanciti dalla legge, per perseguire un
legittimo interesse del titolare o di un terzo destinatario dei dati, anche in
riferimento all'attività di gruppi bancari e di società controllate o
collegate, qualora non prevalgano i diritti e le libertà fondamentali, la
dignità o un legittimo interesse dell'interessato;
con esclusione della comunicazione all'esterno e della diffusione, è
effettuato da associazioni, enti od organismi senza scopo di lucro, anche
non riconosciuti, in riferimento a soggetti che hanno con essi contatti
regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi
individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e
con modalità di utilizzo previste espressamente con determinazione resa
nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;
è necessario, in conformità ai rispettivi codici di deontologia di cui
all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per
esclusivi scopi storici presso archivi privati dichiarati di notevole interesse
storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre
1999, n. 490, di approvazione del testo unico in materia di beni culturali e
ambientali o, secondo quanto previsto dai medesimi codici, presso altri
archivi privati.
Per sintetizzare
Nella maggior parte dei trattamenti effettuati in azienda in relazione a clienti e fornitori non è
necessario avere il consenso della persona o ente a cui si riferiscono i dati (attenzione: l'informativa
va invece sempre data almeno una volta). Infatti il consenso non è richiesto nei seguenti casi
 i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale (art. 24,
comma 1, lett. b), del Codice);
 il trattamento viene posto in essere per dare esecuzione a un obbligo legale (art. 24, comma
1, lett. a) del Codice);
 i dati provengono da registri ed elenchi pubblici (art. 24, comma 1, lett. c), del Codice);
62
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1

i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato (art. 24,
comma 1, lett. d), del Codice).
Nei casi restanti, l'interessato deve aver manifestato un consenso libero, specifico e informato in
relazione al trattamento effettuato. Il consenso deve essere documentato per iscritto (art. 23 del
Codice).
Quando si trattano dati “sensibili” (ad esempio. per gli adempimenti amministrativi, busta paga,
gestione malattie di collaboratori e dipendenti) serve il consenso dell'interessato che deve essere
dato per iscritto (art. 23 del Codice)
63
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Esempio di informativa per dipendenti (con consenso)
Informativa e consenso al trattamento dei dati personali al sensi del d. lgs. 196/2003 “Codice
in materia di protezione dei dati personali” (per i dipendenti)
Arcobaleni196, con sede in via Multicolori 123, ColleAzzurro (Roma), effettua trattamenti di Suoi
dati personali nel pieno rispetto delle norme di legge secondo principi di correttezza, liceità e
trasparenza e per finalità strettamente connesse e strumentali alla gestione del rapporto di lavoro,
ivi comprese le finalità previdenziali, e in particolare:
 per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria;
 per eseguire obblighi derivanti dal Suo contratto di lavoro.
Può accadere che per l’adempimento di specifici obblighi relativi alla gestione del rapporto di
lavoro, anche in materia di igiene e sicurezza del lavoro e di previdenza e assistenza,
Arcobaleni196 tratti i dati che la legge definisce come sensibili e cioè quelli idonei a rilevare
l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita
sessuale.
Rispetto al trattamento di tali dati, Le ricordiamo che non è richiesto dalla legge il Suo consenso
nel caso di trattamento necessario per adempiere a specifici obblighi o compiti previsti dalla legge,
da un regolamento o dalla normativa comunitaria.
Il Suo consenso al trattamento dei dati sensibili è invece richiesto dalla legge nel caso di
trattamento necessario per adempiere ad obblighi previsti da contratti collettivi, anche aziendali
(ad esempio, trattenute sindacali, corresponsioni di liberalità o benefici accessori).
Senza il Suo consenso non potranno essere eseguite le conseguenti operazioni.
Il trattamento dei Suoi dati personali avviene mediante strumenti informatici, telematici e manuali,
con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la
sicurezza degli stessi e sempre nel rispetto delle previsioni di cui all’art. 11 del D.Lgs. 196 del
2003.
Per lo svolgimento, per nostro conto, di talune delle attività relative al trattamento dei Suoi dati
personali, la società effettua comunicazioni a società o enti esterni di fiducia, nostri diretti
collaboratori che operano in totale autonomia come distinti “titolari” del trattamento. Si tratta, in
modo particolare, di soggetti che svolgono servizi di paghe e contributi, gestione di forme di
previdenza e assistenza, erogazioni dei buoni pasto ed altri servizi affini. Il loro elenco è
costantemente aggiornato e può conoscerlo agevolmente e gratuitamente chiedendolo al
Responsabile del trattamento.
Firmato
Il Responsabile del trattamento
64
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Consenso al trattamento dei dati personali
Spett.le Arcobaleni196 srl
Premesso che – come rappresentato nell’informativa che mi è stata fornita ai sensi del D.Lgs.
30/6/2003 n. 196 – può accadere che il trattamento di taluni dei miei dati sensibili derivi
dall’adempimento di obblighi previsti dal contratto collettivo, anche aziendale
• do il consenso
• nego il consenso
(marcare la scelta)
Sono consapevole che, in mancanza di consenso, non potranno essere eseguite le conseguenti
operazioni.
Data __________________ Firma _______________________________
65
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Modulo 2.1.3 – La notificazione
La notificazione è una dichiarazione con la quale il titolare del trattamento, prima di iniziarlo,
rende nota al Garante (che la inserisce nel registro pubblico dei trattamenti consultabile da
chiunque sul sito web dell'Autorità) l'esistenza di un'attività di raccolta e di utilizzazione dei dati
personali.
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”65
In maniera più formale il “Codice in materia di protezione dei dati personali”66 agli articoli 37 e
38 recita come segue.
Art. 37. Notificazione del trattamento
1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo
se il trattamento riguarda:
a. dati genetici, biometrici o dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione elettronica;
b. dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di
procreazione assistita, prestazione di servizi sanitari per via telematica
relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche,
rilevazione di malattie mentali, infettive e diffusive, sieropositività,
trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c. dati idonei a rivelare la vita sessuale o la sfera psichica trattati da
associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d. dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o
la personalità dell'interessato, o ad analizzare abitudini o scelte di
consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione
elettronica con esclusione dei trattamenti tecnicamente indispensabili per
fornire i servizi medesimi agli utenti;
e. dati sensibili registrati in banche di dati a fini di selezione del personale
per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione,
ricerche di mercato e altre ricerche campionarie;
f. dati registrati in apposite banche di dati gestite con strumenti elettronici e
relative al rischio sulla solvibilità economica, alla situazione patrimoniale,
al corretto adempimento di obbligazioni, a comportamenti illeciti o
65
66
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par2
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
66
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
fraudolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se
relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale
funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale.
2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e
alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati
personali, con proprio provvedimento adottato anche ai sensi dell'articolo 17. Con
analogo provvedimento pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il
Garante può anche individuare, nell'ambito dei trattamenti di cui al comma 1, eventuali
trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di
notificazione.
3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il
trasferimento all'estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a
chiunque e determina le modalità per la sua consultazione gratuita per via telematica,
anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie
accessibili tramite la consultazione del registro possono essere trattate per esclusive
finalità di applicazione della disciplina in materia di protezione dei dati personali.
Art. 38. Modalità di notificazione
1. La notificazione del trattamento è presentata al Garante prima dell'inizio del
trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata
del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità
correlate.
2. La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del
Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e
soltanto le seguenti informazioni:
a. le coordinate identificative del titolare del trattamento e, eventualmente,
del suo rappresentante, nonché le modalità per individuare il responsabile
del trattamento se designato;
b. la o le finalità del trattamento;
c. una descrizione della o delle categorie di persone interessate e dei dati o
delle categorie di dati relativi alle medesime;
d. i destinatari o le categorie di destinatari a cui i dati possono essere
comunicati;
e. i trasferimenti di dati previsti verso Paesi terzi;
f. una descrizione generale che permetta di valutare in via preliminare
l'adeguatezza delle misure adottate per garantire la sicurezza del
trattamento.
3. Il Garante favorisce la disponibilità del modello per via telematica e la notificazione
anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa
67
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
vigente, anche presso associazioni di categoria e ordini professionali.
4. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento
o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
5. Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a
nuove soluzioni tecnologiche previste dalla normativa vigente.
6. Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi
dell'articolo 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa
richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti
conoscibili da chiunque.
Semplificazione del dicembre 2008 (vedi anche Modulo 1.3.4 – Le “semplificazioni” del 2008
sulla sicurezza e la notificazione)
Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto67 un
provvedimento68 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati
personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa,
interessano:
 amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
 piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.
Con tale provvedimento il Garante ha semplificato anche il modello utilizzato per effettuare le
notificazioni; il provvedimento sulla notificazione sarà operativo entro 60 giorni dalla
pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le
notificazioni a carico di chi lo abbia già fatto.
Per sintetizzare
La notificazione è una dichiarazione fatta via Internet con la quale il titolare comunica al Garante di
effettuare trattamenti di dati facenti parte di una delle sette categorie considerate "a rischio":
 dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto
adempimento di obbligazioni, a comportamenti illeciti o fraudolenti; come esclusi i dati
relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa
 dati genetici o biometrici
 dati volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o
scelte di consumo (c.d. profilazione)
 dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non,
quindi, quelli trattati direttamente dall’imprenditore)
67
68
http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
68
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1

dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche
campionarie.
Figura tratta dal sito del Garante69
Domande frequenti sulla notificazione
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”70
È sempre necessario notificare il trattamento dei dati al Garante?
In linea di principio i trattamenti ordinari svolti presso piccole realtà produttive non vanno
notificati: si pensi ai trattamenti di dati relativi ai dipendenti, ai fornitori o alla clientela71. In
particolare, non devono essere notificati i dati relativi agli inadempimenti dei propri clienti tenuti da
ciascuna impresa.
In questo quadro la notificazione deve essere effettuata in ipotesi particolari (indicate all'art. 37 del
Codice). Con specifico riguardo all'attività di impresa, i trattamenti soggetti a notificazione sono
quelli relativi a:
 dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio
sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di
obbligazioni, a comportamenti illeciti o fraudolenti; come detto, non rientrano in
quest'ambito, i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa.
 dati genetici72, biometrici o dati che indicano la posizione geografica di persone od oggetti
mediante una rete di comunicazione elettronica (ad esempio, dati trattati mediante sistemi di
geolocalizzazione installati su veicoli al fine di individuarne la posizione);
 dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità
dell'interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione), ovvero a
69
https://web.garanteprivacy.it/rgt/NotificaTelematica.php
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par2
71
Specifiche indicazioni sono contenute anche nel provvedimento del Garante del 31 marzo 2004 Provvedimento
relativo ai casi da sottrarre all'obbligo di notificazione, in G.U. del 6 aprile 2004, n. 81 e in www.garanteprivacy.it, doc.
web 852561. V. pure, Chiarimenti sui trattamenti da notificare al Garante, 23 aprile 2004, doc. web. n. 993385.
72
V. in materia Provv. 22 febbraio 2007, doc. web n. 1389918
70
69
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
 dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non,
quindi, quelli trattati direttamente dall'imprenditore), nonché dati sensibili utilizzati per
sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.
Come si effettua la notificazione al Garante?
Solo utilizzando l'interfaccia disponibile73 sul sito web dell'Autorità e seguendo le istruzioni ivi
indicate (v. art. 38 del Codice).
Quando occorre fare una nuova notificazione?
Solo in caso di cessazione del trattamento o di mutamento di alcuni elementi dell'originaria
notificazione.
Esiste un facsimile di notificazione?
Sì, è disponibile presso il sito del Garante a questo link74 (pdf, 895 K, 12 pp.)
È possibile consultare le notificazioni effettuate da altri titolari?
Sì. Le notificazioni sono conservate in un registro pubblico accessibile via internet al seguente
link75.
73
https://web.garanteprivacy.it/rgt/NotificaTelematica.php
https://web.garanteprivacy.it/rgt/FacSimile_Modello_Notificazione_2008.pdf
75
https://web.garanteprivacy.it/rgt/NotificaEsplora.php
74
70
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Modulo 2.1.4 – Il trasferimento dei dati in
paesi terzi
Nello svolgimento dell'attività di impresa può risultare necessario trasferire dati personali fuori
dell'Unione europea (ad esempio relativi alla clientela o ai dipendenti). Il Codice prevede
specifiche regole al riguardo.
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”76
Per il trasferimento di dati personali in paesi situati all’interno dell’Ue non sussistono ulteriori
obblighi in quanto, in ossequio alla direttiva 95/46/Ce (qui in pdf77, 2.1 M, 20 pp.) , tutte le nazioni
dell'Unione hanno specifiche normative in materia di protezione dei dati personali che sono tra loro
simili. In pratica la conformità alla norma italiana assicura la conformità a livello UE (art. 42 del
Codice).
Per il trasferimento di dati personali in paesi situati fuori dall'Unione europea il Codice prevede
specifiche regole, tra cui il consenso dell'interessato espresso, se si tratta di dati sensibili, in forma
scritta; il trasferimento è però possibile se:
 è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o
per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato,
ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore
dell'interessato;
 è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o
con regolamento;
 è necessario ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000,
n. 397), o, comunque, per far valere o difendere un diritto in sede giudiziaria;
 il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.
76
77
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par6
http://www.garanteprivacy.it/garante/document?ID=432175
71
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Modulo 2.1.5 – Le lettere di incarico
Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente
le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del
responsabile) attenendosi a istruzioni scritte (art. 30 del Codice), le cosiddette “lettere di
incarico”. Il titolare del trattamento è tenuto a designare gli incaricati.
È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per
iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento.
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”78 con alcune modifiche al testo
In maniera più formale il “Codice in materia di protezione dei dati personali”79 all’articolo 30
recita come segue.
Art. 30. Incaricati del trattamento
1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano
sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni
impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del
trattamento consentito. Si considera tale anche la documentata preposizione della
persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del
trattamento consentito agli addetti all'unità medesima.
In pratica
Il Garante suggerisce80 per le piccole e medie aziende di effettuare le lettere di incarico come segue.
“In un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato
numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante
consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di
competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una
previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti
inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità.”
Esempio di ambito di competenza e di lettera di incarico
78
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par1
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
80
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#4
79
72
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Ambito di competenza
Unità Organizzativa
Direzione Generale
Qualità e Controlli
Risorse Umane
Risorse Umane
Risorse Umane
Contabilità
Contabilità
Contabilità
…
Cognome
Arcobaleni
Rossetti
Nerucci
Bianchi
Rossi
Nerini
Neretti
Nerucci
…
Nome
Pino
Carmela
Giuseppina
Walter
Paolino
Mariuccia
Aldo
Erika
…
Lettera di incarico con istruzioni per il trattamento dei dati personali
Ai sensi dell’art. 30 d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) di
seguito Le sono fornite le istruzioni per il trattamento dei dati personali a cui Lei è incaricato.
Nel trattare i dati personali, sia se riferiti a persone fisiche, sia se riferiti a soggetti giuridici e
indipendentemente dalla natura ordinaria o particolare dei dati, si deve operare garantendo la massima
riservatezza delle informazioni, considerando tutti i dati personali confidenziali e, di norma, soggetti al
segreto d’ufficio; fatta eccezione per i soli dati anonimi, generalmente trattati per elaborazioni statistiche, e
quelli acquisibili da chiunque perché contenuti in atti, liste ed elenchi pubblici (seguendo comunque le
prescrizioni di legge).
La procedura di lavoro e la condotta tenuta nello svolgimento delle operazioni di trattamento, dovranno
evitare che i dati personali siano soggetti a rischi di distruzione e perdita anche accidentale; che ai dati
possano accedere persone non autorizzate; che vengano svolte operazioni di trattamento non consentite o non
conformi ai fini per i quali i dati sono stati raccolti.
Si deve dunque operare con la massima diligenza ed attenzione in tutte le fasi di trattamento, dalla esatta
acquisizione dei dati, all’eventuale loro aggiornamento, così per la conservazione ed eventuale cancellazione
o distruzione.
Non possono essere eseguite operazioni di trattamento per fini non previsti tra i compiti assegnati dal
responsabile diretto, comunque riferiti alle disposizioni e regolamenti vigenti.
I dati personali particolari possono essere trattati esclusivamente dagli incaricati, ivi compresi i diretti
superiori degli incaricati stessi, secondo l’appartenenza alle seguenti classi omogenee:
 Direzione Generale

Qualità e Controlli

Risorse Umane

Contabilità

Produzione

Ricerca e Sviluppo
73
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Modulo 2.1.6 – Le misure di sicurezza
Il profilo della sicurezza e dell'integrità delle informazioni oggetto di legittimo trattamento è un
elemento qualificante delle discipline di protezione dei dati personali (artt. 31 ss. del Codice e
disciplinare tecnico di cui all'All. B al Codice).
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)81
Misure di sicurezza
Il titolare del trattamento è tenuto ad adottare tutte le misure idonee, valutate alla luce delle
conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del
trattamento, a ridurre i rischi di distruzione o di perdita anche accidentale dei dati o di accesso non
autorizzato o non consentito ai dati (art. 31 del Codice).
In questo quadro vanno anche attuate le misure minime, applicabili a piccole e medie imprese (artt.
33-35 e all. B del Codice).
L'obbligo generale di adottare idonee misure di sicurezza è posto dal Codice. Il titolare del
trattamento può adempiervi avvalendosi anche di un responsabile (art. 29, comma 2, del Codice).
Misure minime di sicurezza
Le misure minime di sicurezza contenute nell'allegato B) del Codice riguardano anzitutto i
trattamenti effettuati con strumenti elettronici.
Esse comprendono:
 un sistema di autenticazione informatica con credenziali di autenticazione (cioè, un codice
per l'identificazione dell'incaricato associato a una parola chiave),
 programmi per elaboratore volti a prevenirne la vulnerabilità (ad esempio, antivirus),
 procedure per realizzare il salvataggio periodico dei dati (c.d. procedure di back up )
 la redazione di un documento programmatico sulla sicurezza in caso di trattamento di dati
sensibili.
Per i trattamenti effettuati senza l'ausilio di strumenti elettronici rientrano tra le misure minime:
 le istruzioni scritte finalizzate al controllo ed alla custodia dei dati impartite agli incaricati
 l'uso di contenitori o locali con idonea serratura per custodire i dati personali.
Il Documento Programmatico sulla Sicurezza (DPS)
In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi
informatici deve essere redatto il documento programmatico sulla sicurezza (art. 34, comma 1, lett.
g) e regola 19 dell'Allegato B al Codice). Si può tener conto dei suggerimenti già formulati dal
Garante che – recependo le esigenze e le istanze peculiari di professionisti e piccoli operatori, con
81
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par5
74
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
particolare riguardo alle piccole e medie imprese – ha già reso disponibile on-line, a far data dal 11
giugno 2004, una “Guida operativa”82.
Il DPS:
 va redatto o aggiornato entro il 31 marzo di ciascun anno;
 non deve essere comunicato al Garante, ma semplicemente conservato dal titolare presso la
propria struttura per essere esibito in occasione di eventuali accertamenti ispettivi (art. 34,
comma 1, lett. g) del Codice e regola 19 dell'Allegato B) al Codice);
 deve essere redatto dal "[...] titolare di un trattamento di dati sensibili o giudiziari anche
attraverso il responsabile, se designato [...]" (regola 19 dell'All. B) cit.).
Semplificazioni del dicembre 2008
Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto83 un
provvedimento84 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati
personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa,
interessano:
 amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
 piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.
In base al provvedimento del Garante, le categorie interessate:
 possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
 possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di
autenticazione basato su un username e una password; lo username deve essere disattivato
quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno
dell'organizzazione);
 in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto
procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad
es. l'invio automatico delle mail ad un altro recapito accessibile);
 devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e
effettuare backup dei dati almeno una volta al mese.
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi
professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune
indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi
informatici.
82
http://www.garanteprivacy.it/garante/document?ID=1007740
http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203
84
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
83
75
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Modulo 2.1.7 – La formazione
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B85) prevede al punto
19.6. che il titolare effettui una previsione di interventi formativi degli incaricati del trattamento,
per renderli edotti:
 dei rischi che incombono sui dati,
 delle misure disponibili per prevenire eventi dannosi,
 dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle
relative attività,
 delle responsabilità che ne derivano,
 delle modalità per aggiornarsi sulle misure minime adottate dal titolare.
La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di
cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali;
La previsione degli interventi formativi va riportato sul Documento Programmatico sulla
Sicurezza, se redatto.
Già nella precedente legge 675/96 (nel d.p.r. 318/99) era indicato che il DPS dovesse contenere il
piano di formazione per gli incaricati del trattamento; l’allegato B86 è molto più preciso nell'esigere
che il titolare del trattamento provveda a fornire ai propri dipendenti e collaboratori interventi
formativi specifici.
85
86
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
76
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Esempio di pianificazione di interventi formativi
Ambito di competenza
Descrizione sintetica degli
interventi formativi
Corso base privacy
(autoformazione e online)
Corso privacy per Risorse
Umane (autoformazione e
online)
Classi di incarico o tipologie
di incaricati interessati:
Nuovi assunti
Tempi previsti
Risorse Umane
Secondo semestre 2008
Prima di iniziare i trattamenti
Legenda
 Descrizione sintetica degli interventi formativi: sono descritti sinteticamente gli obiettivi e le
modalità dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in
servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o
sistemi informatici, ecc) .

Classi di incarico o tipologie di incaricati interessati: sono individuati le classi omogenee di incarico
a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle
strutture di appartenenza.

Tempi previsti: sono indicati i tempi previsti per lo svolgimento degli interventi formativi.
77
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Modulo 2.1.8 – I diritti degli interessati
La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere
ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice.
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)87
In maniera più formale il “Codice in materia di protezione dei dati personali”88 all’articolo 7
recita come segue.
Art. 7. Diritto di accesso ai dati personali ed altri diritti
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali
che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma
intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a. dell'origine dei dati personali;
b. delle finalità e modalità del trattamento;
c. della logica applicata in caso di trattamento effettuato con l'ausilio di
strumenti elettronici;
d. degli estremi identificativi del titolare, dei responsabili e del
rappresentante designato ai sensi dell'articolo 5, comma 2;
e. dei soggetti o delle categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di
rappresentante designato nel territorio dello Stato, di responsabili o
incaricati.
3. L'interessato ha diritto di ottenere:
a. l'aggiornamento, la rettificazione ovvero, quando vi ha interesse,
l'integrazione dei dati;
b. la cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati;
c. l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali
i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale
adempimento si rivela impossibile o comporta un impiego di mezzi
87
88
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par7
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
78
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a. per motivi legittimi al trattamento dei dati personali che lo riguardano,
ancorché pertinenti allo scopo della raccolta;
b. al trattamento di dati personali che lo riguardano a fini di invio di
materiale pubblicitario o di vendita diretta o per il compimento di ricerche
di mercato o di comunicazione commerciale.
All’articolo 7 sono inoltre collegati:





Art. 8. Esercizio dei diritti
Art. 9. Modalità di esercizio
Art. 10. Riscontro all'interessato
Art. 145. Ricorsi
Art. 146. Interpello preventivo
In pratica:
Esercizio del diritto d'accesso
Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti
che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di
regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).
Sanzioni per il mancato riscontro all'interessato
In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi
all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).
79
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Modulo 2.1.9 – Check list di verifica degli
adempimenti
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”89
Quesito
SI
1. I soggetti che effettuano il trattamento
È stata effettuata una valutazione circa le operazioni di trattamento di dati personali, anche
sensibili, effettuate dall'impresa?
I dati trattati sono pertinenti e non eccedenti rispetto alle legittime finalità del trattamento,
oltre che esatti e aggiornati?
Le persone fisiche che all'interno dell'impresa trattano dati personali sono state designate
tutte quali "incaricate del trattamento"?
Sono state fornite a tutti gli "incaricati del trattamento" istruzioni scritte circa i propri
compiti?
Se all'interno dell'impresa sono stati individuati soggetti che hanno ambiti di autonomia nel
trattamento dei dati personali, sono stati designati per iscritto "responsabili del trattamento"?
Se fuori dell'impresa enti o persone fisiche trattano dati personali nel suo interesse, obbligati
a seguirne le istruzioni (come accade per i casi di outsourcing), sono stati designati per
iscritto quali "responsabili del trattamento"?
2. La notificazione del trattamento
Si è verificato, prima di intraprendere operazioni di trattamento, se l'impresa effettua i
trattamenti da notificare al Garante?
Se sono intervenute modificazioni relativamente ai trattamenti già eventualmente notificati, è
stato curato il loro aggiornamento in una nuova notificazione?
Se cessano i trattamenti, ciò ha formato oggetto di specifica notificazione?
3. L'informativa
È stata fornita l'informativa agli interessati in caso di dati raccolti presso di essi?
È stata fornita l'informativa agli interessati in caso di dati raccolti presso soggetti diversi
dagli interessati stessi?
4. Il consenso dell'interessato
Il trattamento dei dati personali viene effettuato in presenza di uno dei presupposti di liceità
indicati all'art. 24 del Codice?
Se non ricorre uno dei presupposti di liceità indicati all'art. 24 del Codice, è stato raccolto il
consenso dell'interessato?
Se sono trattati dati sensibili è stato raccolto il consenso scritto degli interessati?
Se sono trattati dati sensibili, è stato verificato se il trattamento rientra tra quelli già
autorizzati dal Garante con le autorizzazioni generali?
Se il trattamento di dati sensibili non rientra tra quelli previsti dalle autorizzazioni generali, è
stata richiesta al Garante un'autorizzazione ad hoc?
5. La sicurezza dei dati
Sono state adottate idonee misure di sicurezza per proteggere i dati personali?
Sono state adottate le misure minime di sicurezza previste per proteggere i dati personali?
Se sono trattati dati sensibili e giudiziari, è stato redatto, quando è necessario, il documento
programmatico per la sicurezza e ne vengono osservate le previsioni?
89
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par8
80
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
NO
Lezione 2 – Unità didattica 2.1
Periodicamente, e comunque entro il 31 marzo di ciascun anno, formano oggetto di
rinnovata valutazione le misure di sicurezza individuate con il documento programmatico
per la sicurezza?
6. Il trasferimento dei dati in paesi terzi
Se i dati personali trattati dall'impresa sono soggetti a trasferimento verso Paesi terzi (esterni
all'Unione europea e all'area economica europea), il trasferimento avviene:
in presenza di una delle condizioni previste dall'art. 43 del Codice? oppure
verso uno dei paesi che assicurano un livello adeguato di protezione (Svizzera, Argentina,
Isola di Man, Baliato di Guernsey)? oppure
verso un'impresa statunitense che aderisce al Safe Harbor? oppure
in presenza di clausole contrattuali standard tra esportatore e importatore? oppure
in presenza di un'autorizzazione ad hoc da parte del Garante?
7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell'art. 7 del
Codice
In presenza dell'esercizio del diritto d'accesso, viene dato riscontro all'interessato secondo le
modalità previste dalla legge?
81
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.1
Domande di verifica 2.1
Domanda
Le misure minime di
sicurezza sono uguali
per tutti i titolari.
Falso.
Con le
“semplificazioni” del
2008 artigiani e PMI
non sono più tenute al
rispetto delle misure
minime di sicurezza.
La formazione sulla
privacy è obbligatoria
e va riportata sul DPS.
Vero.
L’allegato B del
Codice indica
chiaramente tale
obbligo.
Con diritto d’accesso
si intende il diritto
dell’interessato a
conoscere quali suoi
dati personali sono
trattati dal titolare.
Vero.
Tale diritto è indicato
all’articolo 7 del
Codice.
Seconda risposta
Vero.
Anche con le
“semplificazioni” del
2008 artigiani e PMI
sono più tenute al
rispetto delle misure
minime di sicurezza
che tuttavia sono state
semplificate in alcuni
aspetti..
Vero.
La formazione è
obbligatoria e deve
essere svolta da
“docenti” certificati
presso il Garante.
Vero.
Tale diritto è indicato
all’articolo 77 del
Codice.
Terza risposta
Vero.
Le “semplificazioni”
del 2008 riguardano
solo banche e
assicurazioni..
Falso.
La formazione è
opzionale e dipende
dalla valutazione dei
rischi svolta dal
titolare.
Falso.
Il diritto d’accesso
consiste nella
possibilità del Garante
di entrare nelle
aziende per fare le
verifiche.
82
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Lezione 2 –
Unità didattica 2.2 –
Provvedimenti più rilevanti
per le aziende
Modulo 2.2.1 – Iniziative e provvedimenti del Garante
Modulo 2.2.2 – I nuovi adempimenti per le funzioni di
“amministratore di sistema”
Modulo 2.2.3 – Semplificazioni degli adempimenti
Modulo 2.2.4 – Banche: la “guida” del Garante per l'uso dei dati
dei clienti
Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del
Garante
Modulo 2.2.6 – Linee guida del Garante per posta elettronica e
internet
Modulo 2.2.7 – Linee guida per il trattamento di dati dei
dipendenti privati
Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici
Modulo 2.2.9 – Videosorveglianza
Modulo 2.2.10 – Altri provvedimenti e pubblicazioni
Domande di verifica 2.2
83
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.1 – Iniziative e provvedimenti
del Garante
Il quadro normativo italiano sulla privacy non si limita al Codice ed ai suoi allegati perché il
Garante per la protezione dei dati personali può adottare provvedimenti che assumono valore
normativo.
Inoltre, spesso il Garante, attraverso il suo sito, pubblica linee guida, modelli o anticipa contenuti su
iniziative legislative in corso.
L’elenco completo90 dei provvedimenti è disponibile presso il sito del Garante. Il 24 febbraio 2009
il Garante per la protezione dei dati personali ha predisposto sul proprio sito una nuova area “Indice
per materia”91che raccoglie i principali provvedimenti dell'Autorità suddivisi per materia e
affianca quella cronologica.
Di seguito riportiamo, in ordine cronologico92, i provvedimenti e le “pubblicazioni” più importanti
che approfondiremo nei moduli di questa unità didattica.
Data
25 giugno 2009
25 giugno 2009
12 marzo 2009
24 dicembre
2008
27 novembre
2008
Argomento
Prescrizioni ai fornitori di servizi di
comunicazione elettronica accessibili al pubblico
che svolgono attività di profilazione - 25 giugno
200993
Modifiche del provvedimento del 27 novembre
2008 recante prescrizioni ai titolari dei
trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni di
amministratore di sistema e proroga dei termini
per il loro adempimento - 25 giugno 200994
Prescrizioni ai titolari di banche dati costituite
sulla base di elenchi telefonici formati prima del
1° agosto 2005 a seguito della deroga introdotta
dall'art. 44 d.l. n. 207/2008 - 12 marzo 200995
Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di
amministratore di sistema
Semplificazione delle misure di sicurezza
contenute nel disciplinare tecnico di cui
all'Allegato B) al Codice in materia di protezione
dei dati personali
Obbligatorio
Sì
Nota
Solo per gli
ISP (Internet
Service
Provider)
Sì
Sì
Sì
Sì
90
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti
http://www.garanteprivacy.it/garante/doc.jsp?ID=1592067
92
Scritto in data 5 ottobre 2009
93
http://www.garanteprivacy.it/garante/doc.jsp?ID=1629107
94
http://www.garanteprivacy.it/garante/doc.jsp?ID=1626595
95
http://www.garanteprivacy.it/garante/doc.jsp?ID=1598808
91
84
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Modulo 1.3.5
della Lezione 1
Lezione 2 – Unità didattica 2.2
novembre 2007
luglio 2007
marzo 2007
novembre 2006
ottobre 2005
aprile 2004
Banche: la ”Guida'' del Garante privacy per l'uso
dei dati dei clienti”
Privacy e pubblico impiego: le linee guida del
Garante
Linee guida del Garante per posta elettronica e
internet
Linee guida del Garante per il trattamento dei
dati dei dipendenti privati
Impronte digitali ed altri sistemi biometrici
Videosorveglianza
No
No
No
No
Sì
Sì
Altri provvedimenti e pubblicazioni di rilievo (che non approfondiremo) sono:
Obbligatorio
Sì
Data
30 dicembre
2008
Argomento
Inasprimento delle sanzioni privacy96
13 ottobre 2008
Rifiuti di apparecchiature elettriche ed
elettroniche (Raae) e misure di sicurezza dei dati
personali97
Sicurezza dei dati di traffico telefonico e
telematico98
Sì
Comunicato stampa del Garante del 3 settembre
2003 che sintetizza chiaramente il quadro di
riferimento per le comunicazioni commerciali
indesiderate (spamming)99
Sì
gennaio 2008
settembre 2003
96
Nota
D.L. n. 207 del
30 dicembre
2008 (articolo
44 )
Sì
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127
97
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571960
http://www.garanteprivacy.it/garante/doc.jsp?ID=1482111
99
http://www.garanteprivacy.it/garante/doc.jsp?ID=272444
98
85
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.2 – I nuovi adempimenti per
le funzioni di “amministratore di sistema”
Questo argomento è già stato affrontato nel “Modulo 1.3.5 – I nuovi adempimenti per le funzioni di
“amministratore di sistema”” della Lezione 1.
Esempi pratici di applicazione nel “Modulo 3.3.4 – Le verifiche sull’amministratore di sistema”
della Lezione 3.
86
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.3 – Semplificazioni degli
adempimenti
Tra giugno e dicembre 2008 si sono susseguite una serie di “semplificazioni” in relazione agli
adempimenti privacy:
 semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui
all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 G.U. n. 287 del 9 dicembre 2008 (questo argomento è già stato affrontato nel modulo 1.3.4
della Lezione 1);
 semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per
finalità amministrative e contabili - 19 giugno 2008 - Gazzetta Ufficiale 1° luglio 2008, n.
152.
Semplificazioni degli adempimenti per le PMI del giugno 2008
Il Decreto Legge 25 giugno 2008 n.112100 ha abrogato l’obbligo della redazione del Documento
Programmatico sulla sicurezza (DPS) per tutte le aziende che non trattano dati sensibili o che
trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della
diagnosi. Tale decreto ha messo in atto quanto anticipato dal Garante il 19 giugno 2008101 in
relazione ad una serie di significative semplificazioni degli adempimenti per l'intero settore
pubblico e privato ed in particolare nei riguardi di piccole e medie imprese, liberi professionisti e
artigiani. In sintesi le semplificazioni riguardano:





informativa;
consenso;
designazione degli incaricati;
comunicazioni pubblicitarie;
notificazione dei trattamenti.
Informativa
Sulla base delle nuove disposizioni, i titolari possono:
 fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del
rapporto con gli interessati;
 fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice,
senza frammentarla o reiterarla inutilmente;
 indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;
100
101
http://www.camera.it/parlam/leggi/decreti/08112d.htm
http://www.garanteprivacy.it/garante/doc.jsp?ID=1526724
87
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
 redigere, per quanto possibile, una prima informativa breve. All'interessato, anche
oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con
immediatezza, le principali caratteristiche del trattamento.
 utilizzare per l'informativa, specie per quella breve, gli spazi utili nel materiale cartaceo e
nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e
contabili.
Inoltre:
 l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza
oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti
informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in
bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati
disponibili digitando un numero telefonico gratuito);
 è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art.
13, commi 2 e 4). (...) Se è prevista la raccolta di dati presso terzi è possibile formulare una
sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno
acquisiti presso terzi. Per questi ultimi dati, l'informativa può non essere fornita quando vi è
un obbligo normativo di trattarli (art. 13, comma 5);
 è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente
uniforme per il settore di attività del titolare del trattamento;
 è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha
caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es.
dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle
ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli
interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo
delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono
essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari.
Consenso
Il Garante ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice ha invitato tutti i
titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il
trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi contrattuali,
precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché
quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono
relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico.
Designazione incaricati
Il Garante ha richiamato l'attenzione dei titolari del trattamento sulla circostanza che la
designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti
circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le
relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30 del
Codice).
Comunicazioni pubblicitarie
In applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g), il Garante
ha disposto che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato
un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono
utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di
88
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di
propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione
commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli
interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che:
 tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli
oggetto della vendita;
 l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione
effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni
momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della
posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi
l'interruzione di tale trattamento (art. 7, comma 4);
 l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del
rapporto, non si opponga a tale uso, inizialmente o in occasione di successive
comunicazioni.
Notificazioni dei trattamenti
Il Garante ha ricordato che la notificazione telematica al Garante non è necessaria per perseguire
finalità amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37
Codice)
89
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.4 – Banche: la “guida” del
Garante per l'uso dei dati dei clienti
Il 25 ottobre 2007 il Garante ha emesso provvedimento a carattere generale che fissa le garanzie
per il corretto uso dei dati personali dei clienti da parte degli istituti bancari e degli operatori postali,
quando operano nell'ambito bancario e finanziario. Il provvedimento affronta diversi aspetti che
regolano il rapporto tra banca e cliente: i casi specifici nei quali è lecito comunicare a terzi
informazioni bancarie, gli obblighi di riservatezza da rispettare, le modalità con le quali le banche
devono soddisfare le richieste di accesso dei clienti ai propri dati personali o quelle per informarli
sull'uso che viene fatto di questi dati.
A tutela dei clienti, il Garante ha stabilito, in particolare, che:






le comunicazioni di informazioni bancarie a terzi devono essere effettuate solo nei casi
espressamente previsti dalla legge, dal Codice della privacy o nel caso in cui sia l'interessato
ad autorizzare terzi (familiari, coniuge, professionisti legati da una rapporto di lavoro) ad
effettuare operazioni per suo conto o a conoscere il tipo di rapporto intrattenuto con la
banca;
le banche possono registrare le telefonate effettuate dalla clientela per dare particolari ordini
e istruzioni o nei servizi di “telephone banking”, ma devono informare gli interessati. È
necessario adottate misure di sicurezza contro alterazione o uso indebito del contenuto delle
conversazioni;
il personale deve evitare le telefonate e i colloqui ad alta voce con la clientela e occorre
predisporre distanze di cortesia agli sportelli;
le informazioni dei clienti trattati dalle banche devono essere sempre esatte ed aggiornate;
il cliente ha diritto a ottenere la comunicazione in forma intelligibile dei dati che lo
riguardano (comprese operazioni effettuate, registrazioni telefoniche, ordini di
investimento), ma non quelli riferiti ad altre persone (se presenti, nella copia dei documenti
da consegnare al cliente devono essere oscurati);
nel caso in cui dare l'informativa singolarmente a ciascun cliente comporti un impiego
sproporzionato di mezzi (es. operazioni di cessione di sportelli), la banca può assolvere tale
obbligo pubblicando l'informativa sulla Gazzetta Ufficiale.
90
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.5 – Privacy e pubblico
impiego: le “linee guida” del Garante
Le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del
rapporto di lavoro in ambito pubblico”102 del 14 giugno 2007 contengono le misure e gli
accorgimenti che il Garante ha individuato nel quadro dei rapporti di lavoro in ambito pubblico.
Tali “Linee guida” seguono quelle già adottate di recente per i lavoratori privati.
Di seguito i punti principali del provvedimento.




102
Assenze per malattia, certificati e visite mediche: in caso di assenza per malattia
all'amministrazione vanno consegnati certificati medici privi di diagnosi e con la sola
indicazione dell'inizio e della durata dell'infermità. Se il lavoratore produce documentazione
in cui è presente anche la diagnosi, l'ufficio deve astenersi dall'utilizzare queste informazioni
e deve invitare il personale a non produrre altri certificati con le stesse caratteristiche.
Particolari cautele devono essere adottate dall'ente pubblico quando tratta dati sulla salute
dei dipendenti nei casi di visite medico legali, denunce di infortunio all'Inail, abilitazioni al
porto d'armi e alla guida.
Diffusione dei dati in Internet: le amministrazioni devono assicurare l'esattezza,
l'aggiornamento e la pertinenza dei dati pubblicati in rete e garantire il "diritto all'oblio",
cioè una tutela dinamica della riservatezza delle persone (trascorso un certo periodo dalla
pubblicazione è opportuno spostare i nominativi in un parte del sito dove non siano più
rintracciabili dai motori di ricerca esterni). Nelle graduatorie relative a concorsi o selezioni
vanno riportati solo dati pertinenti (elenchi nominativi abbinati ai risultati, elenchi di
ammessi alle prove scritte o orali, no a recapiti telefonici, codice fiscale ecc.) É sempre
vietata la diffusione di informazioni sulla salute del lavoratore o dei familiari interessati.
Dati biometrici dei lavoratori pubblici: anche nell'ambito del pubblico impiego non è
consentito un uso generalizzato dei dati biometrici dei dipendenti (impronte digitali, iride)
per controllare le presenze o gli accessi sul luogo di lavoro. Il Garante può autorizzare
l'attivazione di tali sistemi di rilevazione solo in presenza di particolari esigenze (aree
adibite alla sicurezza dello Stato, torri di controllo, conservazione di oggetti di particolare
valore) e con precise garanzie (verifica preliminare dell'Autorità, no ad archivi centralizzati,
codice cifrato dell'impronta memorizzato solo nel badge del dipendente).
Comunicazioni tra amministrazione e lavoratore: per prevenire la conoscenza
ingiustificata di dati da parte di persone non autorizzate, l'amministrazione deve adottare
forme di comunicazione con il dipendente protette e individualizzate: inoltrando le note in
busta chiusa, inviandole all'e-mail personale o invitandolo a ritirare personalmente la
documentazione.
http://www.garanteprivacy.it/garante/doc.jsp?ID=1417809
91
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.6 – Linee guida del Garante
per posta elettronica e internet
Le “Linee guida” del Garante per posta elettronica e internet103 del marzo 2007 forniscono concrete
indicazioni in ordine all'uso dei computer sul luogo di lavoro.
L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo
dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla
possibilità che vengano effettuati controlli.
Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il
monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un
controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori.
Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la
possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet
e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda.
Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno,
definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le
regole per l'uso di Internet e della posta elettronica.
Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di
utilizzi impropri, così da ridurre controlli successivi sui lavoratori.
Per quanto riguarda Internet è opportuno ad esempio:
 individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
 utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una
sorta di black list o il download di file musicali o multimediali.
Per quanto riguarda la posta elettronica, è opportuno che l'azienda:
 renda disponibili anche indirizzi condivisi tra più lavoratori ([email protected]; [email protected];
[email protected]), rendendo così chiara la natura non privata della corrispondenza;
 valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro),
destinato ad un uso personale;
 preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate
di altri lavoratori cui rivolgersi;
 metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il
contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per
l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di
improrogabili necessità legate all'attività lavorativa.
Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli
eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima
battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da
individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi
l'anomalia, si potrebbe passare a controlli su base individuale.
Il Garante ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere
rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.
103
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522
92
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.7 – Linee guida per il
trattamento di dati dei dipendenti privati
Con le “Linee-guida per il trattamento di dati dei dipendenti privati”104 del novembre 2006 il
Garante ha definito, per la prima volta in un quadro unitario, misure ed accorgimenti per
disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro.
Questi in sintesi i punti principali delle linee guida.
Principi generali
Il datore di lavoro può trattare informazioni di carattere personale strettamente indispensabili per
dare esecuzione al rapporto di lavoro. Deve individuare il personale che può trattare tali dati e
assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni.
Il lavoratore deve essere informato in modo puntuale sull'uso che verrà fatto dei suoi dati e gli
deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce
(accesso ai dati, aggiornamento, rettifica, cancellazione etc). Entro 15 giorni dalla richiesta il datore
di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso
Cartellini identificativi, Intranet, bacheche aziendali
Nelle aziende private può essere eccessivo indicare sul cartellino identificativo del dipendente dati
anagrafici o generalità: a seconda dei casi può bastare un codice identificativo o il solo nome o solo
il ruolo professionale.
Senza consenso non si possono comunicare informazioni ad associazioni di datori di lavoro, di ex
dipendenti o a conoscenti, familiari, parenti. Il consenso è necessario anche per pubblicare
informazioni personali (foto, curricula) nella Intranet aziendale e a maggior ragione in Internet.
Nella bacheca aziendale possono essere affissi solo ordini di servizio, turni lavorativi o feriali. Non
si possono invece diffondere emolumenti percepiti, sanzioni disciplinari, assenze per malattia,
adesione ad associazioni.
Dati sanitari
I dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a
consegnare al proprio ufficio un certificato senza la diagnosi ma con la sola indicazione dell'inizio e
della durata presunta dell'infermità.Il datore di lavoro non può accedere alle cartelle sanitarie dei
dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o
malattie professionali all'Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni
connesse alla patologia denunciata.
Dati biometrici
Non è lecito l'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte
digitali. L'uso può essere giustificato solo in casi particolari, per presidiare, ad esempio, accessi ad
"aree sensibili" (processi produttivi pericolosi, locali destinati a custodia di beni, documenti
riservati). Anche quando l'uso è consentito non è ammessa la costituzione di banche dati
centralizzate: è infatti sufficiente la memorizzazione su una smart card in uso esclusivo del
dipendente.
104
http://www.garanteprivacy.it/garante/doc.jsp?ID=1364099
93
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.8 – Impronte digitali e altri
sistemi biometrici
I provvedimenti più importanti in tale ambito sono:
1. parere del 28 settembre 2001105 “Videosorveglianza e dati biometrici
- Rilevazioni biometriche presso istituti di credito”;
2. provvedimento del 27 ottobre 2005106 sulla rilevazione di impronte
digitali in combinazione con trattamenti di immagini.
Parere del 28 settembre 2001 “Videosorveglianza e dati biometrici Rilevazioni biometriche presso istituti di credito”
Fonte immagine107
In questo parere, il Garante nel ribadire il proprio orientamento circa il divieto di utilizzazione
generalizzata di sistemi di rilevazione biometrica all'ingresso delle banche, fissa altresì alcune
condizioni che in attesa di un puntuale intervento legislativo, e a fronte di eccezionali ed acclarate
situazioni di rischio inerenti alla specificità della realtà bancaria, consentono una temporanea
installazione di detti sistemi (rilevazione automatica di una impronta digitale, eventualmente
associabile all'immagine a seguito di decrittazione effettuata dall'autorità giudiziaria) nel rispetto di
alcune imprescindibili garanzie per gli interessati individuati dal provvedimento. Tali condizioni
sono ribadite e chiarite nel successivo provvedimento del 2005 a cui rimandiamo.
Provvedimento del 27 ottobre 2005 sulla rilevazione di impronte digitali in combinazione con
trattamenti di immagini
Il provvedimento, tenuto conto di quanto già indicato nel provvedimento generale 29 aprile 2004
sulla videosorveglianza 108 e nel provvedimento del 28 settembre 2001 relativo alle rilevazioni
biometriche109 presso gli istituti di credito, mira ad individuare le misure e gli accorgimenti a
garanzia degli interessati che dovranno essere posti in essere da tutti gli istituti di credito operanti
sul territorio nazionale che intendano avvalersi di sistemi di rilevazione di impronte digitali
combinati ad altri sistemi (immagini).
I principi fissati dal Garante sono:

l'utilizzo generalizzato ed indiscriminato di sistemi che consentono l'identificazione degli
interessati mediante la combinazione di diversi sistemi di rilevazione dati non è consentito
in quanto contrasta con il principio di necessità che impone di configurare i sistemi
105
http://www.garanteprivacy.it/garante/doc.jsp?ID=39704
http://www.garanteprivacy.it/garante/doc.jsp?ID=1246675
107
http://www.garanteprivacy.it/garante/doc.jsp?ID=1246675
108
http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482
109
http://www.garanteprivacy.it/garante/doc.jsp?ID=39704
106
94
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2






informativi e i programmi informatici escludendo il trattamento di dati personali non
necessari - nel caso di specie, biometrici - in rapporto alle finalità che si intende perseguire
(art. 3 del Codice);
tale trattamento di tali dati personali è consentito, con l'osservanza di adeguate garanzie,
soltanto quando debba essere perseguita l'esclusiva finalità di elevare il grado di sicurezza
di beni e persone (segnatamente, del personale dipendente degli istituti di credito e della
clientela);
informativa:
o gli interessati devono essere informati adeguatamente della presenza dei sistemi di
acquisizione delle impronte digitali e dell'associazione di queste ultime con
immagini raccolte (art. 13 del Codice); ciò, prima che i dati siano rilevati e,
comunque, prima dell'accesso a varchi a doppia porta o bussole;
o l'informativa deve fornire gli elementi previsti dal Codice (art. 13) anche con
formule sintetiche, ma chiare e senza ambiguità.; deve essere ben evidenziata la
libertà di accedere in banca senza consentire il rilevamento dell'impronta digitale,
sulla base di un procedimento alternativo basato anche su un'identificazione del
cliente eventualmente necessaria;
o il Garante ha individuato un modello di informativa “minima” che i titolari del
trattamento potranno utilizzare in corrispondenza dei varchi di accesso alle strutture
della banca, che dovrà essere integrato con un'informativa più ampia esposta
all'interno della dipendenza bancaria.
consenso:
o il trattamento dei dati personali è da ritenersi lecito anche in assenza del consenso
degli interessati, ai sensi dell'art. 24, comma 1, lett. g), del Codice.
misure di sicurezza:
o i sistemi per la raccolta delle immagini (fisse o in movimento) e delle impronte
digitali devono prevedere l'immediata cifratura dei dati, prima della loro
registrazione in una banca dati comunque configurata, e devono garantire un livello
elevato di sicurezza;
o deve essere assicurata l'associazione univoca tra le immagini e le impronte digitali,
per evitare errori di identificazione;
conservazione dei dati:
o i dati cifrati relativi alle impronte e alle eventuali immagini devono essere conservati
per un periodo non superiore ad una settimana e devono essere registrati
cronologicamente in modo tale da consentire il loro pronto reperimento anche sulla
base di un' opportuna organizzazione per giorni di rilevazione;
o devono essere predisposti meccanismi di integrale cancellazione automatica delle
informazioni allo scadere del termine previsto; resta fermo che la banca, in presenza
di una richiesta di accesso da parte dell'interessato, oppure di eventi criminosi
verificatisi o, ancora, di una richiesta da parte dell'autorità giudiziaria, potrà
assicurare la disponibilità dei dati raccolti, evitandone l'automatica cancellazione alla
scadenza del periodo di conservazione previsto.
altri adempimenti:
o resta l'obbligo di notificare al Garante il trattamento dei dati secondo le modalità
previste (art. 37, comma 1, lett. a) del Codice).
o ogni istituto di credito che intenda installare nuove apparecchiature, oppure
modificare quelle esistenti, dovrà inoltrare Garante, una specifica richiesta di
95
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
verifica preliminare110 utilizzando i modelli riprodotti in allegato111, verifica da
svolgere una tantum ai sensi dell'art. 17 del Codice, prima dell'inizio del
trattamento; a tal fine potrà essere effettuata un'unica comunicazione riguardante
tutti gli sportelli della banca, indicando l'elenco di quelli per i quali intende attivare i
dispositivi menzionati e le condizioni di concreto rischio poste a fondamento della
loro installazione valutate in rapporto alle altre misure adottabili;
o presso ogni sportello bancario dovrà essere comunque conservata e tenuta
aggiornata, anche in previsione di verifiche disposte da questa Autorità, la seguente
documentazione:
a) copia della richiesta di verifica preliminare inviata al Garante;
b) eventuale documentazione dalla quale si possa desumere l'esistenza di
condizioni di rischio concreto dello sportello;
c) documentazione tecnica relativa all'installazione dei sistemi biometrici e di
videosorveglianza adottati, dal quale risulti la conformità dei medesimi alle
condizioni indicate nel presente provvedimento; dalla medesima devono
evincersi:
 le caratteristiche dell'impianto di ripresa (ad esempio, localizzazione
della/e telecamera/e con l'indicazione delle caratteristiche tecniche);
 le caratteristiche dell'impianto di raccolta del dato biometrico;
 le caratteristiche del sistema informatico di gestione delle immagini e
dei dati biometrici, con particolare riguardo alle fasi del processo
crittografico;
 l'indicazione del tempo massimo di conservazione dei dati;
d) copia dell'informativa resa alla clientela;
e) documentazione dalla quale si possano desumere le modalità alternative di
accesso alla struttura della banca.
110
111
http://www.garanteprivacy.it/garante/doc.jsp?ID=1247352
http://www.garanteprivacy.it/garante/doc.jsp?ID=1246675#Allegato
96
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.9 – Videosorveglianza
fonte immagine112
Tra i provvedimenti più importanti va ricordato il provvedimento generale
29 aprile 2004 sulla videosorveglianza 113 che fissa le regole da seguire
quando si adottano sistemi di video sorveglianza. Le regole variano a
seconda che le immagini siano registrate o meno. Il Garante ha inoltre
pubblicato il 20 maggio 2004 una "guida alla videosorveglianza"114 che
sintetizza i contenuti del più ampio provvedimento del 29 aprile. Al tema
della videosorveglianza è dedicata l’intera lezione 4. Qui ci limitiamo al riepilogo delle disposizioni
più importanti.
L’informativa è sempre necessaria. Chiunque transiti in una zona soggetta a videosorveglianza,
quindi anche un semplice cittadino, deve essere informato che sta per accedere o che si trova in una
zona videosorvegliata e dell’eventuale registrazione. Il Garante ha predisposto un modello
semplificato di informativa minima sotto forma di “cartello” con un simbolo ad indicare l’area
video sorvegliata; questo cartello deve essere chiaramente visibile ed indicare chi effettua la
rilevazione delle immagini e per quali scopi. In presenza di più telecamere, in relazione alla vastità
dell’area e alle modalità delle riprese, vanno installati più cartelli.
Si possono installare telecamere senza il consenso degli interessati, sulla base delle prescrizioni
indicate dal Garante, quando chi intende rilevare le immagini deve perseguire un interesse legittimo
a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di
vandalismo, prevenzione incendi, sicurezza del lavoro ecc.
Se i sistemi di videosorveglianza prevedono la raccolta delle immagini collegata e/o incrociata e/o
confrontata con altri particolari dati personali (ad esempio dati biometrici) oppure con codici
identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce è necessaria
una autorizzazione preliminare da parte del Garante.
112
http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482
http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482
114
http://www.garanteprivacy.it/garante/doc.jsp?ID=1006052
113
97
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Modulo 2.2.10 – Altri provvedimenti e
pubblicazioni
Altri provvedimenti significativi sono:




Inasprimento delle sanzioni privacy, 30 dicembre 2008115 (D.L. n. 207 del 30 dicembre
2008, articolo 44 )
Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati
personali, 13 ottobre 2008116
Sicurezza dei dati di traffico telefonico e telematico, 17 gennaio 2008117;
Comunicato stampa del Garante del 3 settembre 2003 che sintetizza chiaramente il quadro di
riferimento per le comunicazioni commerciali indesiderate (spamming)118.
Inasprimento delle sanzioni privacy
Questo argomento è stato affrontato nel modulo 1.3.6 della Lezione 1
Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati
personali
Il Garante ha messo a punto una serie di indicazioni per evitare che, al momento di dismettere
apparecchiature elettriche ed elettroniche (anzitutto pc, ma anche cd rom o dvd), rimangano in
memoria nomi, indirizzi mail, rubriche telefoniche, foto, filmati, numero di conto bancario, dati
personali in generale, anche di tipo sensibile come quelli sanitari, riferiti non solo all'utilizzatore,
ma anche a terzi.
Da oggi in poi, privati cittadini, professionisti, ma anche aziende pubbliche che intendono
dismettere il proprio “usato” o consegnarlo ai punti di raccolta per lo smaltimento dovranno
preoccuparsi di cancellare in maniera definitiva - anche con l'aiuto degli stessi rivenditori o se
proprio necessario di tecnici specializzati - i dati personali memorizzati. Questo innanzitutto allo
scopo di non esporsi e non esporre altri a rischi anche gravi, come ad esempio la manipolazione di
dati e il furto di identità.
Misure tecniche preventive
È bene proteggere i file usando una password di cifratura, oppure memorizzare i dati su hard disk o
su altri supporti magnetici usando sistemi di cifratura automatica al momento della scrittura.
Misure tecniche di cancellazione sicura
La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile
con programmi informatici di “riscrittura” che provvedono - una volta che l'utente abbia eliminato
115
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127
116
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571960
http://www.garanteprivacy.it/garante/doc.jsp?ID=1482111
118
http://www.garanteprivacy.it/garante/doc.jsp?ID=272444
117
98
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
dei file dall'unità disco con i normali strumenti previsti dai sistemi operativi (ad es., con l'uso del
“cestino” o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del disco. Si
possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di
“demagnetizzazione”, in grado di garantire la cancellazione rapida delle informazioni.
Smaltimento di rifiuti elettrici ed elettronici
Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è
consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione
ad alta intensità o di vera e propria distruzione fisica.
Sicurezza dei dati di traffico telefonico e telematico
Il provvedimento fissa le regole di base per la messa in sicurezza dei dati del traffico telefonico e di
Internet, conservati dai gestori per finalità di accertamento e repressione dei reati e per le altre
finalità ammesse dalla normativa.
Le prescrizioni impartite riguardano in particolare i seguenti ambiti:








Accesso ai dati;
Accesso ai locali;
Sistemi di autorizzazione
Tracciamento dell'attività del personale incaricato;
Conservazione separata dei dati;
Cancellazione dei dati;
Controlli interni;
Sistemi di cifratura.
Comunicato stampa del Garante del 3 settembre 2003 sulle comunicazioni commerciali
indesiderate (spamming)
L’argomento “spamming” è affrontato più in dettaglio nella lezione 5 “Marketing e comunicazioni
commerciali”. Qui possiamo sintetizzare l’argomento riassumendo quanto dice il Garante nel
comunicato stampa del 3 settembre.
Inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge; se questa
attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il
fatto può essere denunciato all’autorità giudiziaria. Sono previste varie sanzioni e, nei casi più
gravi, la reclusione. La normativa sulla privacy non permette di utilizzare indirizzi di posta
elettronica per inviare messaggi indesiderati a scopo promozionale o pubblicitario anche quando si
omette di indicare in modo chiaro il mittente del messaggio e l’indirizzo fisico presso il quale i
destinatari possono rivolgersi per chiedere che i propri dati personali non vengano più usati.
99
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.2
Domande di verifica 2.2
Domanda
Nel 2007 il Garante ha
pubblicato le proprie
linee guida per la posta
elettronica ed Internet
Nel 2006 il Garante ha
pubblicato le lineeguida per il
trattamento di dati dei
dipendenti privati
L’informativa in caso
di videosorveglianza è
necessaria solo nel
caso che le immagini
siano registrate
Prima risposta
Vero.
L'Autorità prescrive ai
datori di lavoro di
informare con
chiarezza e in modo
dettagliato i lavoratori
sulle modalità di
utilizzo di Internet e
della posta elettronica
e sulla possibilità che
vengano effettuati
controlli.
Vero.
Mancano però le
analoghe linee guida
per il settore pubblico.
Vero.
L’informativa va data
solo se le immagini
videoregistrate sono
effettivamente
registrate.
Seconda risposta
Vero.
L'Autorità prescrive ai
datori di lavoro di
informare con
chiarezza e in modo
dettagliato i lavoratori
sulle modalità di
utilizzo di Internet e
della posta elettronica
ma vieta che vengano
effettuati controlli..
Terza risposta
Falso.
Il documento più volte
annunciato non è stato
ancora pubblicato.
Vero.
Con tale
provvedimento il
Garante ha definito
misure ed
accorgimenti per
disciplinare la raccolta
e l'uso dei dati
personali nella
gestione del rapporto
di lavoro.
Falso.
L’informativa va data
in ogni caso. Se si
tratta di trattamenti di
videosorveglianza essi
vanno anche notificati
al Garante.
Vero.
Le linee guida del
2006 si riferiscono al
settore pubblico, non a
quello privato.
Falso.
In caso di
videosorveglianza
l’informativa va
sempre data. Se non vi
è registrazione di
immagini può essere
fornita una informativa
minima sotto forma di
cartello.
100
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
Lezione 2 –
Unità didattica 2.3 –
Organizzazione della privacy
Modulo 2.3.1 – Il censimento dei dati personali
Modulo 2.3.2 – Il censimento dei dati personali –
elementi da catalogare
Modulo 2.3.3 – I soggetti che effettuano il
trattamento
Modulo 2.3.4 – Titolare, contitolare o
responsabile esterno
Modulo 2.3.5 – Nomina del responsabile interno
Modulo 2.3.6 – Nomina del responsabile esterno
Domande di verifica 2.3
101
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
Modulo 2.3.1 – Il censimento dei dati
personali
Approccio
Il censimento dei trattamenti è l’attività più importante per una corretta ed efficace gestione degli
adempimenti privacy in azienda.
Riepiloghiamo, con parole semplici, qual è l’approccio migliore per affrontare tale attività.
 La definizione di dato personale è così ampia che conviene partire dal presupposto che tutti
i dati e le informazioni che trattiamo in azienda sono personali.
 Con trattamento è opportuno intendere “qualsiasi uso” di dati personali e dunque, per
quanto detto al punto precedente, qualsiasi utilizzo di qualsiasi dato è un trattamento
(compresa la cancellazione o distruzione di informazioni).
 Quanto detto si riferisce sia ai trattamenti di dati personali effettuati con strumenti
elettronici (sistemi informativi aziendali, pc in rete e stand alone per l’office automation e
la produttività personale, strumenti mobili quali notebook, subnotebook, cellulari evoluti,
ipod e similia) sia ai trattamenti senza l’ausilio di strumenti elettronici (documenti cartacei
vergati a mano o prodotti da strumenti meccanici quali macchine da scrivere e fotocopiatrici
o telematici quali fax); esiste poi una categoria di trattamenti che nasce da elaborazioni con
strumenti elettronici e il cui risultato viene poi riprodotto su carta: ad esempio un report di
stampa; in questo caso scegliamo di identificare nel censimento solo il trattamento
originario mentre demandiamo ai regolamenti organizzativi e alle misure di sicurezza la
gestione delle copie cartacee; in modo analogo ci comportiamo per i trattamenti che a partire
da una certa fonte vengono poi duplicati, distribuiti o rielaborati su supporti diversi (ad
esempio un elenco di clienti creato dal pc della contabilità, poi inviato per posta elettronica
alla funzione marketing e da questa stampato in 100 copie per la forza di vendita).
 Vanno censiti i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni
esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.)
interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati.
 Useremo, per quanto possibile, il buon senso nei casi non contemplati ai punti precedenti.
Cos’è un trattamento di dati personali?
Al di là della definizione formale di trattamento, la definizione pratica che useremo in questo corso
è “utilizzo di dati personali per una attività o finalità nota”; si tratta di una definizione logica alla
quale devono corrispondere ovviamente i comportamenti (e le elaborazioni) reali svolte in azienda.
In pratica un trattamento è una riga di una tabella ideale comprendente le informazioni richieste dal
Garante come nell’esempio di seguito fornito.
Le finalità in questo caso sono le principali attività di business o di supporto al business aziendale.
Usando l’organigramma (fotografia più o meno aggiornata dell’operatività d’impresa) individua
diamo le principali aree di attività e per ciascuna di queste le attività corrispondenti.
102
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
Modulo 2.3.2 – Il censimento dei dati
personali – elementi da catalogare
Le norme sulla privacy forniscono indicazioni di principio sugli elementi da catalogare nel
censimento dei dati personali. È possibile usare per il censimento una catalogazione già presente in
azienda per altri scopi. Nel seguito noi faremo riferimento alle indicazioni riportate dal Garante
nella sua “Guida operativa per redigere il Documento programmatico sulla sicurezza”119 del marzo
2004.
Elementi minimi
 Descrizione sintetica: definizione del trattamento dei dati personali attraverso l’indicazione
della finalità perseguita o dell’attività svolta (es., fornitura di beni o servizi, gestione del
personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti,
dipendenti e/o collaboratori, fornitori, eccetera).
 Natura dei dati trattati: indicazione se, tra i dati personali, sono presenti dati sensibili (S) o
giudiziari (G).
 Struttura di riferimento: indica la struttura (ufficio, funzione, ecc.) all’interno della quale
viene effettuato il trattamento.
 Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere
completato, comporta l’attività di diverse strutture va indicata, oltre quella che cura
primariamente l’attività, le altre principali strutture che concorrono al trattamento anche
dall’esterno.
 Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti
elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale,
geografica o Internet; sistemi informativi più complessi).
Ulteriori elementi, opzionali, per descrivere gli strumenti
 Identificativo del trattamento: alla descrizione del trattamento, se ritenuto utile, può essere
associato un codice, facoltativo, per favorire un’identificazione univoca e più rapida di
ciascun trattamento nella compilazione delle altre tabelle.
 Banca dati: indicare eventualmente la banca dati (ovvero il data base o l’archivio
informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento
può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche
dati potranno essere elencate.
 Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono
fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale
fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di
conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed
ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di
aggiornamenti.
119
http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true
103
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
 Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati
dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare,
telefonino, ecc.
 Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i
dispositivi d’accesso ai dati utilizzati dagli incaricati: rete locale, geografica, Internet, ecc.
Le predette informazioni possono essere completate o sostituite da schemi, tabelle, disegni di
architettura del sistema informativo o da altri.
Descrizione sintetica del
trattamento
Finalità perseguita Categorie di
o attività svolta
interessati
Natura
dei dati
trattati
S
G
Struttura
di
riferimento
Altre strutture
(anche esterne)
che concorrono
al trattamento
X
Risorse
Umane
Società
Software 1
PC collegati in Lan,
Internet
X
Risorse
Umane
Società
Software 1
PC collegati in Lan,
Internet
Risorse
Umane
Società
Sicurezza1
Internet, PC stand Alone
Descrizione degli
strumenti utilizzati
Paghe e contributi
Personale
dipendente
Gestione personale
Personale
dipendente
X
Legge 626 e
sicurezza del
personale
Personale
dipendente
X
Fatturazione attiva
Clienti
Contabilità
PC collegati in Lan,
Internet
Acquisti e gestione
fornitori
Fornitori
Contabilità
PC collegati in Lan,
Internet
Clienti,
fornitori
Personale
dipendente
Personale
dipendente
Produzione
Qualità e
Controlli
Qualità e
Controlli
Ciclo di produzione
Gestione Qualità
Adempimenti
societari
Personale
dipendente,
Visitatori,
Clienti,
Guardania, visitatori
Fornitori
Clienti,
Prototipi
fornitori
X
X
Qualità e
Controlli
Ricerca e
Sviluppo
Società
Software 2
PC collegati in Lan,
Internet
PC collegati in Lan
Studi legali 1
e2
PC collegati in Lan
Società
Sorveglianza1 PC collegati in Lan
PC Stand Alone
104
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
Modulo 2.3.3 – I soggetti che effettuano il
trattamento
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”120
Nello svolgimento dell'attività di impresa è normale che vengano trattati dati personali, vale a dire
informazioni riferibili a soggetti identificati o identificabili (ad esempio, dipendenti, clienti e
fornitori). I dati devono essere pertinenti e non eccedenti rispetto a finalità legittime, esatti e
aggiornati (art. 11 del Codice). Le operazioni di trattamento (quali la raccolta, comunicazione o
diffusione di dati personali) sono effettuate anche a cura del responsabile (se designato) e degli
incaricati del trattamento.
Il titolare del trattamento
Il “titolare del trattamento”, è la “[...] entità che esercita un potere decisionale del tutto autonomo
sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza” (art. 28 del
Codice). In particolare, nell'ambito dello svolgimento dell'attività economica, “titolare del
trattamento” può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad
esempio, la società) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la
diffusione).
Il “titolare del trattamento” è chiamato ad attuare gli obblighi in materia (riassunti nella presente
Guida) e, se ritiene di designare uno o più responsabili del trattamento, è tenuto a vigilare sulla
puntuale osservanza delle istruzioni da impartire loro.
I responsabili del trattamento
Il “responsabile del trattamento” (possono essere più d'uno), è una figura che può essere designata a
propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti
affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità,
forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza (art. 29 del Codice).
Tale figura, la cui designazione da parte del “titolare del trattamento” è quindi facoltativa, ricorre
frequentemente in presenza di articolazioni interne delle realtà produttive dotate di una certa
autonomia (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni
aziendali, quali quelle del personale o del settore marketing) o, rispetto a soggetti esterni
all'impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad
es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di
recupero crediti121, etc.)
120
121
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par1
In materia v. il provvedimento generale del 30 novembre 2005, doc. web n. 1213644.
105
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
Gli incaricati del trattamento
Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le
operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del
responsabile) attenendosi a istruzioni scritte (art. 30 del Codice). Il “titolare del trattamento” è
tenuto a designarli.
È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per
iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento122.
122
Così, in un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti,
si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta),
qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una
previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono
stati assegnati stabilmente a tale unità.
106
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
Modulo 2.3.4 – Titolare, contitolare o
responsabile esterno
Alcuni trattamenti potrebbero essere gestiti in parte o totalmente con strutture terze.
I casi possibili sono.
1. Il trattamento ricade nei poteri decisionali dei titolare dell’azienda che semplicemente
esternalizza alcuni aspetti del trattamento ad un terzo o outsourcer. Esempio tipico potrebbe
essere la conservazione delle copie di sicurezza di nastri o tabulati presso una società
specializzata. In questo caso la società terza deve essere nominata “responsabile esterno”
del trattamento in questione mediante forma scritta. Il titolare ha l’obbligo di dare istruzioni
sulle misure, anche di sicurezza, che il responsabile esterno deve adottare e di vigilare che
queste siano effettivamente adottate.
2. Il trattamento è in contitolarità cioè è gestito da più titolari: è il caso in cui due o più
titolari, autonomi fra loro, gestiscono in comune il trattamento e condividono i poteri
decisionali sulle relative finalità e modalità. Esempio tipico: un trattamento, quale una banca
dati, in comune tra due professionisti. Nessuna nomina formale deve essere fatta.
3. Infine se il titolare non affida all’esterno nessun trattamento ma si limita semplicemente a
comunicare dei dati personali a soggetti terzi, in virtù di quanto previsto nell’informativa,
allora tale terzo è a sua volta un “titolare autonomo del trattamento”. Nessuna nomina
formale deve essere fatta anche in questo caso.
La differenza fra titolare e responsabile esterno è facilmente deducibile da una serie di
considerazioni.
Il titolare è l’ente con cui l’interessato contrae un “rapporto contrattuale” in virtù del quale il titolare
raccoglie i dati personali dell’interessato. È facoltà del titolare esternalizzare tale trattamento ad un
terzo (il responsabile esterno) che in tal caso va nominato per iscritto.
Un interessante approfondimento sul tema del “Responsabile esterno” è disponibile nell’articolo “
“Il responsabile esterno privacy”123 di Eric Falzone del 5 maggio 2008.
123
http://www.overlex.com/leggiarticolo.asp?id=1667
107
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
Modulo 2.3.5 – Nomina del responsabile
interno
Esempio di lettera di nomina a Responsabile (interno) dei trattamenti
(Delibera del Consiglio di Amministrazione)
Ai sensi dell’art.29 del decreto legislativo 30 giugno 2003 n. 196 “Codice in materia di trattamento
dei dati personali”, il Consiglio delibera la nomina del Direttore Generale della società quale
“Responsabile del trattamento dei dati”, concedendo allo stesso la delega a nominare, per conto del
Titolare, ulteriori responsabili (anche esterni) di specifici trattamenti.
La nomina avviene dopo aver constatato che il Direttore Generale, in relazione al grado ricoperto
in azienda che gli permette di avvalersi della collaborazione di tutte le strutture e le risorse interne,
nonché dei poteri di firma e di spesa, possiede i requisiti di esperienza, capacità ed affidabilità
idonei a fornire garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento.
Il “Responsabile interno” avvalendosi dei responsabili delle altre unità operative e, ove necessario, dei
consulenti esterni (legale, fiscale, del lavoro):
 redige, aggiorna almeno annualmente, conserva il Documento Programmatico della Sicurezza;

censisce ed aggiorna l'elenco dei trattamenti dei dati personali in azienda e garantisce il diritto
d’accesso come previsto dalle norme sulla privacy;

con l’assistenza del responsabile “Sistemi e Reti” individua, predispone, verifica, documenta e
rende note le misure di sicurezza (minime e più ampie) necessarie per la protezione dei dati
personali.
108
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
Modulo 2.3.6 – Nomina del responsabile
esterno
Esempio di lettera di nomina a Responsabile esterno dei trattamenti
Spettabile Società Software1
Arcobaleni196 srl, è “Titolare” di trattamenti di dati personali che sono esternalizzati presso la Vs.
Azienda, per effetto del contratto stipulato il 21 settembre 2005, rif. ABC1230. Con la presente
Arcobaleni196 designa la Vs. Azienda quale “Responsabile del trattamento” ai sensi dell'art. 29 del
d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) in relazione ai
trattamenti previsti nel contratto suddetto.
In relazione a tale nomina la Vs. Azienda dovrà seguire le seguenti istruzioni:





garantire che i trattamenti siano svolti nel pieno rispetto delle norme e di ogni prescrizione contenuta nel
Codice, nei relativi allegati compresi i codici deontologici, delle future modificazioni ed integrazioni nonché
informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni generali emessi
dall'Autorità Garante per la Protezione dei Dati Personali (il “Garante”);
verificare la costante adeguatezza delle misure di sicurezza per la protezione dei trattamenti alle misure
minime di sicurezza di cui agli artt. da 33 a 35 del Codice, da adottarsi nei modi previsti dal Disciplinare
Tecnico allegato B al Codice e secondo le previsioni dell’art. 180, e delle eventuali modificazioni o
integrazioni che dovessero intervenire ai sensi dell’art. 36 nonché a quelle idonee e preventive di cui all’art.
31 così da ridurre al minimo i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso non
autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta;
segnalare tempestivamente qualsiasi eventuale carenza sulle misure di sicurezza adottate o su qualunque altro
aspetto relativo ai trattamenti conferiti che dovesse comportare responsabilità civili e penali del Titolare;
curare l’aggiornamento periodico, almeno annuale, del Documento Programmatico sulla sicurezza previsto
dalla regola 19 del Disciplinare Tecnico citato, relativamente ai trattamenti di dati personali conferiti col
contratto suddetto, consegnandone copia in tempo utile affinché Arcobaleni196 possa provvedere
all’adempimento rispettando la scadenza prevista dalla normativa in questione;
comunicare tempestivamente qualsiasi richiesta ricevuta ai sensi dell'art. 7 del Codice, per consentirne
l'evasione nei termini previsti dalla legge e, in particolare, disporre l'organizzazione interna per l'eventuale
modifica, rettifica, integrazione e cancellazione dei dati, nonché il blocco del trattamento ove venisse disposto
dal Garante o dall'Autorità Giudiziaria.
Ci riserviamo, ai sensi dell'art. 29 comma 5 del Codice, la facoltà di effettuare verifiche periodiche
per vigilare sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza, e delle istruzioni suddette.
Cordiali saluti
109
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Unità didattica 2.3
Domande di verifica 2.3
Domanda
Il censimento dei
trattamenti va fatto
solo in caso di dati
sensibili o giudiziari.
Prima risposta
Vero.
I dati personali comuni
non vanno censiti.
Seconda risposta
Falso.
I dati sensibili e
giudiziario vanno
notificati al Garante.
La nomina del
“Responsabile” dei
trattamenti è
obbligatoria.
Falso
Solo i responsabili
“esterni” vanno
nominati
obbligatoriamente;
quelli interni solo se il
titolare lo ritiene
opportuno.
Gli incaricati possono
essere solo persone
fisiche.
Vero.
È possibile nominare
le persone giuridiche
quali “responsabili
esterne” del
trattamento.
Falso.
La nomina del
responsabile è in
generale una facoltà
del titolare; tuttavia la
nomina del
responsabile del diritto
d’accesso è
obbligatoria.
Vero.
È possibile nominare
le persone giuridiche
quali “cotitolari” del
trattamento.
Terza risposta
Falso.
Il censimento va fatto
per qualsiasi
trattamento di dati
personali
indipendentemente che
si tratti di dati sensibili
o giudiziari.
Falso.
La nomina del
responsabile è una
facoltà del titolare ma
non è obbligatoria.
Falso.
Anche le persone
giuridiche possono
essere nominate
incaricati.
110
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Risposte alle domande di verifica
Risposte alle domande di
verifica della lezione 2
Domande di verifica 2.1 e risposte corrette
Domanda
Le misure minime di
sicurezza sono uguali
per tutti i titolari.
Prima risposta
La formazione sulla
privacy è obbligatoria
e va riportata sul DPS.
Vero.
L’allegato B del
Codice indica
chiaramente tale
obbligo.
Vero.
Tale diritto è indicato
all’articolo 7 del
Codice.
Con diritto d’accesso
si intende il diritto
dell’interessato a
conoscere quali suoi
dati personali sono
trattati dal titolare.
Seconda risposta
Vero.
Anche con le
“semplificazioni” del
2008 artigiani e PMI
sono più tenute al
rispetto delle misure
minime di sicurezza
che tuttavia sono
state semplificate in
alcuni aspetti..
Terza risposta
Seconda risposta
Terza risposta
Domande di verifica 2.2 e risposte corrette
Domanda
Nel 2007 il Garante ha
pubblicato le proprie
linee guida per la posta
elettronica ed Internet
Prima risposta
Vero.
L'Autorità prescrive
ai datori di lavoro di
informare con
chiarezza e in modo
dettagliato i
lavoratori sulle
modalità di utilizzo
di Internet e della
posta elettronica e
sulla possibilità che
vengano effettuati
111
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 2 – Risposte alle domande di verifica
controlli.
Nel 2006 il Garante ha
pubblicato le lineeguida per il
trattamento di dati dei
dipendenti privati
Vero.
Con tale
provvedimento il
Garante ha definito
misure ed
accorgimenti per
disciplinare la
raccolta e l'uso dei
dati personali nella
gestione del rapporto
di lavoro.
L’informativa in caso
di videosorveglianza è
necessaria solo nel
caso che le immagini
siano registrate
Falso.
In caso di
videosorveglianza
l’informativa va
sempre data. Se non
vi è registrazione di
immagini può essere
fornita una
informativa minima
sotto forma di
cartello.
Domande di verifica 2.3 e risposte corrette
Domanda
Prima risposta
Il censimento dei
trattamenti va fatto
solo in caso di dati
sensibili o giudiziari.
Seconda risposta
La nomina del
“Responsabile” dei
trattamenti è
obbligatoria.
Gli incaricati possono
essere solo persone
fisiche.
Terza risposta
Falso.
Il censimento va fatto
per qualsiasi
trattamento di dati
personali
indipendentemente
che si tratti di dati
sensibili o giudiziari.
Falso.
La nomina del
responsabile è una
facoltà del titolare
ma non è
obbligatoria.
Vero.
È possibile nominare
le persone giuridiche
quali “responsabili
esterne” del
trattamento.
112
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Protezione dei dati personali
Lezione 3 –
Protezione dei dati
personali
Caso di studio C – Arcobaleni196 e la sicurezza informatica
Unità Didattica 3.1 – La sicurezza informatica
Unità Didattica 3.2 – Il Documento Programmatico sulla
Sicurezza
Unità Didattica 3.3 – La protezione dei dati personali in
pratica
Risposte alle domande di verifica della lezione 3
113
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Protezione dei dati personali
Obiettivi di apprendimento
 Cos’è la sicurezza informatica?
 Cos’è il Documento Programmatico sulla Sicurezza?
 Come va regolamentata la sicurezza informatica in azienda?
A chi si rivolge questa lezione?
Direzione aziendale, Responsabili dei trattamenti
Percorsi formativi
 Corso per Direzione.
 Corso per Responsabile dei trattamenti.
 Corso per Responsabile dei trattamenti con video sorveglianza.
 Corso per Responsabile dei trattamenti di marketing.
Concetti chiave:
 Sicurezza informatica, analisi dei rischi, protezione dei dati.
 Documento Programmatico sulla Sicurezza.
 Minacce, rischi, contromisure.
 Regolamenti aziendali sulla sicurezza, Internet, email.
114
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Caso di studio C
Lezione 3 –
Caso di studio C
Arcobaleni196 e la
sicurezza informatica
115
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Caso di studio C
Nei primi due incontri che ho avuto con il cavalier Arcobaleni, Direttor Generale della società
Arcobaleni196, ho avuto modo di spiegare, a lui ed ai suoi principali collaboratori, i principi
fondamentali del “Codice in materia di protezione dei dati personali” e di fare un riepilogo dei
principali adempimenti richiesti alle aziende in ambito privacy.
Adesso sono di nuovo a colloquio con il cavalier Arcobaleni per affrontare il tema della sicurezza
informatica.
“Ingegnere” esordisce immediatamente Arcobaleni “lei mi ha convinto della necessità di
riorganizzarci per rispondere meglio agli adempimenti della privacy. Credo anche che
provvederemo alla nomina del responsabile della privacy. Ma il Documento Programmatico sulla
Sicurezza, dobbiamo proprio farlo? Non possiamo trovare qualche esimente? Non possiamo
sfruttare le semplificazioni del Garante?”
“Caro cavaliere, il DPS è uno strumento estremamente utile in azienda” gli rispondo.
“Inoltre il Documento Programmatico, se ci si organizza bene, non richiede notevoli investimenti in
quanto fotografa lo stato delle misure di sicurezza già adottate e programma, cioè fa una previsione,
sulle misure che si intende adottare in futuro.”
“Ma ho visto esempi di DPS formati da centinaia di pagine e decine di allegati … Non vorrei
distogliere qualcuno dal suo vero lavoro per costringerlo a trasformarsi in uno scrittore …”
“Nelle aziende con una struttura organizzativa molto complessa in effetti c’è il rischio che il
Documento Programmatico diventi voluminoso e difficile da gestire. Nel caso di Arcobaleni196,
una media impresa, possiamo partire dal facsimile di DPS consigliato dal Garante per la protezione
dei dati personali.”
Documento
Programmatico sulla
Sicurezza
“Cosa dobbiamo fare, allora?” mi chiede rassegnato Arcobaleni.
“Per prima cosa facciamo un esercizio tutti insieme. Elenchiamo le misure di sicurezza che sono
adottate in azienda. Per facilitare le cose partiamo dall’elenco dei trattamenti che abbiamo realizzato
nella scorsa <<esercitazione>>. Infatti il censimento dei trattamenti di dati personali è il primo
elemento da inserire nel DPS. Ma non ce l’abbiamo già!”
116
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Caso di studio C
Trattamento
Paghe e contributi
Gestione personale
Fatturazione attiva Clienti
Fornitori
Contabilità
Ciclo di produzione
Gestione Qualità
Adempimenti societari
Guardania,
Prototipi
Sicurezza sul posto di lavoro 626
corrispondenza e protocollo posta entrata
ed uscita
videosorveglianza
ordini via web
posta elettronica
curricula aspiranti collaboratori e
dipendenti, cartaceo
comunicazioni commerciali
adempimenti e consulenza fiscale
adempimenti e consulenza legale
adempimenti e consulenza giuslavoristica
Automatizzato
Dato sensibile
Sì
Sì
No
No
Dato giudiziario
Sì
Sì
Esternalizzato
Sì
Sì
Sì
No
No
No
No
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
1)
Trattamenti di
dati personali
Documento
Programmatico
sulla Sicurezza
“Vorrei fare una osservazione” dice Pino White della funzione “Sistemi e Reti”
“Prego, dica pure”
“In Arcobaleni196 sono io che mi occupo delle misure di sicurezza informatica: posso garantirle
che tutta una serie di misure (password, antivirus, firewall) sono già applicate a tutte le applicazioni
informatiche, indipendentemente dagli obblighi della legge sulla privacy. Inoltre facciamo
(ovviamente!) le copie di sicurezza dei dati presenti sia sui server aziendali sia sui pc individuali.”
117
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Caso di studio C
1)
Trattamenti
di dati
personali
2)
Misure di
sicurezza
Documento
Programmatico
sulla Sicurezza
“Perfetto!” esclamo io “Questo ci mette in una situazione molto vantaggiosa. Si tratta
semplicemente di elencare le misure di sicurezza e verificare che “comprendano” le misure minime
(e obbligatorie) indicate dal Codice. Vorrei farle però, signor White, tre domande”
“Dica pure”
“La prima domanda è: ci sono particolari sistemi informativi o applicazioni software che
proteggete in maniera particolare con misure di sicurezza speciali?”
“Certamente “ risponde White “i sistemi ed i programmi dell’area Ricerca e Sviluppo. Abbiamo un
sistema di crittografia per impedire che qualcuno possa intercettare o copiare i nostri progetti.”
“E perché avete deciso di proteggere proprio i sistemi ed i programmi dell’area Ricerca e
Sviluppo?”
“Oh bella questa!” esclama Arcobaleni “perché ci potrebbe essere qualche concorrente interessato
alle nostre idee, mi sembra chiaro!”
“Perfetto cavaliere. Questa è quella che in gergo si definisce l’analisi dei rischi: i dati esposti a
rischi maggiori devono essere protetti con maggiori misure di sicurezza. Anche l’analisi dei rischi
va riportata sul DPS”
118
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Caso di studio C
1)
Trattamenti
di dati
personali
2)
Misure di
sicurezza
3)
Analisi dei
rischi
Documento
Programmatico
sulla Sicurezza
“Quindi si tratta solo di scrivere in bella copia ciò che già facciamo?” chiede White
“Risponderò tra un attimo alla sua osservazione. Primo ecco la seconda domanda: avete fatto corsi
di formazione negli ultimi 12 mesi che hanno a che fare con la privacy, la sicurezza, le infrastrutture
tecnologiche o temi simili?”
“Certamente!” sbotta Cavalieri “mi fanno spendere un sacco di soldi per la formazione…”
“Abbiamo fatto il corso sulla nuova Intranet” dice White.
“E il corso su Windows Vista” ricorda il signor Marroni.
“E quello sugli antivirus” sbotta Arcobaleni.
“Perfetto! Avrete sicuramente un elenco dei corsi già sostenuti e che pensate di sostenere nei
prossimi mesi. Anche questo elenco va inserito nel DPS”
“Gli elenchi sulla formazione sono compilati e conservati da me” conferma Carmela Rossetti della
funzione “Qualità e Controlli”.
119
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Caso di studio C
1)
Trattamenti
di dati
personali
2)
Misure di
sicurezza
3)
Analisi dei
rischi
Documento
Programmatico
sulla Sicurezza
4)
Piano di
formazione
“Infine la terza ed ultima domanda: nei prossimi mesi pensate di adottare nuovi sistemi di
sicurezza? Di modificare in maniera sistematica la vostra architettura software o hardware? Di
cessare o iniziare nuovi trattamenti di dati personali?”
“Beh ci sarebbe il progetto relativo alla nuova intranet” osserva il sig. Marroni.
“E sostituiremo tutti i vecchi pc della contabilità” aggiunge White.
“Io ho chiesto di avere un sistema di posta elettronica certificata” dice Arcobaleni.
“Ecco tutte queste informazioni vanno inserite nel DPS” dico “perché si tratta di programmazioni
relative ai prossimi mesi su tematiche che hanno a che fare con il trattamento dei dati personali!”
120
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Caso di studio C
1)
Trattamenti
di dati
personali
2)
Misure di
sicurezza
3)
Analisi dei
rischi
Documento
Programmatico
sulla Sicurezza
4)
Piano di
formazione
5)
Piano di
miglioramento
“Recuperando, aggiornando o realizzando questi 5 elementi:
1.
2.
3.
4.
5.
censimento dei trattamenti di dati personali
elenco delle misure di sicurezza
analisi dei rischi
piano di formazione
piano di miglioramento
il DPS praticamente è già fatto!” esclamo con soddisfazione.
“Allora che ci rimane da fare? Sciogliamo la riunione?” borbotta Arcobaleni.
“Dato che siamo tutti gli riuniti vorrei spiegarvi più in dettaglio quali sono gli adempimenti
privacy in ambito protezione dei dati personali ed approfondire alcuni punti.
Affronterò tre argomenti:
1. cos’è la sicurezza informatica
2. il Documento Programmatico sulla Sicurezza
3. regole pratiche per la protezione dei dati personali”
121
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Caso di studio C
Inizia il corso…
122
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Lezione 3 –
Unità didattica 3.1 – La
sicurezza informatica
Modulo 3.1.1 – Privacy e sicurezza
Modulo 3.1.2 – Il quadro normativo della sicurezza informatica
Modulo 3.1.3 – Cos’è la sicurezza informatica?
Modulo 3.1.4 – Standard di sicurezza
Modulo 3.1.5 – Analisi dei rischi – la teoria
Modulo 3.1.6 – Analisi dei rischi – metodologie disponibili in
italiano
Modulo 3.1.7 – Analisi dei rischi – un approccio semplificato
Modulo 3.1.8 – Siti utili ed approfondimenti sulla sicurezza
informatica
Domande di verifica 3.1
123
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Modulo 3.1.1 – Privacy e sicurezza
Il “Codice in materia di protezione dei dati personali” 124 entrato in vigore il 1° gennaio 2004 ha
confermato, aggiornato e reso più precisa la disciplina in materia di sicurezza dei dati personali
e dei sistemi informatici e telematici già introdotta nel 1996.
L’articolo 31 del Codice prescrive gli obblighi di sicurezza che devono essere osservati dal titolare
del trattamento, dal responsabile, se designato, e dagli incaricati.
I dati personali oggetto di trattamento devono essere “custoditi e controllati”, anche in relazione
alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di
accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
“Codice in materia di protezione dei dati personali”125 articolo 31.
Le misure di sicurezza per i dati personali sono indicate in più articoli del Codice e dell’allegato B.
In particolare, nel Codice:
 l’articolo 1 sancisce il “diritto alla protezione dei dati personali”;
 l’articolo 31 fissa gli obblighi di sicurezza (custodia e controllo);
 l’articolo 32 fissa obblighi di sicurezza particolari per i fornitori di un servizio di
comunicazione elettronica accessibile al pubblico;
 l’articolo 34 indica le misure minime di sicurezza per i trattamenti con strumenti elettronici;
 l’articolo 35 indica le misure minime di sicurezza per i trattamenti senza strumenti
elettronici.
L’elenco delle misure minime contenute nel Codice agli articoli 34 e 35 è completato dalle
indicazioni contenute nell’allegato B126 - Disciplinate tecnico – ai punti da 1 a 29.
Tra i “provvedimenti”127 più significativi emanati dal Garante per la protezione dei dati personali
in relazione agli aspetti di sicurezza vanno infine ricordati.
124
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
126
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
127
Per la definizione di “provvedimento” si veda la lezione L1 di questo corso
125
124
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Data
24 dicembre
2008
27 novembre
2008
marzo 2007
novembre 2006
ottobre 2005
aprile 2004
13 ottobre 2008
gennaio 2008
Argomento
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti
elettronici relativamente alle attribuzioni delle funzioni di amministratore di
sistema
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di
cui all'Allegato B) al Codice in materia di protezione dei dati personali
Linee guida del Garante per posta elettronica e internet
Linee guida del Garante per il trattamento dei dati dei dipendenti privati
Impronte digitali ed altri sistemi biometrici
Videosorveglianza
Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza
dei dati personali128
Sicurezza dei dati di traffico telefonico e telematico129
Interessante anche quanto riportato dal Garante nella sua Newsletter n. 327 del 9 settembre130.
Il Garante ha scritto che tra gli obblighi di protezione dei dati dei clienti di una banca vi è anche
quello di comunicare, al titolare del conto corrente, eventuali accessi non autorizzati allo stesso.
128
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571960
http://www.garanteprivacy.it/garante/doc.jsp?ID=1482111
130
http://www.garanteprivacy.it/garante/doc.jsp?ID=1648935
129
125
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Modulo 3.1.2 – Il quadro normativo della
sicurezza informatica
Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura
più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili
fuori dei casi consentiti o altrimenti trattati in modo illecito.
Tratto da “Obblighi di sicurezza e documento programmatico”131, indicazioni del Garante a Confindustria del 22 marzo
2004
In Italia è obbligatorio assicurare costantemente un adeguato livello di sicurezza dei sistemi
informativi e delle reti di telecomunicazioni aziendali.
Tale obbligo nasce da una serie di norme emanate nel tempo tra le quali:
 la legge 23 dicembre 1993 n. 547 “Modificazioni ed integrazioni alle norme del codice
penale e del codice di procedura penale in tema di criminalità informatica132”;
 la legge 3 agosto 1998, n. 269 “Norme contro lo sfruttamento della prostituzione, della
pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in
schiavitù133” volta al contrasto della detenzione, scambio e commercio di materiale
pedopornografico in rete;
 la legge 18 agosto 2000, n. 248 “Nuove norme di tutela del diritto d'autore134” volta a
reprimere i comportamenti illeciti di pirateria informatica;
 Il Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina della responsabilità
amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di
personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300135” per
gli aspetti relativi ai crimini informatici;
 il “Codice in materia di protezione dei dati personali136”, entrato in vigore il primo
gennaio 2004, che impone misure di sicurezza nel trattamento dei dati personali;
 la legge n.48/2008137 sulla “criminalità informatica” entrata in vigore il 5 aprile 2008 che ha
modificato il Codice Penale, introdotto nuove fattispecie di reati informatici inasprendo le
pene ed estendendo la responsabilità amministrativa delle imprese (d.lgsl 231/01) anche
ai reati informatici.
In particolare il d.lgsl. 231/01 viene periodicamente aggiornato con l’inclusione di nuovi reati; nel
2008 è stato aggiornato per tener conto della legge n.48/2008138, nel luglio 2009 per tener conto di
nuovi delitti in relazione alla violazione del diritto d’autore.
131
http://www.garanteprivacy.it/garante/doc.jsp?ID=771307
http://www.interlex.it/Testi/l547_93.htm
133
http://www.camera.it/parlam/leggi/98269l.htm
134
http://www.parlamento.it/leggi/00248l.htm
135
http://www.complianceaziendale.com/2008/02/struttura-del-d-lgs-8-giugno-2001-n.html
136
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
137
http://www.senato.it/service/PDF/PDFServer/BGT/00298813.pdf
138
http://www.senato.it/service/PDF/PDFServer/BGT/00298813.pdf
132
126
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Queste norme valgono per tutte le imprese. Per la pubblica amministrazione sono inoltre da
considerare ulteriori norme specifiche139 così come per le aziende che operano nel comparto
finanziario ed assicurativo e delle telecomunicazioni.
La legge n.48/2008 sulla “criminalità informatica”
Questa legge ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato
(art. 10) sia il “Codice in materia di protezione dei dati personali” sia (art. 7) il decreto legislativo 8
giugno 2001, n. 231 (la cosiddetta “Responsabilità amministrativa delle imprese).
Di seguito l’elenco dei reati informatici trattati da questa legge:
 420: attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di
sistemi informatici o telematici di pubblica utilità
 491-bis: falsità in un documento informatico pubblico o privato
 615-ter: accesso abusivo ad un sistema informatico o telematico
 615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o
telematici
 615-quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a
danneggiare o interrompere un sistema informatico o telematico
 617-quater: intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche
 617-quinquies: installazione di apparecchiature atte ad intercettare, impedire o interrompere
comunicazioni informatiche o telematiche.
 635-bis: danneggiamento di informazioni, dati e programmi informatici
 635-ter: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato
o da altro ente pubblico o comunque di pubblica utilità
 635-quater: danneggiamento di sistemi informatici o telematici
 640-quinquies: truffa del certificatore di firma elettronica
Vediamo in dettaglio alcuni di questi reati.
Art. 615 ter Accesso abusivo ad un sistema informatico o telematico
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di
sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è
punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso (…) con abuso della qualità di operatore del sistema;
Art. 615-quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti
a danneggiare o interrompere un sistema informatico o telematico.
“Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le
informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire
l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce,
riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri
Una buona sintesi delle norme di sicurezza per la PA è disponibile in “La sicurezza delle reti - dall’analisi del rischio
alle strategie di protezione” in http://www.isticom.it/index.php/archivio-news/3-articoli/15-news-pub2 a cura
dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (ISCOM) pag. 75 e seguenti
139
127
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e
con la multa sino a euro 10.329”.
Nota: la norma quindi include non solo il software, ma anche l'hardware, comprendendo tutte
quelle apparecchiature e dispositivi il cui funzionamento sia idoneo a danneggiare un sistema
informatico, ovvero ad alterarne il funzionamento.
In pratica il “delitto” di cui all'art. 615 quinquies scatta non solo quando ci si procura virus e
malware in genere, ma anche nel caso di la produzione, importazione, acquisto di dongle, smart
card, skimmer e così via, laddove, naturalmente, si prestino ad un utilizzo illecito, al fine appunto di
danneggiare o alterare un sistema informatico, ovvero i dati e programmi ivi contenuti.
Articolo 635 – bis: danneggiamento di informazioni, dati e programmi informatici.
“Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o
sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa,
con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo
comma dell’articolo 635 ovvero se il fatto e` commesso con abuso della qualità di operatore del
sistema, la pena è della reclusione da uno a quattro anni e si procede d’ufficio”
La responsabilità amministrativa delle imprese (d.lgsl 231/01)
Il D. lgs. n. 231/2001 – “Disciplina della responsabilità amministrativa delle persone giuridiche,
delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della
legge 29 settembre 2000, n.300”, si applica a tutte le persone giuridiche e alle società e associazioni
anche prive di personalità giuridica, ad esclusione dello Stato, degli enti pubblici territoriali, degli
altri enti pubblici non economici, nonché agli enti che svolgono funzioni di rilievo costituzionale.
Tale decreto introduce nell'ordinamento italiano il concetto di responsabilità delle società nei casi in
cui persone fisiche commettano dei reati anche nell'interesse o a vantaggio della società stessa.
Le aziende devono in poche parole predisporre preventive ed idonee misure di sicurezza e di
controllo per prevenire ed impedire che il management o i dipendenti commettano reati informatici
quali quelli previsti dalla legge n.48/2008 sulla “criminalità informatica”. In mancanza di tali
misure, nel caso il reato sia commesso e porti un vantaggio diretto o indiretto all’azienda, l’azienda
ne risponde.
I nuovi reati introdotti nel luglio 2009 in materia di violazione del diritto di autore
Nel luglio 2009 il D. lgs. n. 231/2001 è stato modificato con l’introduzione dell’art 25-novies in
materia di violazione del diritto di autore che riguarda i seguenti reati140.
 art. 171, l. 633/1941 comma 1 lett a) bis: messa a disposizione del pubblico, in un sistema
di reti telematiche, mediante connessioni di qualsiasi genere, di un'opera dell'ingegno
protetta, o di parte di essa;
 art. 171, l. 633/1941 comma 3: reati di cui al punto precedente commessi su opere altrui
non destinate alla pubblicazione qualora ne risulti offeso l’onore o la reputazione;
 art. 171-bis l. 633/1941 comma 1: abusiva duplicazione, per trarne profitto, di programmi
per elaboratore; importazione, distribuzione, vendita o detenzione a scopo commerciale o
imprenditoriale o concessione in locazione di programmi contenuti in supporti non
140
tratto da: http://www.complianceaziendale.com/2009/07/ddl-s1195-b-disposizioni-per-lo.html
128
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1




contrassegnati dalla SIAE; predisposizione di mezzi per rimuovere o eludere i dispositivi di
protezione di programmi per elaboratori;
art. 171-bis l. 633/1941 comma 2: riproduzione, trasferimento su altro supporto,
distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di
una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita o concessione
in locazione di banche di dati;
art. 171-ter l. 633/1941: abusiva duplicazione, riproduzione, trasmissione o diffusione in
pubblico con qualsiasi procedimento, in tutto o in parte, di opere dell'ingegno destinate al
circuito televisivo, cinematografico, della vendita o del noleggio di dischi, nastri o supporti
analoghi o ogni altro supporto contenente fonogrammi o videogrammi di opere musicali,
cinematografiche o audiovisive assimilate o sequenze di immagini in movimento; opere
letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico musicali,
multimediali, anche se inserite in opere collettive o composite o banche dati; riproduzione,
duplicazione, trasmissione o diffusione abusiva, vendita o commercio, cessione a qualsiasi
titolo o importazione abusiva di oltre cinquanta copie o esemplari di opere tutelate dal diritto
d'autore e da diritti connessi; immissione in un sistema di reti telematiche, mediante
connessioni di qualsiasi genere, di un'opera dell'ingegno protetta dal diritto d'autore, o parte
di essa;
art. 171-septies l. 633/1941: mancata comunicazione alla SIAE dei dati di identificazione
dei supporti non soggetti al contrassegno o falsa dichiarazione;
art. 171-octies l. 633/1941: fraudolenta produzione, vendita, importazione, promozione,
installazione, modifica, utilizzo per uso pubblico e privato di apparati o parti di apparati atti
alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere,
via satellite, via cavo, in forma sia analogica sia digitale.
Il “Codice in materia di protezione dei dati personali”
Il “Codice in materia di protezione dei dati personali” entrato in vigore il 1° gennaio 2004 ha
confermato, aggiornato e reso più precisa la disciplina in materia di sicurezza dei dati personali
e dei sistemi informatici e telematici già introdotta nel 1996.
In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove
disposizioni) secondo cui tutti i titolari di trattamenti di dati personali devono adottare “misure
minime di sicurezza”, la cui importanza è tale che il legislatore ha previsto anche una sanzione
penale in caso di inadempimento.
Le “misure minime” sono però solo una parte degli accorgimenti obbligatori in materia di sicurezza
(art. 33 del Codice).
In materia di sicurezza delle informazioni il “Codice” distingue infatti due distinti obblighi.
a) l’obbligo più generale di ridurre al minimo determinati rischi.
Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più
ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori
dei casi consentiti o altrimenti trattati in modo illecito.
Resta in vigore, oltre alle cosiddette “misure minime”, l’obbligo di adottare ogni altra misura di
sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono
valutare comunque i rischi (art. 31).
129
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
L’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un
danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione
dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7,
comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora,
davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt.
15 e 152 del Codice);
b) nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le “misure
minime”.
Nel quadro degli accorgimenti più ampi da adottare per effetto dell’obbligo ora richiamato, occorre
assicurare comunque un livello minimo di protezione dei dati personali.
Pertanto, in aggiunta alle conseguenze appena ricordate, il Codice conferma l’impianto secondo il
quale l’omessa adozione di alcune misure indispensabili (“minime”), le cui modalità sono
specificate tassativamente nell’Allegato B) del Codice, costituisce anche reato (art. 169 del Codice,
che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro, e l’eventuale
“ravvedimento operoso” di chi adempie puntualmente alle prescrizioni impartite dal Garante una
volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l’estinzione
del reato).
Tra le misure minime rientra anche la redazione del Documento Programmatico sulla
Sicurezza.
Scrive infatti il Garante:
“Anche la redazione del DPS è una misura minima, prevista dall’Allegato B).”
Inoltre come ha ribadito più volte il Garante “le scelte di fondo sulle modalità di trattamento sotto il
profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed
esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro
organismo titolare del trattamento (art. 4, comma 1, lett. f), del Codice).”
In questo quadro, il Codice ha introdotto l’obbligo di riferire nella relazione di accompagnamento a
ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia
obbligatorio come misura “minima” o che sia stato comunque adottato (regola 26 Allegato B).
130
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Modulo 3.1.3 – Cos’è la sicurezza
informatica?
Nell’ambito dei sistemi informativi con “sicurezza” si intende l’insieme delle misure di carattere
organizzativo e tecnologico atte a garantire la riservatezza (o confidenzialità), l'integrità e la
disponibilità delle informazioni gestite.
Riservatezza
L’informazione deve essere accessibile solo a chi è autorizzato a conoscerla. Le informazioni
riservate devono essere protette sia durante la trasmissione che durante la memorizzazione. I dati
memorizzati devono essere protetti mediante crittografia o utilizzando un controllo d’accesso,
mentre per le informazioni riservate trasmesse è necessaria la crittografia.
Integrità
Le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non
autorizzate. Solo il personale autorizzato può modificare la configurazione di un sistema o
l’informazione trasmessa su una rete. Per garantire l’integrità dei dati è necessario che il sistema sia
preparato ad individuare eventuali modifiche apportate ai dati durante la trasmissione, sia
intenzionalmente in seguito ad un attacco, sia involontariamente in seguito ad un errore di
trasmissione.
Disponibilità
L’informazione deve essere sempre disponibile alle persone autorizzate quando necessario. Una
varietà di attacchi possono comportare la perdita o la riduzione parziale della disponibilità di un
sistema informatico; alcuni di questi attacchi sono evitabili tramite contromisure automatizzate
come l’autenticazione e la crittografia, mentre altri richiedono speciali azioni fisiche per prevenire o
ridurre la perdita di dati o di risorse in un sistema distribuito.
In azienda, l’adozione delle misure di sicurezza va modulata in relazione ai beni da proteggere ed
alle minacce possibili a tali beni, dunque in base ad una preliminare analisi dei rischi.
131
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Modulo 3.1.4 – Standard di sicurezza
Esistono numerose metodologie e standard di sicurezza informatica141 quali:




la famiglia ISO 27000, che ha sostituito i British Standard BS 7799:1 e BS 7799:2
i manuali operativi del NIST statunitense;
il BSI IT Baseline Protection Manual (manuale per la protezione di base IT) dell'istituto
federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca;
i Common Criteria (anche ISO 15408).
L’ISO 27002 (già BS ISO/IEC 17799:2005 BS 7799-1:2005) ad esempio propone un modello di
“Sistema di Gestione della Sicurezza delle Informazioni” (SGSI), in inglese Information Security
Management System (ISMS), articolato nelle seguenti componenti142:












Gestione dei rischi (Risk Assessment and Treatment)
Politiche di sicurezza (Security Policy)
Struttura organizzativa (Organization of Information Security)
Inventario e classificazione dei beni aziendali (Asset Management)
Sicurezza nella gestione delle risorse umane (Human Resources Security)
Sicurezza fisica (Physical and Environmental Security)
Gestione delle comunicazioni e delle procedure (Communications and Operations
Management)
Controllo accessi (Access Control)
Acquisizione, sviluppo e manutenzione dei sistemi informativi (Information Systems
Acquisition, Development, Maintenance)
Gestione degli incidenti di sicurezza (Information Security Incident Management)
Continuità del servizio (Business Continuity)
Conformità alle norme ed ai regolamenti (Compliance)
Il concetto di ISMS è mutuato dal mondo della qualità come strumento per tenere sotto controllo
(in modo sistematico e nel tempo) i processi legati alla sicurezza, tramite la definizione di ruoli,
responsabilità, procedure formali (sia per l'operatività aziendale che per la gestione delle
emergenze) e canali di comunicazione.
Definire un sistema di gestione è di fondamentale importanza nell’ambito della sicurezza in quanto
non è sufficiente progettare una soluzione tecnica sicura, ma è altrettanto importante mantenerne la
sicurezza nel tempo.
ISO 27000 individua tre elementi fondamentali per una corretta gestione dell’ ISMS:
1. le politiche aziendali (è necessario il coinvolgimento della direzione sia per avere una
visione globale e strategica del problema della sicurezza che per dedicare risorse);
2. gli strumenti tecnologici;
141
http://it.wikipedia.org/wiki/Standard_di_sicurezza_informatica
Non esiste una traduzione italiana ufficiale di ISO 27000; nel seguito, ove si ritiene utile, si riporteranno tra parentesi
i termini originali inglesi
142
132
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
3. gli atteggiamenti individuali (formazione e sensibilizzazione del personale, creazione di
canali di comunicazione).
In sintesi, BS 7799-1 fornisce un insieme coerente di controlli comprensivi di best practices per l’
information security; tali controlli possono essere utilizzati, in particolare, per implementare un
ISMS; BS 7799-2 specifica il processo per scegliere, implementare e mantenere l’ISMS usando i
controlli indicati nella parte 1.
133
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Modulo 3.1.5 – Analisi dei rischi – la
teoria
Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel
tempo il sistema di sicurezza aziendale.
Esistono numerosi standard e modelli di riferimento per l’IT Risk Assessment che occorre
conoscere per valutare e scegliere la soluzione più adatta alla propria realtà aziendale.
ISO 27001:2005, ad esempio, suddivide la gestione del rischio IT in due fasi:
1. analisi del rischio, in cui a partire dalla classificazione delle informazioni/beni da proteggere
e dell’identificazione delle relative minacce, si identifica il livello di rischio esistente;
2. controllo del rischio, in cui si identificano le modalità con le quali eliminare, ridurre o
controllare tale rischio rilevato.
Al di là del modello prescelto, le attività di risk assessment prevedono sempre una serie di fasi
ormai standardizzate:
 identificazione e classificazione delle risorse da proteggere (i cosiddetti asset);
 analisi dei danni che si possono subire;
 identificazione delle minacce, delle possibilità cioè di compromissione accidentale, o deliberata,
della sicurezza del sistema;
 identificazione delle vulnerabilità , cioè delle modalità in cui le minacce possono concretizzarsi;
 misurazione del rischio, potenziale ed effettivo, di ogni asset.
Misurazione del rischio
Il rischio può essere definito come una funzione che lega la probabilità di accadimento di una
minaccia con l’impatto sugli asset aziendali che essa produrrebbe al suo verificarsi.
L’impatto può essere espresso in termini quantitativi (ad esempio valore a bilancio del cespite) o in
maniera qualitativa, tenendo conto di più fattori (importanza per il business, requisiti normativi,
problemi di immagine ed altro).
Dopo aver individuato e misurato il rischio occorre prendere delle decisioni sulla base di un’analisi
costi/benefici e valutare se è possibile accettare il rischio o se conviene adottare nuove misure di
sicurezza per ridurre il rischio evidenziato.
È ovvio che i rischi non possono mai essere del tutto eliminati per cui ci si trova sempre di fronte ad
un rischio residuo che va gestito attraverso delle opportune contromisure.
134
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Modulo 3.1.6 – Analisi dei rischi –
metodologie disponibili in italiano
ISCOM - Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione
L’ISCOM ha pubblicato una serie di guida sui temi della sicurezza informatica, liberamente
scaricabili in formato pdf, tra cui:
 “Linee guida sulla sicurezza delle reti, dall’analisi del rischio alle strategie di protezione”
(pdf 143) – è un testo a taglio “teorico” che traccia una completa ricognizione dello stato
dell’arte dell’analisi dei rischi;
 “Risk analysis approfondimenti” (pdf144) – è un testo più “pratico” che fornisce esempi di
applicazioni pratiche in ambito business in particolare per liberi professionisti, studi
professionali, piccole e medie imprese.
MAGERIT
MAGERIT è una metodologia sviluppata dal governo spagnolo a partire dal '97. In italiano è
liberamente scaricabile il testo “Metodologia di analisi e gestione dei rischi dei sistemi informativi,
parte 1 - Metodo” in formato pdf 145) ove sono descritti tutti i concetti e i passaggi chiave di una
metodologia per l'analisi e la gestione dei rischi, conforme con gli standard della famiglia 27000 146.
MEHARI
MEHARI (MÉthode HArmonisée d’analyse des RIsques), un approccio di analisi e gestione del
rischio informatico compatibile con le norme ISO 17799 e ISO 27001 che si deve a CLUSIF il
Club de la Sécurité de l’Information Français, cugina dell’italiana CLUSIT147 . Sul sito di CLUSIF
è disponibile una vasta documentazione148 su MEHARI in Francese ed Inglese, mentre in Italiano è
disponibile una presentazione generale della metodologia (pdf149).
CNIPA: analisi dei rischi per il DPS
L’ing. Gianfranco Pontevolpe del CNIPA (Centro Nazionale per l’Informatica nella Pubblica
Amministrazione) ha realizzato una presentazione in formato pdf150 sulla tematica specifica
dell’analisi dei rischi nell’ambito della redazione del Documento Programmatico sulla Sicurezza.
143
http://www.isticom.it/documenti/news/pub_002_ita.pdf
http://www.isticom.it/documenti/news/linee_guida_rischi_due.pdf
145
http://www.sgsi.net/Mageritv2%20-%20Libro%20I%20-%20Metodo.pdf
146
Segnalato da http://blog.clusit.it/sicuramente/2009/09/it-risk-management-metodologia-tradotta.html
147
http://www.clusit.it/
148
https://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES
149
https://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2007-Introduzione-metodo.pdf
150
http://www2.cnipa.gov.it/site/_contentfiles/01380000/1380039_Analisi dei rischi DPS.pdf
144
135
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Modulo 3.1.7 – Analisi dei rischi – un
approccio semplificato
Il Garante per la protezione dei dati personali ha pubblicato, nel marzo 2004, una “Guida operativa
per redigere il Documento programmatico sulla sicurezza”151 che propone un approccio
semplificato per l’analisi dei rischi da riportare nel DPS.
Occorre:
 descrivere i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne
le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento
e agli strumenti elettronici utilizzati.
 descrivere l’impatto sulla sicurezza degli eventi precedentemente censiti; la valutazione di
impatto va fatta anche in relazione alla rilevanza e alla probabilità stimata dell’evento
(anche in termini sintetici: es., alta/media/bassa).
In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da
contrastare.
Eventi pregiudizievoli
Il Garante propone la seguente lista di eventi potenzialmente dannosi.
Contesto fisico-ambientale:





Ingressi non autorizzati a locali/aree ad accesso ristretto
sottrazione di strumenti contenenti dati
eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi,
allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria
guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
errori umani nella gestione della sicurezza fisica
Comportamenti degli operatori:





Sottrazione di credenziali di autenticazione;
carenza di consapevolezza;
disattenzione o incuria;
comportamenti sleali o fraudolenti;
errore materiale.
Eventi relativi agli strumenti:
151
http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true
136
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1





Azione di virus informatici o di programmi suscettibili di recare danno;
spamming o tecniche di sabotaggio;
malfunzionamento, indisponibilità o degrado degli strumenti;
accessi esterni non autorizzati;
intercettazione di informazioni in rete.
137
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Modulo 3.1.8 – Siti utili ed
approfondimenti sulla sicurezza
informatica
Per approfondimenti, in lingua italiana, sul tema della sicurezza informatica possono essere
consultati i siti degli enti e delle associazioni più significative in questo ambito. Tra gli altri:








ISCOM152 - Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione
CLUSIT153 - Associazione Italiana per la Sicurezza Informatica
AIPSI154 - Associazione Italiana di Professionisti della Sicurezza Informatica
ISACA-Roma155 ed AIEA156, capitoli italiani dell’ISACA, l’associazione internazionale
degli IS Auditor e Security Manager
ANSSAIF157 Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione
Finanziaria
Elenco dei migliori security blog italiani158 a cura di Feliciano Intini159 Chief Security
Advisor di Microsoft Italia
ComplianceNet160, sito dedicato ai temi della Compliance, Sicurezza e Privacy specie in
ambito bancario.
ENISA161, l’European Network and Information Security Agency (sito in lingua inglese).
152
http://www.isticom.it/
http://www.clusit.it/
154
http://aipsi.org/
155
http://isacaroma.it/
156
http://www.aiea.it/
157
http://www.anssaif.com/
158
http://blogs.technet.com/feliciano_intini/pages/recensioni-dei-security-blog-italiani.aspx
159
http://blogs.technet.com/feliciano_intini/default.aspx
160
http://www.compliancenet.it/
161
http://www.enisa.europa.eu/
153
138
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Domande di verifica 3.1
Domanda
Le misure minime di
sicurezza sono
obbligatorie; tutte le
altre sono facoltative
Vero.
Solo le misure minime
di sicurezza sono
obbligatorie. È tuttavia
possibile
(opzionalmente)
adottare ulteriori
misure di sicurezza
Nel DPS è
obbligatorio inserire
l’analisi dei rischi sui
dati personali.
Vero.
Si tratta di uno degli
elementi obbligatori
del DPs.
Una azienda certificata
ISO 27002 (qualità)
non ha bisogno di
redigere il DPS.
Vero.
I requisiti per la
certificazione sono più
stringenti degli
obblighi del Codice.
Seconda risposta
Falso.
Le “misure minime”
sono solo una parte
degli accorgimenti
obbligatori in materia
di sicurezza in quanto
vi è anche l’obbligo di
adottare ogni altra
misura di sicurezza
idonea alla protezione
dei dati (art. 31).
Terza risposta
Falso.
Anche le misure
minime di sicurezza
sono opzionali.
Parzialmente vero.
L’analisi dei rischi è
obbligatoria solo se si
trattano dati sensibili
con elaboratori
accessibili al pubblico
Falso.
I requisiti per la
certificazione sono
meno stringenti degli
obblighi del Codice.
Falso.
Le “semplificazioni”
del Garante hanno
eliminato
l’obbligatorietà
dell’analisi dei rischi.
Falso.
La certificazione ISO
27002 è volontaria e
non ha nulla a che fare
con gli obblighi di
legge.
139
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.1
Pagina lasciata intenzionalmente bianca
140
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Lezione 3 –
Unità didattica 3.2 – Il
Documento Programmatico
sulla Sicurezza
Modulo 3.2.1 – Domande frequenti sul DPS
Modulo 3.2.2 – Tipologie di DPS
Modulo 3.2.3 – DPS – le novità normativa del 2009
Modulo 3.2.4 – Un esempio di DPS (con licenza aperta)
Modulo 3.2.5 – Analisi preliminare dell’azienda
Modulo 3.2.6 – Elenco dei trattamenti di dati personali
Modulo 3.2.7 – Distribuzione dei compiti e delle responsabilità
Modulo 3.2.8 – Analisi dei rischi che incombono sui dati
Modulo 3.2.9 – Misure in essere
Modulo 3.2.10 – Criteri e modalità di ripristino della disponibilità
dei dati
Modulo 3.2.11 – Pianificazione degli interventi formativi previsti
Modulo 3.2.12 – Trattamenti affidati all’esterno
Modulo 3.2.13 – Adempimenti per la funzione di amministratore
di sistema
Domande di verifica 3.2
141
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.1 – Domande frequenti sul
DPS
Cos’è il Documento Programmatico sulla Sicurezza (DPS)?
Qualunque azienda, PA, ente o associazione che sia titolare di un trattamento di dati sensibili o
giudiziari effettuato con strumenti elettronici deve redigere ed aggiornare per iscritto entro il 31
marzo di ogni anno un documento che riporti le misure di sicurezza adottate o che si programma di
adottare per la tutela di tali trattamenti.
L’obbligo della redazione del DPS è stato abrogato, mediante il Decreto Legge 25 giugno 2008
n.112, per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti
salute e malattia dei propri dipendenti, senza indicazione della diagnosi.
Chi deve redigere il DPS?
Il DPS cade sotto la responsabilità del titolare (cioè del legale rappresentante dell’azienda o ente);
questi può farsi coadiuvare nella redazione del Documento da un organo, ufficio o persona fisica a
ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art.
34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B)).
Quando va redatto o aggiornato il DPS?
Annualmente, e non oltre il 31 marzo di ogni anno, l'azienda deve aggiornare il proprio
“Documento Programmatico sulla Sicurezza”.
Che contenuti deve avere il DPS?
Il DPS deve contenere, al minimo (regola 19 dell’allegato B, “Disciplinare tecnico in materia di
misure minime di sicurezza”162, del D. Lgs. n.196):
 l'elenco dei trattamenti di dati personali;
 la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al
trattamento dei dati;
 l'analisi dei rischi che incombono sui dati;
 le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione
delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
 la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento (...);
 la previsione di interventi formativi degli incaricati del trattamento (...);
 la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno
della struttura del titolare;
162 http://www.garanteprivacy.it/garante/doc.jsp?ID=488497
142
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Inoltre a seguito della pubblicazione del provvedimento del Garante relativo agli “Amministratori di
sistema” del novembre 2008occorre allegare al DPS:

l’elenco degli amministratori di sistema.
Dove posso trovare un facsimile di DPS?
Nel giugno 2004 il Garante per la protezione dei dati personali ha pubblicato una “Guida operativa
per redigere il Documento programmatico sulla sicurezza”163 che può essere utilizzato come
fac-simile.
È obbligatorio utilizzare il fac-simile di DPS del Garante?
No, l'Ufficio del Garante ha posto a disposizione degli operatori una guida per redigere e aggiornare
il documento programmatico sulla sicurezza, soprattutto nelle realtà piccole e medie dimensioni. La
guida è stata semplificata sulla base dei commenti pervenuti all'esito della consultazione pubblica
ed è utilizzabile facoltativamente.
Posso adottare solo le misure minime di sicurezza?
Il Garante rispondendo nel marzo 2004 ad un quesito formulato da Confindustria (“Obblighi di
sicurezza e documento programmatico”164) scrive: “In particolare è stato confermato il principio
(evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui le misure minime, di
importanza tale da indurre il legislatore a prevedere anche una sanzione penale, sono solo una parte
degli accorgimenti obbligatori in materia di sicurezza (art. 33 del Codice). In materia, come già
previsto dalla legge n. 675/1996, si distinguono due distinti obblighi:
a. l’obbligo più generale di ridurre al minimo determinati rischi. Occorre custodire e controllare i
dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio
che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o
altrimenti trattati in modo illecito. Resta in vigore, oltre alle cosiddette "misure minime",
l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze,
avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle
caratteristiche del trattamento, di cui si devono valutare comunque i rischi (art. 31). Come in
passato, l’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina
un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla
protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento
(artt. 1 e 7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non
patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le
misure idonee ad evitarlo (artt. 15 e 152 del Codice);
b. nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le "misure
minime".
Cosa si rischia nel non adottare le "misure minime"?
Il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili
(“minime”), le cui modalità sono specificate tassativamente nell’Allegato B) del Codice, costituisce
anche reato; l’art. 169 del Codice prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a
163
164
http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true
http://www.garanteprivacy.it/garante/doc.jsp?ID=771307
143
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
50 mila euro; è possibile l’eventuale “ravvedimento operoso” di chi adempie puntualmente alle
prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede
amministrativa, ottenendo così l’estinzione del reato.
Il DPS va inviato al Garante?
No, va conservato presso il Titolare (o il Responsabile se nominato).
Il DPS è una misura minima per chi vi è tenuto?
Sì. Scrive il Garante:
2.1 Anche la redazione del DPS è una "misura minima", prevista dall’Allegato B). Si tratta di una
misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il DPS e sia
parzialmente diverso il suo necessario contenuto.
2.2. In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un
trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo,
ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica
amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B)).
Come accennato, il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente
tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili
mediante una rete di telecomunicazioni disponibili al pubblico). Inoltre, a differenza del passato, la
categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali, riferiti ad esempio a
provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato (v. art. 4 del
Codice). Infine, il contenuto stesso del DPS è arricchito da nuovi elementi che si aggiungono a
quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Ad esempio, nel
DPS occorre descrivere ora i criteri e le modalità per ripristinare la disponibilità dei dati in caso di
distruzione o danneggiamento delle informazioni o degli strumenti elettronici; occorre individuare
poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita
sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie (regole 19.8 e 24
dell’Allegato B)).
Perché va citato il DPS nella relazione accompagnatoria al bilancio d’esercizio?
Scrive il Garante:
"Premesso che le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza
competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in
base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del
trattamento (art. 4, comma 1, lett. f), del Codice), il Codice ha introdotto una nuova regola per
rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia
di sicurezza, attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio
di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura
"minima" o che sia stato comunque adottato (regola 26 Allegato B)). Anche questa menzione
rappresenta una misura "minima" nuova, indicata tra quelle di "tutela e garanzia" (regole 25 e 26)."
144
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.2 – Tipologie di DPS
Il primo gennaio 2004 è entrato in vigore il “Codice in materia di protezione dei dati personali”165.
Il “Codice” all’articolo 34, punto g) recita che il titolare di “Trattamenti con strumenti elettronici” è
obbligato alla “tenuta di un aggiornato documento programmatico sulla sicurezza”.
Il Documento Programmatico sulla Sicurezza (DPS) deve contenere, al minimo (regola 19
dell’allegato B, “Disciplinare tecnico in materia di misure minime di sicurezza”166 , del D. Lgs.
n.196:







l'elenco dei trattamenti di dati personali;
la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al
trattamento dei dati;
l'analisi dei rischi che incombono sui dati;
le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione
delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento (...);
la previsione di interventi formativi degli incaricati del trattamento (...);
la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno
della struttura del titolare.
L’11 giugno 2004 il Garante per la protezione dei dati personali ha pubblicato una “Guida operativa
per redigere il Documento programmatico sulla sicurezza” (pdf167, 232 K, 17 pp).
Dice il Garante nella premessa al facsimile:
“La presente guida mira a facilitare l’adempimento dell’obbligo di redazione del documento
programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole e medie dimensioni o,
comunque, non dotate al proprio interno di competenze specifiche (nota 1).
La guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio utilizzarla per
adempiere all’obbligo.
Nota 1) Nelle strutture di piccole dimensioni dove possono mancare specifiche competenze,
si può anche chiedere consultare per alcuni profili tecnici il fornitore/installatore degli
strumenti elettronici e del relativo software.”
Il 24 maggio 2007 Il Garante ha pubblicato una “Guida pratica e misure di semplificazione per le
piccole e medie imprese”168 (G.U. 21 giugno 2007 n. 142) che per quanto riguarda il DPS recita:
“In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso
sistemi informatici deve essere redatto il documento programmatico sulla sicurezza (art. 34,
165
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
167
http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true
168
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271
166
145
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
comma 1, lett. g) e regola 19 dell'Allegato B al Codice). Si può tener conto dei suggerimenti
già formulati dal Garante che –recependo le esigenze e le istanze peculiari di professionisti e
piccoli operatori, con particolare riguardo alle piccole e medie imprese– ha già reso
disponibile on-line, a far data dal 11 giugno 2004, una Guida operativa”.
Con l’articolo numero 29 della legge 6 agosto 2008, n. 133, “Conversione in legge, con
modificazioni, del decreto-legge 25 giugno 2008, n. 112, recante disposizioni urgenti per lo
sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e
la perequazione tributaria”169 , GU n. 195 del 21 agosto 2008 - Suppl. Ordinario n. 196 (entrata in
vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale.) viene però
modificato il “Codice” proprio all’articolo 34 (richiamato sopra) semplificando gli “adempimenti”
relativi al DPS per alcune categorie di titolari.
Recita l’articolo 29 della legge 6 agosto 2008, n. 133:
"Trattamento dei dati personali
1. All'articolo 34 del codice in materia di protezione dei dati personali, di cui al decreto legislativo
30 giugno 2003, n. 196, dopo il comma 1 è aggiunto il seguente:
« 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici
dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori
anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni
sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla
sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi
dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000,
n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In
relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità
amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e
artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio
provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del
disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al
comma 1».
Infine il 27 novembre 2008 con un provvedimento a carattere generale dal titolo “Semplificazione
delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in
materia di protezione dei dati personali”170, pubblicato in Gazzetta Ufficiale il 9 dicembre 2008, il
Garante ha individuato modalità semplificate di applicazione delle misure minime di sicurezza
contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati
personali. Tra le modalità semplificate vi è anche una "semplificazione" per il DPS. Recita il
provvedimento:
2.5. Documento programmatico sulla sicurezza (modalità applicative delle regole di cui ai punti da
19.1 a 19.8 dell'Allegato B))
2.5.1. Fermo restando che per alcuni casi è già previsto per disposizione di legge che si possa
redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza (…), i
soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative
e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono
redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di
seguito riportate.
169
170
http://www.interlex.it/testi/l08_133.htm
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
146
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Il documento deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il
31 marzo di ogni anno nel caso in cui, nel corso dell'anno solare precedente, siano intervenute
modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve avere i seguenti contenuti:




le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali
responsabili; nel caso in cui l'organizzazione preveda una frequente modifica dei
responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile
individuare l'elenco aggiornato dei responsabili del trattamento;
una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare
l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento; in tale
descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e
dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di
destinatari a cui i dati possono essere comunicati;
l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità;
nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati,
potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco
aggiornato dei responsabili del trattamento con le relative responsabilità;
una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o
perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta.
In sintesi
In sintesi, rispetto all’obbligo di redazione, ed aggiornamento, del Documento Programmatico sulla
Sicurezza alla data odierna (5 ottobre 2009) le casistiche possibili sono (in ordine crescente di
adempimenti richiesti).
Tipo di titolare
Soggetti che trattano dati
personali senza l’ausilio di
strumenti elettronici
Per i soggetti che trattano
soltanto dati personali non
sensibili e che trattano come
unici dati sensibili quelli
costituiti dallo stato di salute o
malattia dei propri dipendenti e
collaboratori anche a progetto,
senza indicazione della relativa
diagnosi, ovvero dall'adesione ad
organizzazioni sindacali o a
carattere sindacale.
Soggetti pubblici e privati che
trattano dati personali
Tipologia di DPS
Non è richiesta la tenuta del
DPS
Riferimento normativo
Codice in materia di
protezione dei dati
personali (D. Lgs. n.196),
articolo 34
Decade l’obbligo della tenuta Articolo numero 29 della
del DPS che viene sostituito
legge 6 agosto 2008, n.
da una autocertificazione,
133 recepito come comma
resa dal titolare del
1-bis all’articolo 34 del
trattamento ai sensi
"Codice in materia di
dell'articolo 47 del testo unico protezione dei dati
di cui al decreto del
personali"
Presidente della Repubblica
28 dicembre 2000, n. 445, di
trattare soltanto tali dati in
osservanza delle altre misure
di sicurezza prescritte
Tali soggetti possono redigere "Semplificazione delle
un documento
misure di sicurezza
147
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
unicamente per correnti
finalità amministrative e
contabili, in particolare presso
liberi professionisti, artigiani e
piccole e medie imprese e non
rientranti nella tipologia di cui al
punto precedente.
Organizzazioni di piccole e
medie dimensioni o, comunque,
non dotate al proprio interno di
competenze specifiche e non
rientranti nelle tipologie di cui al
punto precedente.
Tutti gli altri titolari non
rientranti nelle tipologie di cui al
punto precedente.
programmatico sulla
sicurezza semplificato sulla
base delle indicazioni
riportate nel provvedimento a
carattere generale dal titolo
"Semplificazione delle misure
di sicurezza contenute nel
disciplinare tecnico di cui
all'Allegato B) al Codice in
materia di protezione dei dati
personali" del 27 novembre
2008
Facsimile di DPS come
illustrato nella "Guida
operativa per redigere il
Documento programmatico
sulla sicurezza".
Nota bene: non è obbligatorio
utilizzare tale facsimile.
contenute nel disciplinare
tecnico di cui all'Allegato
B) al Codice in materia di
protezione dei dati
personali" del 27
novembre 2008
Documento Programmatico
sulla Sicurezza completo
secondo le indicazioni
riportate nel Codice e
nell’allegato B.
Codice in materia di
protezione dei dati
personali (D. Lgs. n.196),
articolo 34, punto g.
regola 19 dell’allegato B,
"Disciplinare tecnico in
materia di misure minime
di sicurezza, del D. Lgs.
n.196
"Guida operativa per
redigere il Documento
programmatico sulla
sicurezza" dell’11 giugno
2004
148
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.3 –DPS – le novità normativa
del 2009
Nel corso del 2009 il corpus normativo sulla privacy è stato modificato in modo significativo.
Le principali novità normative ed i relativi adempimenti di cui bisogna tener conto
nell’aggiornamento del DPS per il 2009 sono:






amministratore di sistema;
semplificazione delle misure di sicurezza;
semplificazione notificazione;
rottamazione PC ed affini;
legge 18 marzo 2008 sui crimini informatici;
i nuovi reati introdotti nel d. lgs. 231/01 in materia di violazione del diritto di autore.
Amministratore di sistema
Si tratta del provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con
strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”171
del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008 di cui abbiamo già ampiamente
parlato.
Per quanto riguarda l’aggiornamento del DPS occorre allegare a quest’ultimo la lista degli
amministratori già nominati cioè gli amministratori di trattamenti iniziati dopo il 25 gennaio 2009.
Per i trattamenti iniziati prima di tale data la lista va prodotta entro il 15 dicembre 2009.
Ricordiamo che la “lista degli amministratori di sistema” è a sua volta un trattamento e quindi va
inserito nel censimento allegato al DPS.
Analogamente va aggiornato il paragrafo “Distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei dati” con indicazione di quanto attuato in
relazione a tale adempimento (nuove nomine, aggiornamento delle lettere di incarico, ecc.).
Se sono state adottate nuove misure di sicurezza non già indicate nella precedente versione del DPS
(ad esempio nuovi log in relazione agli adempimenti richiesti per l’amministratore di sistema)
questa vanno riportate nel paragrafo del DPS a ciò deputato.
Nel paragrafo dedicato alla "Previsione di interventi formativi degli incaricati del trattamento"è
opportuno indicare i corsi sulla sicurezza o sulla privacy che i famosi amministratori di sistema (se
necessario) seguiranno (o hanno già seguito) per "dimostrare" che essi sono “idonei” a ricoprire tale
incarico.
Infine nel capitolo relativo alla “Descrizione dei criteri adottati (…) per i di trattamenti di dati
personali affidati all'esterno della struttura del titolare” vanno indicati quali outsourcer hanno
(già) nominato e comunicato la lista degli amministratori.
171
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
149
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Semplificazione delle misure di sicurezza
Si tratta del provvedimento “Semplificazione delle misure di sicurezza contenute nel disciplinare
tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali”172 del 27
novembre 2008, in G.U. n. 287 del 9 dicembre 2008 che riguarda:


amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.
Misure di sicurezza
In base al provvedimento del Garante, le categorie interessate:




possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione
basato su un username e una password; lo username deve essere disattivato quando viene
meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione);
in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto
procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad
es. l'invio automatico delle mail ad un altro recapito accessibile);
devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare
backup dei dati almeno una volta al mese.
DPS semplificato
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi
professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune
indicazioni per la redazione di un documento programmatico per la sicurezza semplificato: questo
deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di
ogni anno nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto
a quanto dichiarato nel precedente documento.
Il DPS semplificato deve avere i seguenti contenuti:


172
le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali
responsabili. Nel caso in cui l'organizzazione preveda una frequente modifica dei
responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile
individuare l'elenco aggiornato dei responsabili del trattamento;
una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare
l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale
descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
150
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2


dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di
destinatari a cui i dati possono essere comunicati;
l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità.
Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati,
potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco
aggiornato dei responsabili del trattamento con le relative responsabilità;
una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o
perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta.
Modalità applicative “semplificate” per i trattamenti realizzati senza l'ausilio di strumenti
elettronici


Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla
custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli
atti e dei documenti contenenti dati personali.
Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati
agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e
documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo
che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle
operazioni affidate.
Semplificazione notificazione
Si tratta del provvedimento “Semplificazione al modello per la notificazione al Garante”173 del 22
ottobre 2008 , G.U. n. 287 del 9 dicembre 2008 .
Senza entrare nel merito di chi e per quali trattamenti deve fare la notifica qui si sottolinea
semplicemente che le nuove “indicazioni” del provvedimento di cui sopra richiedono al punto f)
una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure
adottate per garantire la sicurezza del trattamento.
È ovvio che, per chi fa la notifica, tale “descrizione generale” deve essere coerente con quanto
riportato nel DPS.
Rottamazione PC ed affini
Si tratta del provvedimento “Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di
sicurezza dei dati personali”174 del 13 ottobre 2008, in G.U. n. 287 del 9 dicembre 2008. Il Garante
richiede che ogni titolare del trattamento deve adottare appropriate misure organizzative e tecniche
volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di
accessi non autorizzati che possono verificarsi in occasione della dismissione dei menzionati
apparati elettrici ed elettronici (artt. 31 ss. del Codice); ciò, considerato anche che, impregiudicati
eventuali accordi che prevedano diversamente, produttori, distributori e centri di assistenza di
apparecchiature elettriche ed elettroniche non risultano essere soggetti, in base alla particolare
disciplina di settore, a specifici obblighi di distruzione dei dati personali eventualmente
memorizzati nelle apparecchiature elettriche ed elettroniche a essi consegnate.
173
174
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571196
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571514
151
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
In pratica il Garante vuole che siano prevenuti accessi non consentiti ai dati personali memorizzati
nelle apparecchiature elettriche ed elettroniche destinate a essere:


reimpiegate o riciclate
smaltite.
mediante l’adozione delle misure da lui indicate (allegato A e allegato B rispettivamente) nello
stesso provvedimento.
Legge 18 marzo 2008 sui crimini informatici
Si tratta della “Legge 18 marzo 2008, n. 48 - "Ratifica ed esecuzione della Convenzione del
Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di
adeguamento dell’ordinamento interno”175 che ha introdotto nuovi adempimenti per la sicurezza
informatica in quanto ha modificato (art. 10) sia il “Codice in materia di protezione dei dati
personali” sia (art. 7) il decreto legislativo 8 giugno 2001, n. 231 (la cosiddetta “Responsabilità
amministrativa delle imprese”).
Di seguito l’elenco dei reati informatici trattati da questa legge.











420: attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di
sistemi informatici o telematici di pubblica utilità
491-bis: falsità in un documento informatico pubblico o privato
615-ter: accesso abusivo ad un sistema informatico o telematico
615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o
telematici
615-quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a
danneggiare o interrompere un sistema informatico o telematico
617-quater: intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche
617-quinquies: installazione di apparecchiature atte ad intercettare, impedire o interrompere
comunicazioni informatiche o telematiche
635-bis: danneggiamento di informazioni, dati e programmi informatici
635-ter: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato
o da altro ente pubblico o comunque di pubblica utilità
635-quater: danneggiamento di sistemi informatici o telematici
640-quinquies: truffa del certificatore di firma elettronica
I nuovi reati introdotti nel d. lgs. 231/01 in materia di violazione del diritto di
autore
Nel luglio 2009 il D. lgs. n. 231/2001 è stato modificato con l’introduzione dell’art 25-novies in
materia di violazione del diritto di autore che riguarda i seguenti reati176.
175
176
http://www.parlamento.it/parlam/leggi/08048l.htm
tratto da: http://www.complianceaziendale.com/2009/07/ddl-s1195-b-disposizioni-per-lo.html
152
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
 art. 171, l. 633/1941 comma 1 lett a) bis: messa a disposizione del pubblico, in un sistema
di reti telematiche, mediante connessioni di qualsiasi genere, di un'opera dell'ingegno
protetta, o di parte di essa;
 art. 171, l. 633/1941 comma 3: reati di cui al punto precedente commessi su opere altrui
non destinate alla pubblicazione qualora ne risulti offeso l’onore o la reputazione;
 art. 171-bis l. 633/1941 comma 1: abusiva duplicazione, per trarne profitto, di programmi
per elaboratore; importazione, distribuzione, vendita o detenzione a scopo commerciale o
imprenditoriale o concessione in locazione di programmi contenuti in supporti non
contrassegnati dalla SIAE; predisposizione di mezzi per rimuovere o eludere i dispositivi di
protezione di programmi per elaboratori;
 art. 171-bis l. 633/1941 comma 2: riproduzione, trasferimento su altro supporto,
distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di
una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita o concessione
in locazione di banche di dati;
 art. 171-ter l. 633/1941: abusiva duplicazione, riproduzione, trasmissione o diffusione in
pubblico con qualsiasi procedimento, in tutto o in parte, di opere dell'ingegno destinate al
circuito televisivo, cinematografico, della vendita o del noleggio di dischi, nastri o supporti
analoghi o ogni altro supporto contenente fonogrammi o videogrammi di opere musicali,
cinematografiche o audiovisive assimilate o sequenze di immagini in movimento; opere
letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico musicali,
multimediali, anche se inserite in opere collettive o composite o banche dati; riproduzione,
duplicazione, trasmissione o diffusione abusiva, vendita o commercio, cessione a qualsiasi
titolo o importazione abusiva di oltre cinquanta copie o esemplari di opere tutelate dal diritto
d'autore e da diritti connessi; immissione in un sistema di reti telematiche, mediante
connessioni di qualsiasi genere, di un'opera dell'ingegno protetta dal diritto d'autore, o parte
di essa;
 art. 171-septies l. 633/1941: mancata comunicazione alla SIAE dei dati di identificazione
dei supporti non soggetti al contrassegno o falsa dichiarazione;
 art. 171-octies l. 633/1941: fraudolenta produzione, vendita, importazione, promozione,
installazione, modifica, utilizzo per uso pubblico e privato di apparati o parti di apparati atti
alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere,
via satellite, via cavo, in forma sia analogica sia digitale.
153
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.4 – Un esempio di DPS (con
licenza aperta)
Nei moduli che seguono, in questa unità didattica, redigeremo il “Documento Programmatico sulla
Sicurezza” di un’azienda “fittizia”: si tratta di una media impresa manifatturiera, la
Arcobaleni196177 srl che abbiamo già conosciuto grazie ai nostri casi di studio.
Questo DPS era già stato realizzato per un articolo178 pubblicato sul sito ComplianceNet nel marzo
2009.
Questo DPS si basa sulla “Guida operativa per redigere il Documento programmatico sulla
sicurezza”179 pubblicata nel giugno 2004 dal Garante per la protezione dei dati personali.
“La presente guida” scrive il Garante “mira a facilitare l’adempimento dell’obbligo di
redazione del documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole
e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche. La
guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio utilizzarla per
adempiere all’obbligo.
La guida è strutturata in due parti: la prima contiene istruzioni per sviluppare il DPS negli
aspetti descrittivi oppure nella compilazione di alcune tabelle riportate nella seconda parte.
Nella guida sono anche evidenziati altri elementi utilizzabili facoltativamente - comprese
alcune tabelle - che si ritengono utili per una più approfondita definizione del DPS.”
Guida alla lettura
Il “modello” di DPS è articolato in capitoli seguendo il modello proposto dal Garante. Ogni capitolo
si riferisce ad uno dei punti indicati come obbligatori alla regola 19 dell’allegato B, “Disciplinare
tecnico in materia di misure minime di sicurezza”180, al “Codice in materia di protezione dei dati
personali181” (si noti che il punto 19.8 non è però applicabile in quanto si riferisce alle aziende
esercenti professioni sanitarie).
Oltre a tali capitoli sono stati inseriti:
 un capitolo iniziale (non numerato) che riporta le principali variazioni rispetto alla
precedente edizione del DPS
 un secondo capitolo (non numerato) che descrive brevemente la società;
177
http://www.arcobaleni196.it
http://www.compliancenet.it/content/privacy-aggiornamento-2009-esempio-dps-per-pmi-con-licenza-aperta
179
http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true
180 http://www.garanteprivacy.it/garante/doc.jsp?ID=488497
181
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
178
154
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
 un capitolo finale (numerato) che comprende allegati, modulistica e documenti di
approfondimento.
Contenuti fondamentali del DPS
Il DPS deve contenere, al minimo (regola 19 dell’allegato B, “Disciplinare tecnico in materia di
misure minime di sicurezza”182, del D. Lgs. n.196:
 l'elenco dei trattamenti di dati personali;
 la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al
trattamento dei dati;
 l'analisi dei rischi che incombono sui dati;
 le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione
delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
 la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento (...);
 la previsione di interventi formativi degli incaricati del trattamento (...);
 la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno
della struttura del titolare.
Tabella 1: Contenuti fondamentali del DPS
Anche il modello di DPS è rilasciato con licenza aperta “Creative Commons Attribuzione - Non
commerciale 2.5 Italia License183”
182 http://www.garanteprivacy.it/garante/doc.jsp?ID=488497
183
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
155
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.5 – Analisi preliminare
dell’azienda
Nella redazione “ex novo” del DPS il punto di partenza consiste in una “analisi preliminare”, volta
a fare “il punto della situazione” rispetto agli adempimenti privacy. È opportuno predisporre una
breve descrizione sintetica della società (ed eventualmente, se opportuno, del “gruppo” di
appartenenza). A riguardo è possibile utilizzare documenti già redatti per altre finalità quali
redazione del bilancio, verifiche di qualità, eccetera.
Documenti utili per l’analisi preliminare e la redazione del DPS








organigramma;
breve descrizione dei sistemi informativi;
nota integrativa al bilancio che descrive mission ed il business aziendale;
notificazione al Garante (eventualmente anche relativa alla precedente legge 675/96) se
effettuata;
documenti predisposti dal servizio “Qualità”;
relazioni scritte da enti interni o esterni di verifica e controllo (revisori dei conti, enti
certificatori, ecc.);
pubblicazioni aziendali (brochure, listino prodotti, newsletter);
sito web aziendale.
Tabella 2: Documenti utili per l’analisi preliminare e la redazione del DPS
È ovviamente opportuno visitare l’azienda, i reparti produttivi, gli uffici più importanti.
156
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.6 – Elenco dei trattamenti di
dati personali
I contenuti di questo modulo sono disponibili nella Lezione 2 - Unità didattica 2.3 –
Organizzazione della privacy nei seguenti moduli:
 Modulo 2.3.1 – Il censimento dei dati personali
 Modulo 2.3.2 – Il censimento dei dati personali – elementi da catalogare
157
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.7 – Distribuzione dei compiti
e delle responsabilità
In questa sezione devono essere descritte sinteticamente l’organizzazione della struttura di
riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati.
Struttura
Risorse
Umane
Risorse
Umane
Risorse
Umane
Contabilità
Contabilità
Produzione
Qualità e
Controlli
Qualità e
Controlli
Qualità e
Controlli
Ricerca e
Sviluppo
Contabilità
Risorse
Umane
Trattamenti effettuati dalla struttura
Descrizione dei compiti e delle responsabilità
della struttura
Legge 626 e sicurezza del personale
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi
Fatturazione attiva
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi, manutenzione tecnica dei
programmi, gestione tecnica operativa della base
dati (salvataggi, ripristini, ecc
Acquisti e gestione fornitori
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi, manutenzione tecnica dei
programmi, gestione tecnica operativa della base
dati (salvataggi, ripristini, ecc
Ciclo di produzione
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi, manutenzione tecnica dei
programmi, gestione tecnica operativa della base
dati (salvataggi, ripristini, ecc
Gestione Qualità
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi, manutenzione tecnica dei
programmi, gestione tecnica operativa della base
dati (salvataggi, ripristini, ecc
Paghe e contributi
Gestione personale
Guardania, visitatori
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi, manutenzione tecnica dei
programmi, gestione tecnica operativa della base
dati (salvataggi, ripristini, ecc
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi
Prototipi
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi, manutenzione tecnica dei
programmi, gestione tecnica operativa della base
dati (salvataggi, ripristini, ecc
Adempimenti societari
Gestione Contratti
Intranet
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi, manutenzione tecnica dei
programmi, gestione tecnica operativa della base
dati (salvataggi, ripristini, ecc
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi
158
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Sistemi IT
Lista "Amministratori" di sistema
acquisizione e caricamento dei dati, consultazione,
comunicazione a terzi
Legenda
 Struttura: riporta le indicazioni delle strutture già menzionate nel censimento dei
trattamenti.
 Trattamenti effettuati dalla struttura: indica i trattamenti di competenza di ciascuna
struttura.
 Compiti e responsabilità della struttura: descrive sinteticamente i compiti e le
responsabilità della struttura rispetto ai trattamenti di competenza. Ad esempio: acquisizione
e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei
programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). Anche in
questo caso è possibile utilizzare, nei termini predetti, altri documenti già predisposti.
159
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.8 – Analisi dei rischi che
incombono sui dati
È possibile usare un “approccio semplificato” come già indicato nel Modulo 3.1.5 – Analisi dei
rischi – un approccio semplificato nell’Unità Didattica 3.1 di questa stessa lezione.
In pratica i passi da compiere sono tre:
1. elencare gli eventi potenzialmente pregiudizievoli;
2. valutare il rischio per tali eventi;
3. indicare le contromisure per mitigare, eliminare o gestire tale rischio.
Elencare gli eventi potenzialmente pregiudizievoli
Lo stesso Garante ha proposto una lista di eventi potenzialmente dannosi.
Contesto fisico-ambientale





Ingressi non autorizzati a locali/aree ad accesso ristretto
sottrazione di strumenti contenenti dati
eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi,
allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria
guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
errori umani nella gestione della sicurezza fisica
Comportamenti degli operatori





Sottrazione di credenziali di autenticazione;
carenza di consapevolezza;
disattenzione o incuria;
comportamenti sleali o fraudolenti;
errore materiale.
Eventi relativi agli strumenti







Azione di virus informatici o di programmi suscettibili di recare danno;
spamming o tecniche di sabotaggio;
malfunzionamento, indisponibilità o degrado degli strumenti;
accessi esterni non autorizzati;
intercettazione di informazioni in rete.
valutare il rischio per tali eventi
indicare le contromisure per mitigare, eliminare o gestire tale rischio.
160
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Valutare il rischio
Per valutare il rischio degli eventi potenzialmente pregiudizievoli occorre usare una scala di
“gravità” ad esempio quella che si ispira alla metodologia Mehari184




Livello 4: rischio gravissimo (vitale per l’azienda);
Livello 3: rischio molto grave;
Livello 2: rischio importante;
Livello 1: rischio non significativo.
Il risultato è una tabella di questo tipo:
Ambito
Evento
Rischio
Ingressi non autorizzati a locali/aree ad accesso ristretto
3
sottrazione di strumenti contenenti dati
2
eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche,
incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad
incuria
3
guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
2
errori umani nella gestione della sicurezza fisica
2
Sottrazione di credenziali di autenticazione;
4
carenza di consapevolezza;
2
disattenzione o incuria;
3
comportamenti sleali o fraudolenti;
3
errore materiale.
2
Azione di virus informatici o di programmi suscettibili di recare danno;
4
spamming o tecniche di sabotaggio;
2
malfunzionamento, indisponibilità o degrado degli strumenti;
3
accessi esterni non autorizzati;
3
Contesto fisicoambientale
Comportamenti
degli operatori
Eventi relativi
agli strumenti
184
http://www.oneitsecurity.it/03/04/2008/mehari-un-approccio-alla-gestione-del-rischio-it/
161
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
intercettazione di informazioni in rete.
2
Indicazione delle contromisure per mitigare, eliminare o gestire tale rischio
Per ciascuno dei “possibili rischi” indichiamo le misure di sicurezza adottate (che attenzione non
devono essere necessariamente quelle “minime” indicate dal Garante).
Ambito
Evento
Rischio
Contromisura
Ingressi non autorizzati a
locali/aree ad accesso ristretto
3
Videosorveglianza
alla reception, badge
per l’ingresso al piano
sottrazione di strumenti contenenti
dati
2
Videosorveglianza
alla reception, badge
per l’ingresso al piano
eventi distruttivi, naturali o
artificiali (movimenti tellurici,
scariche atmosferiche, incendi,
allagamenti, condizioni
ambientali, ...), nonché dolosi,
accidentali o dovuti ad incuria
3
Piano di Disaster
Recovery; back-up
dei dati in rete
guasto a sistemi complementari
(impianto elettrico,
climatizzazione, ecc.)
2
Back-up
errori umani nella gestione della
sicurezza fisica
2
Formazione
Sottrazione di credenziali di
autenticazione;
4
Gestione credenziali
carenza di consapevolezza;
2
Formazione e
sensibilizzazione
disattenzione o incuria;
3
Formazione e
sensibilizzazione
comportamenti sleali o
fraudolenti;
3
Controlli automatici e
manuali
errore materiale.
2
Formazione,
sensibilizzazione,
controlli automatici e
manuali
Contesto fisicoambientale
Comportamenti
degli operatori
Eventi relativi
162
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
agli strumenti
Azione di virus informatici o di
programmi suscettibili di recare
danno;
4
Antivirus, gestione
patch
spamming o tecniche di
sabotaggio;
2
Antivirus, gestione
patch
malfunzionamento, indisponibilità
o degrado degli strumenti;
3
Sistemi ridondanti e
ad alta affidabilità
accessi esterni non autorizzati;
3
Firewal
intercettazione di informazioni in
rete.
2
Firewal
163
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.9 – Misure in essere
In questa sezione devono essere riportate, in forma sintetica, le misure di sicurezza adottate per
contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo
posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia),
come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia.
Misure
Videosorveglianza alla
reception, badge per
l’ingresso al piano
Piano di Disaster
Recovery; back-up dei
dati in rete
Formazione
Formazione
Formazione
Controlli automatici e
manuali
Antivirus, gestione
patch
Antivirus, gestione
patch
Firewal
Firewal
Descrizione dei rischi
contrastati
Trattamenti Struttura o persone addette
interessati all’adozione
Ingressi non autorizzati a
locali/aree ad accesso
ristretto
sottrazione di strumenti
contenenti dati
Tutti
Guardiania, Gestione Risorse Umane
eventi distruttivi, naturali o
artificiali (movimenti tellurici,
scariche atmosferiche,
incendi, allagamenti,
condizioni ambientali, ...),
nonché dolosi, accidentali o
dovuti ad incuria
errori umani nella gestione
della sicurezza fisica
carenza di consapevolezza;
disattenzione o incuria;
comportamenti sleali o
fraudolenti;
Tutti
Sistemi e Reti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Tutti
Azione di virus informatici o di
programmi suscettibili di
recare danno;
spamming o tecniche di
sabotaggio;
accessi esterni non
autorizzati;
accessi esterni non
autorizzati;
Legenda

Misure: descrive sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle altre regole
dell’Allegato B del Codice).

Descrizione dei rischi: per ciascuna misura indica sinteticamente i rischi che si intende contrastare (anche qui,
si possono utilizzare le indicazioni fornite dall’Allegato B).

Trattamenti interessati: indica i trattamenti interessati per ciascuna delle misure adottate. Determinate misure
possono non essere riconducibili a specifici trattamenti o banche di dati (ad esempio, con riferimento alle
misure per la protezione delle aree e dei locali).

Struttura o persone addette all’adozione: indica la struttura o la persona responsabili o preposte all’adozione
delle misure indicate.
164
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.10 – Criteri e modalità di
ripristino della disponibilità dei dati
In questa sezione devono essere descritti i criteri e le procedure adottati per il ripristino dei dati in
caso di loro danneggiamento o di inaffidabilità della base dati.
Ripristino
Banca /data
base/archivio di dati
Criteri e procedure per il
salvataggio e il ripristino
dei dati
Trattamenti Lan
Amministrazione
Trattamenti Lan
Produzione
Trattamenti Lan Ricerca
e Sviluppo
Back-up giornaliero su
server
Back-up giornaliero su
server
Back-up giornaliero su
server
Pianificazione delle
prove di ripristino
Mensili
Mensili
Mensili
Legenda
 Banca dati/Data base/Archivio: indica la banca dati, il data base o l’archivio interessati.

Criteri e procedure per il salvataggio e il ripristino dei dati: descrive sinteticamente le
procedure e i criteri individuati per il salvataggio e il ripristino dei dati.

Pianificazione delle prove di ripristino: indica i tempi previsti per effettuare i test di efficacia
delle procedure di salvataggio/ripristino dei dati adottate.
165
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.11 – Pianificazione degli
interventi formativi previsti
In questa sezione occorre riportare le informazioni necessarie per individuare il quadro sintetico degli
interventi formativi che si prevede di svolgere.
Descrizione sintetica degli
interventi formativi
Corso base privacy (autoformazione e online)
Corso privacy per Risorse
umane (auto-formazione e
online)
Classi di incarico o
tipologie di incaricati
interessati
Nuovi assunti
Tempi previsti
Prima di iniziare i
trattamenti
Risorse umane
secondo semestre
2009
Legenda
 Descrizione sintetica degli interventi formativi: sono descritti sinteticamente gli obiettivi e le
modalità dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso
in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori,
programmi o sistemi informatici, ecc) .

Classi di incarico o tipologie di incaricati interessati: sono individuati le classi omogenee di
incarico a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in
riferimento alle strutture di appartenenza.

Tempi previsti: sono indicati i tempi previsti per lo svolgimento degli interventi formativi.
166
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.12 – Trattamenti affidati
all’esterno
In questa sezione occorre è riportato il quadro sintetico delle attività affidate a terzi che comportano
il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché
organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti,
anche all’esterno, per garantire la protezione dei dati stessi.
Descrizione dei
criteri e degli
impegni assunti per
l’adozione delle
misure
Descrizione
sintetica dell’attività Trattamenti di Soggetto
esternalizzata
dati interessati esterno
Outsourcing paghe
Outsourcing logistica
Gestione paghe Società SW1
Gestione
produzione
Società SW2
Nomina a
Responsabile
Nomina a
Responsabile
Legenda
 Descrizione dell’attività “esternalizzata”: è indicata sinteticamente l’attività affidata
all’esterno.

Trattamenti di dati interessati: è indicato se i trattamenti sono relativi a dati, sensibili o
giudiziari, effettuati nell’ambito della predetta attività.

Soggetto esterno: è indicata la società, l’ente o il consulente cui è stata affidata l’attività, e il
ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o
responsabile del trattamento).

Descrizione dei criteri: il tipo di dichiarazione che la società a cui viene affidato il
trattamento rilascia o il tipo di impegno assunto anche su base contrattuale:
1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto;
2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;
3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati
personali o integrazione delle procedure già in essere;
4. impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche
mediante eventuali questionari e liste di controllo- e ad informare immediatamente il
titolare del trattamento in caso di situazioni anomale o di emergenze.
167
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Modulo 3.2.13 – Adempimenti per la
funzione di amministratore di sistema
Come già indicato nel Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore
di sistema” della Lezione 1, Unità didattica 1.3 , il Garante ha imposto185 che, a partire dal 2009,
sia predisposto un “Elenco degli amministratori di sistema e loro caratteristiche”.
Dice il Garante:
“Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della
sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del
Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro
attribuite.
Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della
persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di
garantire il pieno rispetto della normativa in materia di protezione dei dati personali,
compreso il profilo della sicurezza.”
L’elenco può essere predisposto aggiungendo, ad esempio, una nuova colonna nella tabella dei
trattamenti ed aggiungendo il nominativo della persona (nel caso di trattamento interno) o della
società (nel caso di trattamento esternalizzato) che è l’amministratore del sistema.
Natura dei dati
trattati
Descrizione sintetica del trattamento
Finalità perseguita o
attività svolta
Paghe e contributi
Gestione personale
Legge 626 e sicurezza
del personale
185
Categorie di
interessati
Personale
dipendente
Personale
dipendente
Personale
dipendente
S
X
X
X
G
X
X
Struttura di
riferimento
Risorse
Umane
Risorse
Umane
Risorse
Umane
Altre
strutture
(anche
esterne) che
concorrono
al
trattamento
Società
Software 1
Società
Software 1
Società
Sicurezza1
Descrizione
degli strumenti
utilizzati
Amministratori
sistema
PC collegati in
Lan, Internet
• Società Software 1
(esterno)
• Pino White Responsabile Sistemi
e Reti (interno)
PC collegati in
Lan, Internet
• Società Software 1
(esterno)
• Pino White Responsabile Sistemi
e Reti (interno)
Internet, PC
stand Alone
• Società Sicurezza1
(esterno)
• Pino White Responsabile Sistemi
e Reti (interno)
http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831
168
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Fatturazione attiva
Acquisti e gestione
fornitori
Clienti
Fornitori
Contabilità
PC collegati in
Lan, Internet
Pino White Responsabile Sistemi
e Reti
Contabilità
PC collegati in
Lan, Internet
Pino White Responsabile Sistemi
e Reti
PC collegati in
Lan, Internet
• Società Software 2
(esterno)
• Pino White Responsabile Sistemi
e Reti (interno)
PC collegati in
Lan
Pino White Responsabile Sistemi
e Reti
PC collegati in
Lan
• Società Studio legale
1 (esterno)
• Società Studio legale
2 (esterno)
• Pino White Responsabile Sistemi
e Reti (interno)
Società
PC collegati in
Sorveglianza1 Lan
• Società sorveglianza
1 (esterno)
• Pino White Responsabile Sistemi
e Reti (interno)
Ciclo di produzione
Clienti,
fornitori
Produzione
Gestione Qualità
Personale
dipendente
Qualità e
Controlli
Adempimenti societari
Personale
dipendente
Guardania, visitatori
Personale
dipendente,
Visitatori,
Clienti,
Fornitori
Qualità e
Controlli
Clienti,
fornitori
Ricerca e
Sviluppo
Prototipi
X
Qualità e
Controlli
Società
Software 2
Studi legali 1
e2
PC Stand Alone
169
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Pino White Responsabile Sistemi
e Reti
Lezione 3 – Unità didattica 3.2
Nomina ad amministratore di sistema
Egr. Sig. Pino White
Oggetto: Nomina ad “amministratore del sistema”
Ai sensi del “provvedimento” del Garante per la protezione dei dati personali del 27 novembre 2008
recepito nella Gazzetta Ufficiale. n. 300 del 24 dicembre 2008
 dato il rapporto di lavoro con Lei in essere,
 considerando che si è valutato che la sua esperienza, capacità e affidabilità forniscono
idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi
compreso il profilo relativo alla sicurezza
con la presente La nominiamo “Amministratore del sistema” per i trattamenti svolti internamente
in azienda il cui dettaglio è allegato alla presente (e disponibile nella versione corrente del
Documento programmatico sulla Sicurezza).
In tale contesto i suoi compiti consistono in:
 assicurare la custodia delle credenziali per la gestione dei sistemi di autenticazione e di
autorizzazione in uso in azienda;
 predisporre e rendere funzionanti le copie di sicurezza (operazioni di backup e recovery) dei
dati e
 delle applicazioni;
 predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica)
ai sistemi di elaborazione e agli archivi elettronici da parte Sua (nella sua qualità di
“amministratore di sistema”); tali registrazioni (access log) devono avere caratteristiche di
completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al
raggiungimento dello scopo di verifica per cui sono richieste.
Le ricordiamo, che il provvedimento del Garante già citato, obbliga l’azienda alla “verifica” almeno
annuale delle attività svolte dall’amministratore di sistema in modo da controllare la sua
rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati
personali previste dalle norme vigenti.
La preghiamo di restituirci copia della presente, firmata per accettazione e per ricevuta della
documentazione di cui sopra.
Distinti saluti.
Data, __________________
Firma della Società/Titolare del trattamento
---------------------------------------------------------Per ricevuta ed accettazione:
(data e firma) ---------------------------------------170
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Domande di verifica 3.2
Domanda
La redazione del DPS
cade sotto la
responsabilità del
titolare, cioè del legale
rappresentante
dell’azienda o ente.
Prima risposta
Vero.
Il titolare può farsi
coadiuvare nella
redazione del
Documento da un
organo, ufficio o
persona fisica a ciò
legittimata, ad
esempio il
responsabile dei
trattamenti.
L’analisi dei rischi
prevede tre fasi che
nell’ordine sono:
1) elencare gli eventi
potenzialmente
pregiudizievoli
2) valutare il rischio
per tali eventi
3) indicare le
contromisure per
mitigare, eliminare o
gestire tale rischio.
Falso.
Le fasi sono corrette
ma l’ordine giusto è:
1) elencare gli eventi
potenzialmente
pregiudizievoli
3) indicare le
contromisure per
mitigare, eliminare o
gestire tale rischio.
2) valutare il rischio
per tali eventi
Il DPS deve contenere sia il
consuntivo delle attività
formative già svolte sia la
pianificazione delle attività
formative che si intende
svolgere in futuro.
Vero.
IL DPS deve
contenere consuntivo e
pianificazione della
formazione.
Seconda risposta
Vero.
Solo il titolare può
redigere il DPS e non
può farsi coadiuvare
nella redazione del
Documento da un
organo, ufficio o
persona fisica a ciò
legittimata, ad
esempio il
responsabile dei
trattamenti.
Vero.
Fasi e ordine delle fasi
sono corrette.
Terza risposta
Falso.
La redazione del DPS
è una responsabilità
del Responsabile dei
trattamenti. Solo in
mancanza della
nomina del
Responsabile tocca al
Titolare redigere il
DPS.
Vero.
Tuttavia ciò non sarà
più vero dal 30 giugno
2009 in seguito alle
“semplificazioni”
decise dal Garante.
Falso.
Nel DPS va riportata
solo la
“programmazione” dei
piani formativi.
Falso.
Le fasi e l’ordine
corretto sono:
1) valutare il rischio per
gli eventi
potenzialmente
pregiudizievoli
2) indicare le
contromisure per
mitigare, eliminare o
gestire tale rischio
3) elencare gli eventi che
rimangono
potenzialmente rischiosi
anche dopo l’adozione
delle contromisure
171
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.2
Pagina lasciata intenzionalmente bianca
172
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Lezione 3 –
Unità didattica 3.3 – La
protezione dei dati personali
in pratica
Modulo 3.3.1 – Regolamento sulla protezione dei
dati personali
Modulo 3.3.2 – Regolamento su posta elettronica
e Internet
Modulo 3.3.3 – Le verifiche interne
Modulo 3.3.4 – Le verifiche sull’amministratore
di sistema
Domande di verifica 3.3
173
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Modulo 3.3.1 – Regolamento per l’uso
delle risorse informatiche aziendali
Perché un regolamento per l’uso delle risorse informatiche?
Come è stato già osservato nel “Modulo 3.1.2 – Il quadro normativo della sicurezza informatica”
ogni azienda è soggetta, oltre ai requisiti di sicurezza indicati dal ““Codice in materia di
protezione dei dati personali, anche al rispetto di ulteriori obblighi di sicurezza quali quelli
richiesti dalla legge n.48/2008186 sulla “criminalità informatica”. Inoltre i “delitti informatici”
commessi da dirigenti, impiegati e collaboratori dell’azienda sono, sotto certe condizioni, sono tra i
reati presi in considerazione Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina della
responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive
di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300187”: ciò
significa che in caso di “reato informatico” l’azienda, nella figura del suo legale rappresentante,
verrà chiamata a rispondere del reato stesso a meno che l’azienda non abbia provveduto
preventivamente a realizzare un “sistema di controlli” volti a prevenire i reati stessi.
È quindi opportuno che l’azienda, all’atto dell’assunzione del lavoratore, gli comunichi per iscritto
le modalità con le quali deve far uso delle risorse informatiche aziendali ed i relativi doveri.
Attenzione: questo regolamento non sostituisce la “lettera di incarico” prevista dalla normativa
Privacy e di cui si è parlato nel “Modulo 2.1.5 – Le lettere di incarico”: quest’ultima infatti si
riferisce alle modalità di trattamento dei dati personali mentre il regolamento sulle “risorse
informatiche” prende in considerazione l’equipaggiamento informatico di proprietà dell’azienda ed
assegnato al collaboratore (PC, telefono cellulare, eccetera)
Esempio di Regolamento per l’uso delle risorse informatiche
Le risorse informatiche affidate al dipendente (dirigente, collaboratore) quali:




personal computer
telefono cellulare
palmare
(inserire altre tipologie)
sono strumenti di lavoro, di proprietà dell’azienda, assegnati esclusivamente per l’uso professionale.
Il loro utilizzo deve sempre ispirarsi ai principi di diligenza e correttezza.
Pertanto tali risorse informatiche:
 devono essere custodite in modo appropriato;
 possono essere utilizzate solo per fini professionali (in relazione, ovviamente, alle mansioni
assegnate).
186
187
http://www.senato.it/service/PDF/PDFServer/BGT/00298813.pdf
http://www.complianceaziendale.com/2008/02/struttura-del-d-lgs-8-giugno-2001-n.html
174
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
In caso di furto, danneggiamento o smarrimento di tali strumenti si deve immediatamente segnalare
il fatto al’ Ufficio “Sistemi e Reti” ed al proprio responsabile diretto..
In particolare.
Uso del personal computer:
 è vietato installare nuovi programmi o disinstallare programmi già forniti con il PC;
 non è consentito utilizzare strumenti software e/o hardware atti a intercettare, falsificare,
alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici;
 non è consentito modificare le configurazioni impostate sul proprio P.C.
 non è consentita l’installazione sul proprio P.C. di mezzi di comunicazione telematica propri
come, ad esempio, i modem.
Uso dei supporti magnetici:
 è vietato copiare, duplicare, scaricare file contenuti in supporti magnetici/ottici non aventi
alcuna attinenza con la propria prestazione lavorativa;
 gli archivi e file di provenienza incerta o esterna, ancorché attinenti all’attività lavorativa,
devono essere sottoposti al controllo antivirus.
Uso della rete aziendale
Le unità di rete sono aree di condivisione di informazione ad uso esclusivamente professionale e
non possono, in alcun modo, essere utilizzate per scopi diversi. Dunque nessun archivio, file,
immagine o documento che non sia legato all’attività lavorativa può essere memorizzato, nemmeno
per brevi periodi, in queste unità.
Nota bene.
L’azienda si riserva la facoltà di verificare, nel rispetto della legge, sul rispetto di tale regolamento
anche con l’utilizzo di procedure automatizzate. L’azienda si riserva altresì la facoltà di procedere
alla rimozione di ogni file, archivio, documento, immagine o applicazione che riterrà essere
pericolosi per la sicurezza del sistema, ovvero acquisiti o installati in violazione del presente
regolamento.
175
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Modulo 3.3.2 – Regolamento su posta
elettronica e internet
Perché un regolamento per email e Internet?
È opportuno che l’azienda si doti di un “regolamento” specifico anche sull’uso della posta
elettronica e di Internet questo sia per i motivi già indicati nel precedente modulo sia perché, come
già ricordato nel “Modulo 2.2.6 – Linee guida del Garante per posta elettronica e internet” (Lezione
2, Unità Didattica 2) nel marzo 2007 il Garante per la protezione dei dati personali ha reso
pubbliche le “Linee guida” del Garante per posta elettronica e internet188 che forniscono concrete
indicazioni in ordine all'uso dei computer sul luogo di lavoro.
L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo
dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla
possibilità che vengano effettuati controlli.
Il Codice stabilisce che l’attività di controllo deve rispettare il principio di “proporzionalità” (art. 3),
deve avvenire nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità
dell'interessato (art. 2) e soprattutto, che di tale attività, debba essere fornita adeguata e preventiva
informativa (art. 13).
Esempio di Regolamento per l’uso della posta elettronica e Internet
Posta elettronica
La casella di posta elettronica assegnata è uno strumento di lavoro e deve essere utilizzata
esclusivamente per uso professionale. La persona a cui viene assegnata la casella di posta
elettronica è responsabili del corretto utilizzo della stessa.
Ogni messaggio di posta elettronica trasmesso o ricevuto e che contenga contenuti importanti per
l’azienda o impegni contrattuali o precontrattuali deve essere “inoltrato” (forward) o posto a
conoscenza (CC) al proprio responsabile.
Gli allegati ai messaggi di posta elettronica devono essere controllati dall’antivirus prima di essere
aperti.
In caso di ferie o attività di lavoro fuori sede dell’assegnatario della casella o comunque in
previsione della possibilità che all’assegnatario non sia possibile accedere alla propria casella di
posta elettronica, l’assegnatario deve attivare la modalità di inoltro automatico ad un altro indirizzo
di posta elettronica; nel caso l’assegnatario non possa attivare l’inoltro questo verrà attivato a cura
dell’azienda.
In caso di cessazione del rapporto di lavoro, passati dieci giorni dalla comunicazione fra le parti
della risoluzione, le credenziali di accesso alla casella di posta elettronica riconducibile
univocamente all’assegnatario ([email protected]) saranno revocate. La casella
rimarrà attiva per ulteriori 60 giorni e successivamente definitivamente cancellata.
Internet
188
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522
176
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Internet è uno strumento di lavoro e deve essere utilizzato esclusivamente per uso professionale. La
persona a cui sono assegnate le risorse informatiche necessarie per l’uso di Internet è responsabili
del corretto uso delle stesse.
È esplicitamente vietato:
 la navigazione in siti a contenuto sessuale, con finalità di gioco d’azzardo, dedicato
all’intrattenimento o di aste online;
 scaricare (download) o caricare (upload) software di qualsiasi tipo;
 riprodurre musica, film, notiziari;
 la registrazione, con le credenziali aziendali, a siti i cui contenuti non siano strettamente
legati all'attività lavorativa;
 la partecipazione a forum, chat line, bacheche elettroniche;
Nota bene.
L’azienda si riserva la facoltà di verificare, nel rispetto della legge, sul rispetto di tale regolamento
anche con l’utilizzo di procedure automatizzate. L’azienda si riserva altresì la facoltà di procedere
alla rimozione di ogni file, archivio, documento, immagine o applicazione che riterrà essere
pericolosi per la sicurezza del sistema, ovvero acquisiti o installati in violazione del presente
regolamento.
177
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Modulo 3.3.3 – Le verifiche interne
Responsabilità in eligendo, in vigilando e due diligence
L’articolo 29, comma 5, del “Codice in materia di protezione dei dati personali”189 recita che “il
responsabile (interno o esterno ndr) effettua il trattamento attenendosi alle istruzioni impartite dal
titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle
disposizioni di cui al comma 2 e delle proprie istruzioni”.
Il succitato comma 2 a sua volta dice “se designato, il responsabile è individuato tra soggetti che per
esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti
disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”.
In poche parole: il titolare del trattamento non può limitarsi a nominare i responsabili del
trattamento dando loro istruzioni ma deve:
 assicurarsi che i responsabili abbiano le caratteristiche giuste per ricoprire tale ruolo
(responsabilità in eligendo);
 deve vigilare che responsabili rispettino le istruzioni ricevute (responsabilità in vigilando).
Quanto sopra riportato nei confronti dei responsabili del trattamento è stato ripetuto dal Garante per
la protezione dei dati personali in occasione del provvedimento “Misure e accorgimenti (…)
relativamente alle attribuzioni delle funzioni di amministratore di sistema”190 del 27 novembre
2008, in G.U. n. 300 del 24 dicembre 2008 e dove il Garante usa per la prima volta l’espressione
“due diligence” per indicare “gli accorgimenti e misure, tecniche e organizzative, volti ad agevolare
l'esercizio dei doveri di controllo da parte del titolare" in relazione alle mansioni svolte dagli
amministratori di sistema.
Su chi deve "vigilare" il titolare?
Il titolare deve esercitare, in modo strutturato e periodico, direttamente la sua responsabilità “in
vigilando” nei confronti di:
 responsabili interni da lui direttamente (o indirettamente) nominati;
 incaricati (o per meglio dire "classi di incaricati": marketing, risorse umane, sistemi
informativi, consulenti esterni, ecc.)
 amministratori di sistema interni;
 responsabili esterni;
 società terze non nominate "responsabili esterni" ma che tuttavia gestiscono in un modo o
nell’altro trattamenti del titolare (ad esempio: contitolari, titoli autonomi, outsourcer, ecc.).
Il titolare deve esercitare inoltre, anche qui in modo strutturato e periodico, ma indirettamente la sua
responsabilità “in vigilando” nei confronti di:
 amministratori di sistema nominati dai responsabili esterni, dai (sub)responsabili esterni, da
società terze non nominate "responsabili esterni".
189
190
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
178
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Il “sub-responsabile”
Se il responsabile esterno (chiamiamolo B) nominato dal Titolare (chiamiamolo A) a sua volta si
avvale di un outsourcer (chiamiamolo C) allora il “sub-responsabile” C deve essere nominato
responsabile da parte del titolare A (salvo il caso specifico descritto in coda) ovvero se esso é una
persona fisica (o anche più di una) deve essere nominato incaricato dal responsabile B
autonomamente.
In linea di principio il responsabile B non può nominare (per i trattamenti che gestisce per conto di
A) direttamente un sub-responsabile C.
In certi casi (ma non pare che il Garante si sia mai pronunciato ufficialmente sulla liceità di tale
comportamento) è accaduto che un titolare abbia delegato a tutti gli effetti con delega legale un
Responsabile a nominare per SUO conto altri responsabili per trattamenti o parti di essi che il
titolare ha affidato al responsabile delegato.
In tal caso il Responsabile opererebbe per delega legale a tutti gli effetti per conto del Titolare che
lo ha nominato. In questa fattispecie è opportuno che nella delega sia specificata una clausola di
approvazione dell'operato del delegato e l’assunzione di responsabilità in merito alla idoneità delle
nomine effettuate e della verifica sull'operato di chi é nominato richiamando eventualmente gli
articoli del Codice.
A chi deve “rispondere” il titolare?
Il titolare può essere chiamato a rispondere (e quindi a dover documentare e dimostrare il suo
operato) della sua responsabilità in eligendo, in vigilando e in generale delle due diligence effettuate
a diverse categorie di “stakeholder” (termine molto in voga per indicare i "portatori d interessi" ciò
coloro che hanno titolo per richiedere che i loro interessi e/o diritti siano garantiti).
 Autorità:
o Garante Privacy
o Magistratura, Forze di polizia
o Organismi di vigilanza (ad esempio Banca d’Italia nel caso di intermediari finanziari)
 Organismi di controllo interno:
o Consiglio di Amministrazione
o Collegio Sindacale
o Comitati vari di controllo, sicurezza, audit
o Compliance Officer (della società e del gruppo)
o Internal Audit (della società e del gruppo)
o Revisori dei Conti
o Certificatori (Iso9001 ed affini)
o Responsabile della Business Continuity (della società e del gruppo)
 “Interessati” che intendono esercitare il loro “diritto di accesso”:
o Dipendenti,
o clienti,
o fornitori
o e chiunque voglia esercitare tale diritto.
179
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Il “Privacy Compliance Plan” del titolare
A fronte di tali e tanti adempimenti è opportuno che il titolare adotti un approccio proattivo e che
definisca all’inizio di ogni anno e comunque entro il 31 marzo (data di aggiornamento del
Documento Programmatico sulla Sicurezza) un vero e proprio “Privacy Compliance Plan”, cioè un
elenco articolato delle verifiche che saranno svolte rispetto agli adempimenti sopra delineati nel
corso dei successivi 12 mesi.
Perché il piano sia plausibile occorre che contenga (almeno) i seguenti elementi:





attività da svolgere
tempi di completamento previsti
risorse aziendali dedicate a ciascuna attività
deliverable per ciascuna attività
rapporto di fine attività.
180
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Modulo 3.3.4 – Le verifiche
sull’amministratore di sistema
Come già ricordato, il Garante per la protezione dei dati personali ha imposto che sia predisposto un
“elenco degli amministratori di sistema e loro caratteristiche”.
Questo nuovo adempimento non si esaurisce nella mera predisposizione di una nuova lettera di
incarico o nella modifica di quella già esistente ma richiede al titolare una serie di “misure e
accorgimenti” e, non ultimi, di “adempimenti in ordine all'esercizio dei doveri di controllo da parte
del titolare (due diligence)” sulle attività dell’amministratore.
Il nuovo adempimento in sintesi
Con il provvedimento a carattere generale del 27 novembre 2008 dal titolo “Misure e accorgimenti
(…) relativamente alle attribuzioni delle funzioni di amministratore di sistema”191, pubblicato sulla
G.U. n. 300 del 24 dicembre 2008, il Garante per la protezione dei dati personali impone ai titolari
di trattamenti di dati personali (anche solo in parte gestiti mediante strumenti elettronici) di
predisporre un “elenco degli amministratori di sistema e loro caratteristiche”.
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni
ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza, oppure,
nei casi in cui il titolare non sia tenuto a redigere il DPS, annotati comunque in un documento
interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.
Nella pratica occorre:
 individuare coloro che ricadono nella categoria di “amministratore di sistema”;
 valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali “amministratore
di sistema” che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni
in materia di trattamento ivi compreso il profilo relativo alla sicurezza;
 designare tali “amministratore di sistema” in modo individuale con l'elencazione analitica
degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;
 verificare l'operato degli amministratori di sistema, con cadenza almeno annuale, in modo da
controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai
trattamenti dei dati personali previste dalle norme vigenti;
 registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli
amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica).
Sono esclusi dall'ambito applicativo del presente provvedimento i titolari di alcuni trattamenti
effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi
per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25
191
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
181
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv.
Garante 6 novembre 2008).
Cosa si intende per amministratore di sistema?
Il primo punto di riflessione riguarda l’individuazione di coloro che ricadono nella categoria di
“amministratore di sistema”.
Tale figura, anche se non esplicitamente indicata nel “Codice in materia di protezione dei dati
personali”192 era prevista, viceversa, dal d.P.R. 318/1999 (abrogato dal Codice) che definisce
l'amministratore di sistema il “soggetto al quale è conferito il compito di sovrintendere alle risorse
del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione”
(art. 1, comma 1, lett. c).
Nel provvedimento del 27 novembre 2008 il Garante dice che con “amministratore di sistema” si
individuano figure professionali finalizzate alla gestione e alla manutenzione di un impianto di
elaborazione o di sue componenti e che sono considerate tali anche altre figure equiparabili dal
punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli
amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi e
ciò anche quando l'amministratore non consulti “in chiaro” le informazioni relative ai trattamenti di
dati personali.
Come si valutano le capacità dell’amministratore di sistema?
Il titolare, prima di procedere alla nomina, deve valutare l'esperienza, la capacità e l'affidabilità dei
soggetti designati quali “amministratore di sistema” che devono fornire idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla
sicurezza.
In che modo ciò può essere svolto (ed eventualmente dimostrato al Garante in caso di
ispezione)?
È ovvio che si parte dal presupposto che chi di fatto svolge già oggi la funzione di amministratore di
sistema sia in grado si svolgere la propria funzione; è opportuno allora predisporre una sorta di
curriculum vitae di ciascun amministratore che indichi chiaramente titoli di studio, certificazioni
professionali, esperienze professionali, corsi di formazione già svolti. Il CV deve essere datato e
firmato sia dall’amministratore che dal titolare. L’indicazione dei percorsi formativi svolti specie
per gli ambiti non prettamente tecnologici ma relativi invece alle problematiche della privacy e
della protezione dei dati personali assume un valore particolarmente importante per il “rispetto della
garanzia delle vigenti disposizioni”. L’amministratore di sistema non può essere solo un bravo
tecnico ma deve conoscere la normativa sulla privacy.
Designazione dell’amministratore di sistema.
Occorre predisporre una lettera di "incarico" specifica che contenga:
 attestazione che l’incaricato ha le caratteristiche richieste dalla legge;
 elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di
autorizzazione assegnato;
192
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
182
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
 indicazione delle “verifiche” almeno annuali che il titolare svolgerà sulle attività svolte
dall’amministratore di sistema;
 indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed
eventualmente a terzi nei modi richiesti dalla legge.
Cos’è una "due diligence"?
Il Garante nel provvedimento del 27 novembre 2008 sull’amministratore di sistema usa per la prima
volta l’espressione “due diligence” per indicare “gli accorgimenti e misure, tecniche e
organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare” in relazione
alle mansioni svolte dagli amministratori di sistema.
Come è noto, nell’ambito dell’internal audit e dell’information security con “due diligence” si
intende un’attività di analisi e verifica volta al raggiungimento di un parere di conformità
(compliance) in relazione a particolari attività anche in relazione ai possibili rischi ed ai relativi
impatti.
Caratteristica della “due diligence” è inoltre, a fronte dei risultati ottenuti, la predisposizione di un
piano di (eventuali) azioni correttive.
In sintesi l’output della due diligence del titolare sull’amministratore di sistema deve consistere
almeno nei seguenti elementi:
1. giudizio di conformità sugli adempimenti richiesti;
2. valutazione dei possibili rischi (e relativi impatti);
3. indicazioni dei possibili interventi (se necessari o opportuni).
Giudizio di conformità sugli adempimenti richiesti
Il giudizio di conformità viene realizzato dal titolare o da una terza parte indipendente rispetto ai
sistemi informativi (ad esempio l’Internal Audit) mediante la verifica del rispetto degli adempimenti
richiesti. A riguardo può essere utile utilizzare una "check list di controllo" come quella di seguito
riportata.
183
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Giudizio di conformità sugli adempimenti richiesti
Obiettivi di controllo
Presidio
Verifica effettuata
Grado di conformità
Il regolamento aziendale XX prevede che
l’inizio di qualsiasi nuovo trattamento di
dati personali sia comunicato al
responsabile aziendale della privacy che
provvede ad aggiornare il censimento dei
trattamenti
È stata presa visione dell’ultimo
censimento dei trattamenti disponibile
presso il responsabile aziendale della
privacy e verificato che fosse completo.
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
Nei contratti di outsourcing sono inserite
clausole specifiche a riguardo.
Almeno una volta l’anno viene richiesto
l’aggiornamento della lista degli
amministratori di sistema
È stata presa visione degli elenchi forniti
dagli outsourcer.
Censimento dei trattamenti
Tutti i trattamenti di dati personali
effettuati (anche in parte) mediante
strumenti elettronici sono censiti e sono
indicati i relativi "amministratori di
sistema".
Se i trattamenti sono affidati a terze parti
queste hanno comunicato al Titolare
l’elenco dei relativi "amministratori di
sistema".
Note (per 3 o 4):
______________
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
Note (per 3 o 4):
______________
Se il trattamento comprende, "anche
indirettamente servizi o sistemi che
trattano o che permettono il trattamento
di informazioni di carattere personale di
lavoratori" è stata resa nota e conoscibile
l'identità degli amministratori di sistema
nell'ambito delle proprie organizzazioni.
L’informativa ai dipendenti prevede tale
comunicazione.
L’ufficio Formazione cura attraverso la
intranet aziendale gli aggiornamenti al
personale relativi a tale adempimento.
È stata presa visione delle lettere di
incarico.
È stata consultata la intranet per
verificare la presenza di tali
comunicazioni.
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
Note (per 3 o 4):
______________
Lettera di incarico
184
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Unità didattica 3.3
Per ogni "amministratore di sistema" è
disponibile la lettera di incarico
comprendente (al minimo):




Esiste uno standard di lettera di incarico
ad "amministratore di sistema" che
prevede le caratteristiche richieste dalla
legge.
È stata acquisita copia dello standard.
attestazione che l’incaricato ha le
caratteristiche richieste dalla legge;
elencazione analitica degli ambiti di
operatività richiesti e consentiti in base
al profilo di autorizzazione assegnato;
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
Note (per 3 o 4):
______________
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
indicazione delle "verifiche" almeno
annuali che il titolare svolgerà sulle
attività svolte dall’amministratore di
sistema;
Note (per 3 o 4):
______________
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
indicazione che la nomina ed il relativo
nominativo sarà comunicato al personale
ed eventualmente a terzi nei modi
richiesti dalla legge.
Note (per 3 o 4):
______________
Elenco degli amministratori
Gli estremi identificativi delle persone
fisiche nominate "amministratori di
È stato predisposto un "elenco degli
È stato acquisito il DPS e l’allegato
amministratori" ed allegato al Documento relativo all’elenco degli amministratori
185
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
Lezione 3 – Unità didattica 3.3
sistema", con l'elenco delle funzioni ad
essi attribuite, sono stati riportati nel
Documento Programmatico sulla
Sicurezza, oppure, nei casi in cui il
titolare non sia tenuto a redigerlo,
annotati comunque in un documento
interno da mantenere aggiornato e
disponibile in caso di accertamenti anche
da parte del Garante.
______
4) Non applicabile ___
Programmatico sulla Sicurezza.
Note (per 3 o 4):
______________
Registrazione degli accessi
È adottato un idoneo sistema per la
registrazione degli accessi logici
(autenticazione informatica) ai sistemi di
elaborazione e agli archivi elettronici da
parte degli amministratori di sistema.
In azienda è in uso il sistema ABC di
gestione degli accessi logici; tale sistema
prevede il log degli accessi.
È stata presa visione del sistema ABC e
del manuale che ne descrive le
caratteristiche
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
Note (per 3 o 4):
______________
Tali registrazioni (access log) hanno
caratteristiche di completezza,
inalterabilità e possibilità di verifica della
loro integrità adeguate al raggiungimento
dello scopo di verifica per cui sono
richieste.
Il log degli accessi relativi agli
amministratori di sistema è protetto con
credenziali specifiche che sono custodite
dal Direttore Generale in busta sigillata
dentro una cassaforte. Il DG non è a
conoscenza delle credenziali. In caso di
necessità le credenziali sono date in uso
al personale tecnico e poi modificate e
nuovamente assegnate al Direttore
Generale.
Il sistema ABC di gestione dei log
mantiene copia inalterabile dei log.
È stata presa visione delle credenziali
riservate custodite dal Direttore Generale.
È stata presa visione del sistema ABC e
del manuale che ne descrive le
caratteristiche.
186
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
Note (per 3 o 4):
______________
Lezione 3 – Unità didattica 3.3
Le registrazioni comprendono i
riferimenti temporali e la descrizione
dell'evento che le ha generate e sono
conservate per un congruo periodo, non
inferiore a sei mesi.
I log sono conservati per sei mesi.
Sono stati visionati i log.
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
Note (per 3 o 4):
______________
Verifiche del titolare
L'operato degli amministratori di sistema
è verificato, con cadenza almeno annuale,
in modo da controllare la sua rispondenza
alle misure organizzative, tecniche e di
sicurezza rispetto ai trattamenti dei dati
personali previste dalle norme vigenti.
Annualmente, in occasione
dell’aggiornamento del Documento
Programmatico sulla Sicurezza, viene
verificato il rispetto degli obblighi
normativi relativi all’amministratore di
sistema.
È stata compilata la presente check list in
occasione dell’aggiornamento del DPS:
Per i trattamenti affidati a terze parti,
queste hanno attestato per iscritto di aver
effettuato, con cadenza almeno annuale,
le verifiche sui relativi amministratori di
sistema in modo da controllare la
rispondenza alle misure organizzative,
tecniche e di sicurezza rispetto ai
trattamenti dei dati personali previste
dalle norme vigenti.
Annualmente, in occasione
dell’aggiornamento del Documento
Programmatico sulla Sicurezza, viene
richiesta alle terze parti che hanno in
outsourcing trattamenti di dati personali
dell’azienda, l’attestazione sulle verifiche
del rispetto degli obblighi normativi
relativi all’amministratore di sistema.
Sono state visionate le attestazioni da
parte degli outsourcer.
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
Note (per 3 o 4):
______________
187
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
1) Conforme _____
2) Non conforme ___
3) Parzialmente conforme
______
4) Non applicabile ___
Note (per 3 o 4):
______________
Lezione 3 – Unità didattica 3.3
Valutazione dei possibili rischi (e relativi impatti)
Il giudizio di conformità può portare all’individuazione di possibili rischi in particolare nel caso siano evidenziati “obiettivi di controllo” non
completamente compliant.
Vediamo un esempio.
Obiettivi di controllo
Grado di conformità
Censimento dei trattamenti
Lettera di incarico
Elenco degli amministratori
Conforme
Conforme
Parzialmente conforme
Registrazione degli accessi
Parzialmente conforme
Verifiche del titolare
Parzialmente conforme
Note sul grado di conformità
Rischi
Impatti
Mancano le liste relative a due Rischio di accesso non
società terze nominate
autorizzato
responsabili del trattamento.
Rischio di trattamento non
consentito o non conforme
alle finalità della raccolta
Tecnicamente non si ha
Rischio di distruzione o
evidenza del fatto che i log
perdita, anche accidentale, dei
non siano effettivamente
dati
modificabili.
Rischio di accesso non
autorizzato
Rischio di trattamento non
consentito o non conforme
alle finalità della raccolta
sanzione da 20.000 a
120.000 euro
Non esistono piani di
formazione volti ad un
costante aggiornamento degli
amministratori di sistema in
relazione agli adempimenti di
legge.
sanzione da 20.000 a
120.000 euro
Mancata adozione di misure
minime di sicurezza
188
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
sanzione da 20.000 a
120.000 euro
Lezione 3 – Unità didattica 3.3
Indicazioni dei possibili interventi (se necessari o opportuni)
Di seguito un esempio di piano di azione in relazione ai rischi e agli impatti evidenziati.
Obiettivi di controllo
Elenco degli amministratori
Registrazione degli accessi
Verifiche del titolare
Note sul grado di conformità
Mancano le liste relative a due
società terze nominate responsabili
del trattamento.
Tecnicamente non si ha evidenza
del fatto che i log non siano
effettivamente modificabili
Non esistono piani di formazione
volti ad un costante aggiornamento
degli amministratori di sistema in
relazione agli adempimenti di legge
Azione
Ottenere le liste mancanti.
Disdire il contratto in mancanza
delle liste entro 30 giorni.
Individuare una soluzione che
garantisca l’immodificabilità dei
log.
Aggiornare il piano di
formazione degli amministratori
di sistema.
189
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Data di completamento In carico a
1 giugno 2009
Ufficio Legale
30 luglio 2009
Sistemi informativi
15 aprile 2009
Ufficio Formazione
Lezione 3 – Unità didattica 3.3
Domande di verifica 3.3
Domanda
Nel caso sia stata già
consegnata la “lettera
di incarico” non è
necessario redigere il
regolamento sulle
risorse informatiche
aziendali.
Prima risposta
Falso.
Lettera di incarico e
Regolamento
aziendale rispondono a
due adempimenti
diversi.
Seconda risposta
Falso.
Il regolamento sulle
risorse informatiche
aziendali è
obbligatorio ai sensi
della legge n.48 sui
crimini informatici.
Terza risposta
Vero.
La lettera di incarico
comprende già le
istruzioni su come
usare le risorse
informatiche aziendali.
È sempre vietato usare
la casella di posta
elettronica aziendale
per attività personali.
Vero.
Ciò è esplicitamente
richiesto dal d.lgs.
231-01 sulla
responsabilità
amministrativa degli
enti.
Falso.
Dipende dalla politica
adottata dall’azienda e
comunicata ai
dipendenti all’atto
dell’assunzione
È opportuno che
l’operato
dell’amministratore di
sistema sia sottoposto
a verifiche periodiche
da parte del titolare.
Vero.
Ciò è esplicitamente
richiesto dal
provvedimento del
Garante del novembre
2008.
Falso.
Ciò è esplicitamente
vietato dal
provvedimento del
Garante del novembre
2008.
Vero.
Anche se non
esplicitamente indicato
la giurisprudenza
ritiene che in ogni caso
l’uso “personale” si
beni aziendali sia
censurabile.
Falso.
Per quanto non
esplicitamente vietato
dal provvedimento del
Garante del novembre
2008, la verifica
sull’operatore
dell’amministratore di
sistema è considerato
in contrato con lo
Statuto dei lavoratori..
.
190
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Risposte alle domande di verifica
Risposte alle domande di
verifica della lezione 3
Domande di verifica 3.1 e risposte corrette
Domanda
Le misure minime di
sicurezza sono
obbligatorie; tutte le
altre sono facoltative
Nel DPS è
obbligatorio inserire
l’analisi dei rischi sui
dati personali.
Una azienda certificata
ISO 27002 (qualità)
non ha bisogno di
redigere il DPS.
Seconda risposta
Falso.
Le “misure minime”
sono solo una parte
degli accorgimenti
obbligatori in
materia di sicurezza
in quanto vi è anche
l’obbligo di adottare
ogni altra misura di
sicurezza idonea alla
protezione dei dati
(art. 31).
Terza risposta
Vero.
Si tratta di uno degli
elementi obbligatori
del DPs.
Falso.
La certificazione ISO
27002 è volontaria e
non ha nulla a che
fare con gli obblighi
di legge.
Domande di verifica 3.2 e risposte corrette
Domanda
La redazione del DPS
cade sotto la
responsabilità del
titolare, cioè del legale
rappresentante
dell’azienda o ente.
Prima risposta
Vero.
Il titolare può farsi
coadiuvare nella
redazione del
Documento da un
organo, ufficio o
persona fisica a ciò
legittimata, ad
esempio il
responsabile dei
Seconda risposta
Terza risposta
191
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Risposte alle domande di verifica
trattamenti.
L’analisi dei rischi
prevede tre fasi che
nell’ordine sono:
1) elencare gli eventi
potenzialmente
pregiudizievoli
2) valutare il rischio
per tali eventi
3) indicare le
contromisure per
mitigare, eliminare o
gestire tale rischio.
Il DPS deve contenere sia il
consuntivo delle attività
formative già svolte sia la
pianificazione delle attività
formative che si intende
svolgere in futuro.
Vero.
Fasi e ordine delle
fasi sono corrette.
Vero.
IL DPS deve
contenere consuntivo
e pianificazione della
formazione.
Domande di verifica 3.3 e risposte corrette
Domanda
Nel caso sia stata già
consegnata la “lettera
di incarico” non è
necessario redigere il
regolamento sulle
risorse informatiche
aziendali.
È sempre vietato usare
la casella di posta
elettronica aziendale
per attività personali.
Prima risposta
Falso.
Lettera di incarico e
Regolamento
aziendale rispondono
a due adempimenti
diversi.
È opportuno che
l’operato
dell’amministratore di
sistema sia sottoposto
a verifiche periodiche
da parte del titolare.
Vero.
Ciò è esplicitamente
richiesto dal
provvedimento del
Garante del
novembre 2008.
Seconda risposta
Terza risposta
Falso.
Dipende dalla
politica adottata
dall’azienda e
comunicata ai
dipendenti all’atto
dell’assunzione
192
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 3 – Caso di studio c – parte seconda
Pagina lasciata intenzionalmente bianca
193
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Diritto d’accesso
Lezione 4 Diritto d’accesso
Caso di studio D – Gestire i diritti degli interessati
Unità Didattica 4.1 – Adempimenti richiesti per il diritto
d’accesso
Unità Didattica 4.2 – Organizzare il diritto d’accesso
Risposte alle domande di verifica della lezione 4
194
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Diritto d’accesso
Obiettivi di apprendimento
 Cos’è il diritto di accesso?
 Quali sono i diritti degli interessati?
 Quali sono gli obblighi per le aziende?
A chi si rivolge questa lezione?
La lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed
incaricati dei trattamenti degli uffici che si occupano di aspetti legali,
contenzioso, reclami, customer satisfaction.
Concetti chiave:
 Diritto di accesso.
 Art. 7 del Codice in materia di protezione dei dati personali.
 Casi reali in cui è intervenuto il Garante in relazione al diritto d’accesso.
 Adempimenti aziendali.
Percorso formativo
•
•
•
Corso per Responsabile dei trattamenti
Corso per Responsabile dei trattamenti con video sorveglianza
Corso per Responsabile dei trattamenti di marketing
195
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Caso di studio D
Lezione 4 –
Caso di studio D Gestire i diritti degli
interessati
196
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Caso di studio D
Eccomi di nuovo in Arcobaleni196193, l’azienda per cui ho svolto una serie di consulenze in ambito
privacy. Stavolta mi ha contattato la dottoressa Carmela Rossetti della funzione “Qualità e
Controlli”: vuole dei chiarimenti sul tema del “diritto di accesso” secondo la normativa della
privacy.
“Buongiorno ingegner Marcelli” mi saluta
Rossetti facendomi accomodare nella sua stanza.
Mi offre un caffè e parliamo un po’ del più e del
meno prima di entrare in argomento. Alla fine
affrontiamo il problema.
“Insomma caro ingegnere, può spiegarmi cos’è
questo diritto di accesso? Secondo alcuni
chiunque può rivolgersi ad Arcobaleni196 e
pretendere di sapere se trattiamo i suoi dati
personali! Ma come è possibile? Noi non siamo
mica una banca: dobbiamo pur lavorare senza
essere interrotti ogni momento da qualcuno che
reclama per la privacy!”
“In verità è proprio come ha detto lei, dottoressa” le risposndo “Il Codice in materia di protezione
dei dati personali194 stabilisce una serie di diritti di cui gode qualunque "interessato", cioè qualsiasi
persona fisica, giuridica, ente o associazione cui si riferiscono i dati personali195.”
“E si può sapere, una volta per tutte, quali sono questi diritti?”
“L’interessato ha il diritto di:
 sapere come i propri dati sono stati ottenuti dal titolare, chi all’interno
dell’organizzazione del titolare tratta in pratica tali dati, quali sono le finalità dei trattamenti
effettuati;
 ottenere la rettifica dei propri dati personali se questi non sono aggiornati o completi;
 opporsi al trattamento dei propri dati personali (se ciò non è in contrasto con eventuali altri
obblighi contrattuali o di legge); l’opposizione è sempre valida se le finalità del trattamento
sono l’invio di materiale pubblicitario o di vendita diretta o ricerche di mercato o
comunicazione commerciale.“
193
http://www.arcobaleni196.it/
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
195
http://www.compliancenet.it/content/glossario-privacy#Interessato
194
197
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Caso di studio D
“Ma allora cosa dobbiamo fare? Il cavalier Arcobaleni è particolarmente preoccupato da
quest’aspetto. Non vorremmo che dopo aver fatto tanto per metterci in regola sugli aspetti
normativi196 e di sicurezza197, venissimo sanzionati proprio per il mancato rispetto del diritto di
accesso!”
“Occorre predisporre una serie di regole aziendali, o procedure organizzative se lei preferisce, che
permettano ad Arcobaleni196 di gestire questo tipo di adempimenti. Permette però una domanda,
dottoressa?”
“Certo ingegnere, dica pure.”
“Lei è la responsabile aziendale della "Qualità". Sicuramente avrete una procedura per la gestione
dei reclami dei clienti, giusto?”
“Naturalmente sì! Siamo certificati ISO9001 e curiamo moltissimo il rapporto con i nostri clienti”
“Perfetto. Possiamo partire dalla vostra procedura reclami e "modificarla" per tener conto dei
"reclami privacy". Tutto molto semplice. Mi permetta però un’altra domanda.”
“Dica pure.”
“In che modo i vostri clienti insoddisfatti possono contattarvi per reclamare? Li obbligate, che so,
a mandarvi una raccomandata o almeno un fax?”
“Certamente no! Non sarebbe nello spirito della qualità creare difficoltà ai nostri clienti nelle
comunicazioni con la nostra azienda. Accettiamo telefonate, email … Ovviamente anche fax, lettere
cartacee, raccomandate, telegrammi …. Nell’home page del nostro sito, in gran evidenza, è
spiegato come rivolgersi all’ufficio Qualità per segnalare qualsiasi problematica. Ci teniamo molto
perché un cliente che protesta per noi è un segnale importantissimo che dobbiamo agire per
migliorare qualche aspetto dei nostri servizi. Il cavalier Arcobaleni dice sempre: il nostro miglior
cliente è il cliente che protesta perché ci aiuta a migliorare!”
“Perfetto dottoressa Rossetti. Tutto ciò è perfettamente in linea con lo spirito della legge sulla
Privacy anche per gli aspetti che riguardano il diritto di accesso. Direi di procedere su due direttive:
1. riepilogare gli adempimenti richiesti dal diritto d’accesso
2. predisporre le procedure ed i regolamenti necessari per gestire il diritto d’accesso in
azienda”.
196
197
Lezione 2
Lezione 3
198
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Caso di studio D
Inizia il corso…
199
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Lezione 4 –
Unità didattica 4.1 –
Adempimenti richiesti per il
diritto d’accesso
Modulo 4.1.1 – Mini glossario
Modulo 4.1.2 – Diritti dell’interessato
Modulo 4.1.3 – Adempimenti
Modulo 4.1.4 – Quesiti frequenti
Modulo 4.1.5 – Modello per esercitare il diritto
d’accesso
Modulo 4.1.6 – Interventi più rilevanti del
Garante sul diritto d’accesso
Domande di verifica 4.1
200
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Modulo 4.1.1 – Mini glossario
Diritti degli
interessati
Interessato
Titolare
Dato personale
La disciplina di protezione dei dati personali attribuisce a ciascun interessato il
diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti
previsti dall'art. 7 del Codice.
La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono
i dati personali.
Il “titolare del trattamento”, è l’entità che esercita un potere decisionale del
tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il
profilo della sicurezza" (art. 28 del Codice). In particolare, nell'ambito dello
svolgimento dell'attività economica, “titolare del trattamento” può essere la
persona fisica (si pensi all'imprenditore individuale) o giuridica (ad esempio, la
società) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la
diffusione). Il “titolare del trattamento” è chiamato ad attuare gli obblighi in
materia (riassunti nella presente Guida) e, se ritiene di designare uno o più
responsabili del trattamento, è tenuto a vigilare sulla puntuale osservanza delle
istruzioni da impartire loro.
Qualunque informazione relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale.
Vai al glossario completo sulla Privacy198
198
http://www.compliancenet.it/content/glossario-privacy
201
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Modulo 4.1.2 – Diritti dell’interessato
Il “Codice in materia di protezione dei dati personali”199 prevede all'articolo 7 che chiunque possa
conoscere se i propri dati personali sono trattati da una qualsiasi azienda, PA, ente, associazione, o
altro (cioè da un qualsiasi titolare di trattamento).
Se un titolare tratta dati personali, l’interessato, cioè la persona cui tali dati si riferiscono, ha il
diritto di:



199
sapere come i propri dati sono stati ottenuti dal titolare, chi all’interno dell’organizzazione
del titolare tratta in pratica tali dati, quali sono le finalità dei trattamenti effettuati;
ottenere la rettifica dei propri dati personali se questi non sono aggiornati o completi;
opporsi al trattamento dei propri dati personali (se ciò non è in contrasto con eventuali altri
obblighi contrattuali o di legge); l’opposizione è sempre valida se le finalità del trattamento
sono l’invio di materiale pubblicitario o di vendita diretta o ricerche di mercato o
comunicazione commerciale.
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
202
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Modulo 4.1.3 – Adempimenti
Per garantire nella pratica i diritti dell’interessato il titolare è tenuto (art. 10 del “Codice”200 ) ad
adottare idonee misure volte:


ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego
di appositi programmi informatici;
a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche
nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.
Modalità
La risposta all’interessato (il cosiddetto riscontro del diritto d’accesso) può essere fornita in varie
forme (anche oralmente) purché sia garantita la comprensione al richiedente; se l’interessato lo
richiede la risposta deve essere data su supporto cartaceo, informatico o per via telematica.
Spese
In linea generale il titolare non può chiedere un pagamento all’interessato per il riscontro del diritto
di accesso; sono previste alcune deroghe (ad esempio se "non risulta confermata l'esistenza di dati
che riguardano l'interessato" o se i dati personali figurano su uno speciale supporto del quale è
richiesta specificamente la riproduzione oppure quando si determina un notevole impiego di mezzi
in relazione alla complessità o all'entità delle richieste ed è confermata l'esistenza di dati che
riguardano l'interessato) ma in ogni caso il contributo spese non può eccedere i costi
effettivamente sopportati per la ricerca effettuata.
Tempi
Il titolare deve dare riscontro all’interessato entro quindici giorni dal ricevimento della richiesta
(art. 146, comma 2 del Codice). Se le operazioni necessarie per un integrale riscontro alla richiesta
sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile
ne danno comunicazione all'interessato. In tal caso, il termine per l'integrale riscontro è di trenta
giorni dal ricevimento della richiesta medesima (art. 146, comma 3 del Codice).
Ricorso al Garante
Se il titolare non dà riscontro all’interessato entro i termini prestabiliti ovvero è stato opposto alla
richiesta un diniego anche parziale da parte del titolare allora i diritti di cui all'articolo 7 possono
essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).
200
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
203
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Modulo 4.1.4 – Quesiti frequenti
L’interessato può esercitare il diritto di accesso solo nei confronti di un titolare che tratti i
suoi dati personali o nei confronti di un qualsiasi titolare?
Il diritto di accesso può essere esercitato nei confronti di un qualsiasi titolare; nel caso però “non
risultasse confermata l'esistenza di dati che riguardano l'interessato” il titolare può richiedere un
pagamento all’interessato ma tale contributo non può eccedere i costi effettivamente sostenuti.
In quali casi non può essere esercitato il diritto di accesso?
Il diritto non può essere esercitato se i trattamenti di dati personali riguardano “materia di
riciclaggio”, norme di contrasto alle richieste estorsive ed una serie di altre leggi e regolamenti
indicate all’art. 8 del Codice.
Il diritto di accesso riguarda anche i dati di valutazione del personale?
Sì, fermo restando che in tal caso non si può chiedere la rettifica della valutazione. Il Garante
accogliendo il riscorso di un lavoratore (30 ottobre 2001, Bollettino del n. 23/ottobre 2001)
dichiara: “La nozione di dato personale comprende non solo dati personali di tipo oggettivo, ma
anche informazioni personali contenute nell'ambito di valutazioni soggettive, riportate in supporti di
vario tipo (sia cartaceo, sia automatizzato), conservate o meno in archivi strutturati.”
Posso esercitare il diritto di acceso via posta elettronica?
Sì. L’art. 9, comma 1, del Codice recita: “la richiesta rivolta al titolare o al responsabile può essere
trasmessa anche mediante lettera raccomandata, telefax o posta elettronica.”
Posso esercitare il diritto di acceso oralmente?
Sì. Art. 9, comma 1, ma solo nei seguenti casi previsti ai commi 1) e 2) dell’art. 7:
1. l'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo
riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
2. l'interessato ha diritto di ottenere l'indicazione:
dell'origine dei dati personali;
delle finalità e modalità del trattamento;
della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti
elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante
designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di rappresentante
designato nel territorio dello Stato, di responsabili o incaricati.
a)
b)
c)
204
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Si può delegare il diritto d’accesso?
Sì, art. 9, comma 2: “nell'esercizio dei diritti di cui all'articolo 7 l'interessato può conferire, per
iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato può,
altresì, farsi assistere da una persona di fiducia.”
Gli eredi di un interessato deceduto possono esercitare il diritto di accesso in relazione ai
trattamenti del defunto?
Sì, art. 9, comma 3: “I diritti di cui all'articolo 7 riferiti a dati personali concernenti persone
decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o
per ragioni familiari meritevoli di protezione.”
Il titolare deve assicurarsi dell’identità di chi esercita il diritto di accesso?
Sì, art. 9, comma 4: “L'identità dell'interessato è verificata sulla base di idonei elementi di
valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un
documento di riconoscimento. La persona che agisce per conto dell'interessato esibisce o allega
copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e
presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento
dell'interessato. Se l'interessato è una persona giuridica, un ente o un'associazione, la richiesta è
avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti”
Si può reiterare la richiesta di diritto di accesso più di una volta?
Sì, art. 9, comma 5: “La richiesta di cui all'articolo 7, commi 1 e 2, è formulata liberamente e senza
costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non
minore di novanta giorni.”
Si può fare ricorso al Garante per la protezione dei dati personali o all’autorità giudiziaria nel
caso il titolare non dia riscontro alla richiesta dell’interessato?
Sì. Se il titolare non dà riscontro all’interessato entro i termini prestabiliti ovvero è stato opposto
alla richiesta un diniego anche parziale da parte del titolare allora i diritti di cui all'articolo 7
possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del
Codice). Il ricorso al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse
parti, è stata già adita l'autorità giudiziaria. La presentazione del ricorso al Garante rende
improponibile un'ulteriore domanda dinanzi all'autorità giudiziaria tra le stesse parti e per il
medesimo oggetto.
Esiste un facsimile di modello da utilizzare per esercitare il diritto di accesso?
Sì. Il Garante per la protezione dei dati personali ha realizzato un modello da utilizzare per
esercitare il diritto di accesso201 disponibile solo in formato pdf. ComplianceNet ne ha realizzato
una copia in formato word202.
È obbligatorio utilizzare il modello del Garante per esercitare il diritto di accesso?
No.
Il lavoratore può ottenere dal datore di lavoro l’aggiornamento del suo titolo di studio?
Sì. “Aziende private e pubbliche amministrazioni devono aggiornare i propri archivi con le
qualifiche professionali ed i titoli di studio acquisiti dai lavoratori. Tale operazione deve essere
tempestiva ed effettuata in ogni altro pertinente data base dell’azienda. La normativa sulla privacy
201
202
http://www.garanteprivacy.it/garante/document?ID=1089947
http://www.compliancenet.it/documenti/modello-diritto-accesso.doc
205
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
prevede, infatti, che i dati personali oggetto di trattamento siano esatti e aggiornati.” (Newsletter 6 12 gennaio 2003)203.
Posso verificare se un soggetto detiene informazioni che mi riguardano?
Sì. Posso chiedere senza particolari formalità conferma dell’esistenza o meno di dati personali che
mi riguardano. Posso rivolgermi direttamente alla società, al datore di lavoro, alla banca o
assicurazione, all’ente pubblico o a chiunque altro custodisca informazioni sul mio conto.
Posso sapere dove sono stati raccolti i miei dati e il loro contenuto?
Sì. Posso esercitare il diritto di accesso ai dati personali e chiedere di conoscere dove sono state
raccolte alcune informazioni personali di mio interesse o tutte quelle che mi riguardano, e
conoscerne il contenuto. È un mio diritto ricevere una risposta senza ritardo.
Posso controllare il loro utilizzo?
Sì. È un mio diritto ottenere altre informazioni utili per comprendere come sono trattati i miei dati,
come vengono utilizzati, con quali particolari elaborazioni, per quali scopi e se è stato manifestato,
quando è necessario, il consenso “informato”.
I dati trattati illecitamente vanno cancellati?
Sì. Se i dati sono trattati in violazione di legge, ho il diritto di ottenerne gratuitamente la
cancellazione o il “blocco” o la loro trasformazione in forma anonima.
Posso ottenere la correzione dei miei dati?
Sì. Con la stessa o con una successiva richiesta, ho diritto di ottenere gratuitamente la correzione,
l’aggiornamento e, se ho interesse, la loro integrazione.
Posso oppormi alla pubblicità indesiderata?
Sì. Se ricevo brochure pubblicitarie, offerte promozionali, comunicazioni commerciali, e-mail
indesiderate, ecc. posso sempre oppormi gratuitamente all’utilizzazione dei dati che mi riguardano,
anche nel caso abbia espresso in precedenza un consenso.
Posso rivolgermi al soggetto che ha inviato la comunicazione chiedendo di porre fine al trattamento
dei dati e di non usarli più per invii postali, messaggi e chiamate.
Anche le pubbliche amministrazioni devono assicurare trasparenza?
Sì. Anche i ministeri, le regioni, le province, i comuni e gli altri soggetti pubblici devono
consentirmi l’esercizio dei diritti attribuiti dalla legge. Questi diritti sono esercitabili rivolgendosi
direttamente al titolare del trattamento anche tramite suoi incaricati o responsabili. Se non si ottiene
risposta, o se il riscontro non è idoneo, è possibile rivolgersi alla magistratura ordinaria o al
Garante.
203
http://www.garanteprivacy.it/garante/doc.jsp?ID=34858
206
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Modulo 4.1.5 – Modello per esercitare il
diritto d’accesso
Il Garante per la protezione dei dati personali ha reso disponibile un “modello” di modulo per
esercitare il diritto di accesso: il modello del Garante è disponibile solo in formato pdf204 (130 K, 3
pp). Di seguito è disponibile anche la versione word205 dello stesso modello (versione a cura di
ComplianceNet sulla base del modello pdf del Garante).
Al __________________________
_____________________________
_____________________________
(Indirizzare al titolare o al responsabile del trattamento)
OGGETTO: ESERCIZIO
DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI
PERSONALI
( artt. 7 e 8 del Codice)
Il/La sottoscritto/a _______________________________________________________________
nato/a a __________________________________________________ il __________________
esercita con la presente richiesta i suoi diritti di cui all’articolo 7 del Codice in materia di
protezione dei dati personali (d.lg. 30 giugno 2003, n. 196):
(BARRARE SOLO LE CASELLE CHE INTERESSANO)
Accesso ai dati personali
( art. 7, comma 1, del Codice)
Il sottoscritto intende accedere ai dati che lo riguardano e precisamente:
chiede di confermargli l’esistenza o meno di tali dati, anche se non ancora registrati,

e/o
chiede di comunicargli i medesimi dati in forma intelligibile ( art. 10 del Codice).

La presente richiesta riguarda (indicare i dati personali, le categorie di dati o il trattamento cui si fa riferimento):
_____________________________________________________________________________
_____________________________________________________________________________
204
205
http://www.garanteprivacy.it/garante/doc.jsp?ID=1180222
http://www.compliancenet.it/documenti/modello-diritto-accesso.doc
207
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
(BARRARE SOLO LE CASELLE CHE INTERESSANO)
Richiesta di intervento sui dati
( art. 7, comma 3, del Codice)
Il sottoscritto chiede di effettuare le seguenti operazioni:
aggiornamento dei dati;

rettificazione dei dati;

integrazione dei dati;

cancellazione dei dati trattati in violazione di legge (compresi quelli di cui non è necessaria la

conservazione);
trasformazione in forma anonima dei dati trattati in violazione di legge (compresi quelli di

cui non è necessaria la conservazione);
blocco dei dati trattati in violazione di legge (compresi quelli di cui non è necessaria la

conservazione);
attestazione che tale intervento sui dati è stato portato a conoscenza, anche per

quanto riguarda il suo contenuto, di coloro ai quali i dati sono stati comunicati o
diffusi.
La presente richiesta riguarda (indicare i dati personali, le categorie di dati o il trattamento cui si fa riferimento):
_____________________________________________________________________________
_____________________________________________________________________________
Opposizione al trattamento per fini pubblicitari
( art. 7, comma 4, del Codice)

Il sottoscritto si oppone al trattamento dei dati effettuato a fini di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale.
Opposizione al trattamento per motivi legittimi
( art. 7, comma 4, del Codice)

Il sottoscritto si oppone al trattamento dei dati per i seguenti motivi legittimi:
_____________________________________________________________________________
_____________________________________________________________________________
La presente richiesta riguarda (indicare i dati personali, le categorie di dati o il trattamento cui si fa riferimento):
_____________________________________________________________________________
_____________________________________________________________________________
208
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Il sottoscritto si riserva di rivolgersi all’autorità giudiziaria o al Garante (con segnalazione,
reclamo o ricorso: artt. 141 ss. del Codice) se entro 15 giorni dal ricevimento della presente istanza
non perverrà un riscontro idoneo.
Recapito per la risposta:

oppure

oppure

oppure

Indirizzo postale: _____________________________________________________
Via/Piazza __________________________________________________________
Comune ____________________________________________________________
Provincia _________________________________Codice postale ______________
e-mail: _____________________________________________________
telefax: _____________________________________________________
telefono*: _____________________________________________________
Eventuali precisazioni
Il sottoscritto precisa (fornire eventuali spiegazioni utili o indicare eventuali documenti allegati):
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
Estremi di un documento di riconoscimento**:
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
____________________
( Luogo e data)
______________________________________
( Firma)
* Le richieste in esame e la relativa risposta possono essere anche orali. Tuttavia, se l’interessato si rivolge al
Garante con un ricorso, occorre allegare copia della richiesta rivolta al titolare (o al responsabile, se designato)
del trattamento.
** Esibire o allegare copia di un documento di riconoscimento, se l’identità del richiedente non è accertata con
altri elementi.
209
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Modulo 4.1.6 – Interventi più rilevanti del
Garante sul diritto d’accesso
Data
Pubblicazione
9 ottobre
2009
Newsletter n. 329206
5 maggio2009
Newsletter n. 322208
3 aprile
2009
Newsletter n. 321210
25
novembre
2008
Newsletter n. 315212
29 ottobre
2008
Newsletter n. 314214
Note
La registrazione di un colloquio telefonico che comporta
l'attivazione di un nuovo servizio commerciale deve essere
resa disponibile all'interessato che ne faccia richiesta: non è
sufficiente che l'azienda gli fornisca la trascrizione dei
contenuti della conversazione.
 Provvedimento207 dell’8 luglio 2009 [1638561]
Gli azionisti di una società per azioni hanno diritto di
conoscere l'indirizzo e i dati degli altri soci, al fine di
contattarli e di poter tutelare i propri legittimi interessi. La
legge sulla privacy non limita la conoscibilità da parte degli
azionisti dei dati personali contenuti nel libro soci e non si
pone in contrasto con la trasparenza dell'attività societaria.
 Decisione209 del 26 marzo 2009: diritto di ispezione al
libro soci nelle società per azioni I lavoratori hanno diritto di conoscere tutti i dati personali
che riguardano la gestione del rapporto di lavoro secondo
le modalità previste dal Codice Privacy.
 Provvedimento211 del 19 dicembre 2008
I dati contenuti all'interno delle cartelle cliniche dei defunti e
di eventuali verbali dell' autopsia devono essere accessibili ai
familiari.
 Provvedimento213 del 25 settembre 2008 [doc. web n.
1555676]
Il paziente può avere le foto degli interventi chirurgia
plastica: anche le foto scattate prima e dopo gli interventi di
chirurgia plastica contengono dati personali e i pazienti hanno
il diritto di accedervi.
 Provvedimento215 del 2 ottobre 2008 [doc. web n.
1557445]
206
http://www.garanteprivacy.it/garante/doc.jsp?ID=1656954
http://www.garanteprivacy.it/garante/doc.jsp?ID=1638561
208
http://www.garanteprivacy.it/garante/doc.jsp?ID=1611760
209
http://www.garanteprivacy.it/garante/doc.jsp?ID=1606023
210
http://www.garanteprivacy.it/garante/doc.jsp?ID=1602992
211
http://www.garanteprivacy.it/garante/doc.jsp?ID=1582051
212
http://www.garanteprivacy.it/garante/doc.jsp?ID=1569524
213
http://www.garanteprivacy.it/garante/doc.jsp?ID=1555676
214
http://www.garanteprivacy.it/garante/doc.jsp?ID=1560744
207
210
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
216
6 ottobre
2008
Newsletter n. 313
1 luglio
2008
Newsletter n. 320218
16 ottobre
2007
Newsletter n. 296220
19 luglio
2005
Newsletter n. 260222
9 maggio
2005
Newsletter n. 255224
2 maggio
2005
Newsletter n. 254226
21
febbraio
2005
Newsletter n. 246228
Conti correnti: è gratuito l'accesso ai dati personali dei
familiari defunti - l'accesso ai dati personali contenuti nella
documentazione bancaria riguardante una persona defunta
deve essere garantito gratuitamente ai familiari.
 Decisioni su ricorsi217 - 17 luglio 2008 [doc. web n.
1541439]
Le aziende che raccolgono dati dei loro clienti, anche di
quelli potenziali, non possono conservarli a tempo
indeterminato.
 Prescrizione219 del 19 maggio 2008
Avvalendosi del diritto di accesso riconosciuto dal Codice
privacy si possono conoscere i dati genetici, anche di un
defunto, solo se riportati in referti, cartelle cliniche ecc; ciò
non esclude comunque che la persona interessata non possa
esercitare altre azioni nelle competenti sedi giudiziarie.
 Decisioni su ricorsi221, 21 giugno 2007
Privacy e televisione: quando si ha il diritto di non
ricomparire in tv.
 Provvedimento223 – 7 luglio 2005
Il cittadino che intende lamentare una violazione della
riservatezza o esercitare il diritto di accesso ai propri dati
personali quando questi sono trattati per ragioni di giustizia
da un ufficio giudiziario, non può farlo rivolgendosi
direttamente all'ufficio giudiziario o presentando ricorso al
Garante, ma deve segnalare il caso all'Autorità, che disporrà
opportuni accertamenti.
 Decisioni su ricorsi225 - 7 febbraio 2005
Quando chiede di accedere ai dati personali che lo riguardano,
l'interessato non è tenuto ad indicare specificamente in quali
atti o documenti essi sono contenuti: chi gestisce la banca
dati deve comunicare tutte le informazioni in suo possesso.
 Provvedimento227 del 23 dicembre 2004
É gratuito l’accesso ai propri dati personali detenuti da
società pubbliche o private. Un modesto contributo spese è
invece dovuto nel caso in cui se ne chieda la trascrizione su
particolari supporti o le ricerche diano esito negativo. Il
215
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557445
http://www.garanteprivacy.it/garante/doc.jsp?ID=1553314
217
http://www.garanteprivacy.it/garante/doc.jsp?ID=1541439
218
http://www.garanteprivacy.it/garante/doc.jsp?ID=1529604
219
http://www.garanteprivacy.it/garante/doc.jsp?ID=1526956
220
http://www.garanteprivacy.it/garante/doc.jsp?ID=1448246
221
http://www.garanteprivacy.it/garante/doc.jsp?ID=1433975
222
http://www.garanteprivacy.it/garante/doc.jsp?ID=1148620
223
http://www.garanteprivacy.it/garante/doc.jsp?ID=1148642
224
http://www.garanteprivacy.it/garante/doc.jsp?ID=1131628
225
http://www.garanteprivacy.it/garante/doc.jsp?ID=1103505
226
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127523
227
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127523
228
http://www.garanteprivacy.it/garante/doc.jsp?ID=1104859
216
211
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
11 ottobre
2004
Newsletter n. 230230
contributo richiesto non può comunque superare i costi
effettivamente sostenuti per la ricerca e gli importi massimi
stabiliti dal Garante.
 Deliberazioni229 - 23 dicembre 2004 [doc. web. n.
1104892]
Lavoro. Il fascicolo del dipendente è riservato, solo copie
autorizzate
Il Garante interviene contro l’indebita diffusione di una lettera
contenente dati personali di una lavoratrice e di sua figlia
disabile
I datori di lavoro pubblici e privati devono trattare e
conservare i dati dei loro dipendenti nel rispetto del diritto alla
protezione dei dati, adottando anche, a pena di sanzioni civili e
penali, ogni idonea misura di sicurezza per prevenire eventi
lesivi della privacy. A maggior ragione se tra le informazioni
raccolte compaiono dati sensibili riferiti ad un minore.
 Provvedimento del 27 luglio 2004 doc. web. n.
1099386
24
novembre
2003
Newsletter n. 193231
13 ottobre
2003
Newsletter n. 187232
Accesso ai dati personali da parte dei lavoratori
Il diritto di accesso regolato dalla normativa sulla privacy
consente al lavoratore di accedere a tutti i dati che lo
riguardano detenuti dal proprio datore di lavoro, ma non può
essere esercitato per conoscere notizie di carattere contrattuale
o professionale (quali, ad esempio, gli accordi collettivi
nazionali od aziendali), se non strettamente e direttamente
riferite all’interessato.
Il lavoratore può avere accesso ai suoi dati personali detenuti
dall’azienda ed ottenerne la comunicazione in forma completa
e intelligibile, ma non può chiedere la creazione di dati non
esistenti negli archivi o che gli venga fornita una
rielaborazione personalizzata secondo criteri da lui indicati.
229
http://www.garanteprivacy.it/garante/doc.jsp?ID=1104892
http://www.garanteprivacy.it/garante/doc.jsp?ID=1056965
231
http://www.garanteprivacy.it/garante/doc.jsp?ID=454143
232
http://www.garanteprivacy.it/garante/doc.jsp?ID=365886
230
212
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.1
Domande di verifica 4.1
Domanda
L’interessato può
esercitare il diritto
d’accesso solo nei
confronti di titolari che
trattano i suoi dati
personali
Il diritto d’accesso va
sempre esercitato in
forma scritta
L’interessato può
esercitare il diritto
d’accesso anche per
opporsi all’invio di
comunicazioni
pubblicitarie.
Prima risposta
Vero.
Solo se si è clienti,
fornitori o comunque
si ritiene in modo
fondato che i propri
dati personali sono
oggetto di trattamento
di una particolare
azienda (o titolare) è
possibile esercitare il
diritto d’accesso nei
confronti di tale
azienda (o titolare)
Falso.
Il diritto può essere
esercitato anche
oralmente purché
l’interessato sia noto al
titolare.
Vero in ogni caso.
Seconda risposta
Falso.
Il diritto di accesso
può essere esercitato
nei confronti di
qualunque azienda (o
titolare). Occorre però
che passino almeno 90
giorni tra una richiesta
e l’altra.
Falso.
Il diritto d’accesso può
essere esercitato anche
via posta elettronica
purché la posta
elettronica sia del tipo
“certificato”
Vero ma a condizione
che l’interessato non
abbia mai dato il
consenso al
trattamento per fini
commerciali dei propri
dati.
Terza risposta
Falso.
Il diritto di accesso
può essere esercitato
nei confronti di
qualunque azienda (o
titolare) purché
privato. Il diritto
d’accesso non può
essere esercitato nei
confronti delle
pubbliche
amministrazioni
centrali.
Vero.
Il diritto d’accesso va
esercitato
esclusivamente per
iscritto.
Falso.
Per opporsi all’invio
delle comunicazioni
commerciali occorre
segnalare la cosa al
Garante utilizzando
l’apposito modello
predisposto dal
Garante stesso (che
tuttavia può essere
inviato anche per
email)
213
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.2
Lezione 4 –
Unità didattica 4.2 –
Organizzare il diritto
d’accesso
Modulo 4.2.1 – Responsabilità del diritto
d’accesso
Modulo 4.2.2 – Registro degli accessi
Modulo 4.2.3 – Problemi e soluzioni
Domande di verifica 4.2
214
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.2
Modulo 4.2.1 – Responsabilità del diritto
d’accesso
Struttura organizzativa
Chi fa cosa
È opportuno che, nella struttura organizzativa della società, sia individuata una funzione che si
occupi della gestione del “diritto di accesso” ai sensi dell’articolo 7 del “Codice”.
Se in azienda è già presente una funzione che si occupa della “gestione dei reclami” (ad esempio
per la “Qualità”) è opportuno che le attività siano unificate; in ogni caso il “Responsabile dei
trattamenti” (se nominato) deve essere costantemente tenuto informato sulle richieste di “diritto di
accesso”.
Si può anche valutare di nominare (in organizzazioni “complesse”) un “Responsabile del diritto
d’accesso” con il mandato di gestire le problematiche relative ai diritti previsti dall’articolo 7.
Coordinamento con altre funzioni aziendali
Il “Responsabile” deve gestire il riscontro del diritto d’accesso da parte degli interessati
coordinandosi con le altre funzioni aziendali quali:




Direzione Generale
Sistemi e Reti
Qualità e controlli
Risorse Umane
Registrazione e gestione dei reclami
Tutti i reclami giunti in relazione al “diritto d’accesso” devo essere registrati conservando le
informazioni più importanti, secondo un tracciato standard.
215
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.2
Modulo 4.2.3 – Diritto d’accesso
esercitato presso terzi
Può accadere che l’interessato eserciti il proprio “diritto di accesso” non presso il titolare (cioè
presso l’azienda che detiene i suoi dati ma presso terzi (outsourcer, fornitori, collaboratori). Questa
eventualità va prevista e gestita.
In particolare, specie nel caso di sistemi informativi affidati a terzi in outsourcing, se il fornitore è
stato nominato “Responsabile (esterno) del trattamento” è necessario prevedere nella “lettera di
nomina” una clausola specifica che regoli tali aspetti.
Modello di nomina al “Responsabile esterno”
(tratto dalla Lezione 2 - Modulo 2.3.6 – Nomina del responsabile esterno)
Esempio di lettera di nomina a Responsabile esterno dei trattamenti
Spettabile Società Software1
Arcobaleni196 srl, è “Titolare” di trattamenti di dati personali che sono esternalizzati presso la Vs.
Azienda, per effetto del contratto stipulato il 21 settembre 2005, rif. ABC1230. Con la presente
Arcobaleni196 designa la Vs. Azienda quale “Responsabile del trattamento” ai sensi dell'art. 29 del
d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) in relazione ai
trattamenti previsti nel contratto suddetto.
In relazione a tale nomina la Vs. Azienda dovrà seguire le seguenti istruzioni:



garantire che i trattamenti siano svolti nel pieno rispetto delle norme e di ogni prescrizione contenuta nel
Codice, nei relativi allegati compresi i codici deontologici, delle future modificazioni ed integrazioni nonché
informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni generali emessi
dall'Autorità Garante per la Protezione dei Dati Personali (il “Garante”);
(…. Altre istruzioni, vedi Modulo 2.3.6 – Nomina del responsabile esterno)
nel caso venga esercitato da un “interessato” (come definito nel Codice: “qualsiasi persona fisica,
giuridica, ente o associazione cui si riferiscono i dati personali”) il diritto di accesso (come previsto
dall’articolo 7 del “Codice”) in relazione a dati personali di cui è titolare Arcobaleni196 è necessario
che ne venga data immediatamente comunicazione al Titolareprima di procedere al riscontro stesso.
Ci riserviamo, ai sensi dell'art. 29 comma 5 del Codice, la facoltà di effettuare verifiche periodiche
per vigilare sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza, e delle istruzioni suddette.
Cordiali saluti
216
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.2
Modulo 4.2.3 – Procedura per il diritto
d’accesso
(Questa procedura è disponibile in versione word233 presso il sito di ComplianceNet).
Premessa
La seguente procedura integra la procedura “gestione reclami” già in uso presso Arcobaleni196 per
tener conto dei reclami relativi ai “dati personali” che possono pervenire da qualsiasi interessato
(cioè come recita il “Codice in materia di protezione dei dati personali”: qualsiasi persona fisica,
giuridica, ente o associazione cui si riferiscono i dati personali) in relazione ai diritti previsti
dall’articolo 7 del “Codice”.
Glossario
Reclamo privacy
Interessato
Dato personale
Diritti degli
interessati
Qualsiasi comunicazione proveniente da un interessato (vedi) relativo
alla gestione dei suoi dati personali
La persona fisica, la persona giuridica, l'ente o l'associazione a cui si
riferiscono i dati personali.
In pratica può essere:
 un dipendente, collaboratore
 un cliente
 un fornitore
 chiunque ritenga che i propri dati personali siano gestiti da
Arcobaleni196
Qualunque informazione relativa a persona fisica, persona giuridica, ente
od associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale.
In pratica può essere qualsiasi dato (anche in formato cartaceo o
multimediale) raccolto e gestito da Arcobaleni196.
Ogni interessato ha il diritto di:



233
sapere come i propri dati sono stati ottenuti dal titolare, chi all’interno
dell’organizzazione del titolare tratta in pratica tali dati, quali sono le finalità
dei trattamenti effettuati;
ottenere la rettifica dei propri dati personali se questi non sono aggiornati o
completi;
opporsi al trattamento dei propri dati personali (se ciò non è in contrasto con
eventuali altri obblighi contrattuali o di legge); l’opposizione è sempre valida
se le finalità del trattamento sono l’invio di materiale pubblicitario o di vendita
diretta o ricerche di mercato o comunicazione commerciale.
http://www.compliancenet.it/documenti/procedura-gestione-reclami-privacy.doc
217
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.2
Presentazione dei “reclami privacy”
I “reclami privacy”:


possono pervenire in qualsiasi modalità (cartacea, posta, fax, brevi manu)
devono essere conservati a cura della struttura “Qualità e Controlli”.
Copia del reclamo va consegnata al “Responsabile dei trattamenti”.
Verifica dell’identità dell’interessato
Il “reclamo privacy” va accettato in qualsiasi forma provenga, tuttavia è necessario assicurarsi
dell’identità dell’interessato se questi non è già conosciuto.
Non serve, in linea generale, fare fotocopie dei documenti identificativi.
Nel caso il reclamo sia fatto da un legale, un’associazione di categoria (o in altri casi simili)
occorre farsi consegnare copia della procura o delega; in tali casi copia del reclamo va consegnato
al nostro consulente legale.
Registrazione
Tutti i “reclami privacy“vanno registrati per mezzo dell’apposita procedura informatica
denominata “Gestione Reclami” già in uso per i reclami generici indicando nel campo “Tipo” il
valore “reclamo privacy”.
Se il “reclamo privacy” proviene da un terzo che tratta i dati per conto di Arcobaleni196
(Responsabile esterno, fornitore, ecc.) vanno registrati nel campo “Note” gli estremi dello stesso.
Gestione del reclamo
La struttura “Qualità e Controlli”, avvalendosi se necessario delle altre funzioni aziendali (risorse
Umane, Sistemi e Reti, ecc.), di consulenti esterni (Studio legale, ecc.) valuta il reclamo e
predispone la documentazione relativa per dare “riscontro” allo stesso.
È necessario rispondere al reclamo entro 15 giorni. In casi eccezionali (che vanno documentati
anche nei confronti dell’interessato) è possibile rispondere entro trenta giorni.
Nel caso “Qualità e Controlli” ritenga che il reclamo non è legittimo occorre darne notizia al
“Responsabile del trattamento” ed ottenerne il benestare.
Risposta all’interessato
Le risposte, sia positive che negative, vanno anticipate via email (o telefono) e inviate in forma
scritta, tramite raccomandata.
Chiusura del reclamo
Dopo l’invio della risposta il reclamo va chiuso nella procedura “Gestione Reclami” utilizzando il
codice opportuno (esito positivo o negativo).
218
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4 – Unità didattica 4.2
Domande di verifica 4.2
Domanda
La nomina del
responsabile del diritto
d’accesso è
obbligatoria
È opportuno tenere un
registro con le
indicazioni dei diritti
di accesso e delle
relative risposte
Prima risposta
Falso.
È opportuno nominare
un responsabile ma in
mancanza di esso
l’interessato può far
valere i propri diritti
direttamente presso il
titolare.
Vero.
I registro deve essere
inviato
trimestralmente al
Garante.
È possibile esercitare
il diritto d’accesso
anche presso la
magistratura.
Vero.
È possibile farlo solo
se il Garante autorizza
preventivamente.
Seconda risposta
Vero.
Il nominativo del
responsabile presso cui
far valere i propri
diritti va indicato
nell’informativa.
Terza risposta
Vero.
Il nominativo del
responsabile presso cui
far valere i propri
diritti va indicato sia
nell’informativa sia
nel sito web.
Falso.
Tenere un registro di
tali informazioni
sarebbe una violazione
del Codice in materia
di protezione dei dati
personali.
Vero.
È possibile farlo nel
caso il titolare non dia
risposta o la risposta
sia considerata
insufficiente.
Vero.
Pur non essendo
obbligatorio la tenuta
di un registro dei
”diritti di accesso” è
considerata una buona
prassi..
Falso.
La magistratura non si
occupa di tali
questioni.
219
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4– Risposte alle domande di verifica
Risposte alle domande di
verifica della lezione 4
Domande di verifica 4.1 e risposte corrette
Domanda
Prima risposta
L’interessato può
esercitare il diritto
d’accesso solo nei
confronti di titolari che
trattano i suoi dati
personali
Il diritto d’accesso va
sempre esercitato in
forma scritta
L’interessato può
esercitare il diritto
d’accesso anche per
opporsi all’invio di
comunicazioni
pubblicitarie.
Seconda risposta
Falso.
Il diritto di accesso
può essere esercitato
nei confronti di
qualunque azienda (o
titolare). Occorre
però che passino
almeno 90 giorni tra
una richiesta e
l’altra.
Terza risposta
Falso.
Il diritto può essere
esercitato anche
oralmente purché
l’interessato sia noto
al titolare.
Vero in ogni caso.
220
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 4– Risposte alle domande di verifica
Domande di verifica 4.2 e risposte corrette
Domanda
La nomina del
responsabile del diritto
d’accesso è
obbligatoria
Prima risposta
Seconda risposta
Falso.
È opportuno
nominare un
responsabile ma in
mancanza di esso
l’interessato può far
valere i propri diritti
direttamente presso il
titolare.
È opportuno tenere un
registro con le
indicazioni dei diritti
di accesso e delle
relative risposte
È possibile esercitare
il diritto d’accesso
anche presso la
magistratura.
Terza risposta
Vero.
Pur non essendo
obbligatorio la tenuta
di un registro dei
”diritti di accesso” è
considerata una
buona prassi..
Vero.
È possibile farlo nel
caso il titolare non
dia risposta o la
risposta sia
considerata
insufficiente.
221
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Videosorveglianza
Lezione 5 Videosorveglianza
Caso di studio E – La videosorveglianza in azienda
Unità Didattica 5.1 – Guida alla videosorveglianza
Unità Didattica 5.2 – Organizzare la videosorveglianza
Risposte alle domande di verifica della lezione 5
222
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Videosorveglianza
Obiettivi di apprendimento
 Quando è possibile adottare un sistema di videosorveglianza?
 Quali adempimenti sono richiesti per la videosorveglianza?
 Come si deve organizzare l’azienda che adotta un sistema di
videosorveglianza?
A chi si rivolge questa lezione?
La lezione si rivolge ai Responsabili privacy aziendali, al Responsabile dei
trattamenti con videosorveglianza, agli incaricati dei trattamenti di dati
personali relativi alla videosorveglianza.
Concetti chiave:
 Privacy e videosorveglianza.
 Casi reali in cui è intervenuto il Garante in relazione alla
videosorveglianza.
 Adempimenti aziendali.
Percorso formativo
•
•
Corso per Responsabile dei trattamenti
Corso per Responsabile dei trattamenti con video sorveglianza
223
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
Lezione 5 –
Caso di studio E – La
videosorveglianza in
azienda
224
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
Alle 7 del mattino squilla il telefono. È il cavalier Arcobaleni, il direttore generale di
Arcobaleni196234, l’azienda per cui ho svolto una serie di consulenze in ambito privacy.
“Ingegnere” urla al telefono il cavaliere “ora che abbiamo messo tutto in regola per la privacy,
posso finalmente piazzare le telecamere negli uffici e in cortile? Ieri notte hanno tentato di forzare
l’ingresso del magazzino sul lato nord. Voglio beccare questi maledetti ladri…”
“Buongiorno cavaliere” rispondo fissando assonnato la sveglia “come le avevo già detto le
telecamere possono essere installate solo seguendo le disposizioni indicate dal Garante per la
protezione dei dati personali …”
“Ma come? Abbiamo fatto il Documento Programmatico sulla Sicurezza, nominato incaricati e
responsabili, mandato un sacco di carta a destra e manca…. Non mi dica che non abbiamo ancora
finito!”
“Caro cavaliere, sulla videosorveglianza il Garante ha dettato regole molto precise. Addirittura ha
promulgato uno specifico provvedimento generale235. Arcobaleni196 è già conforme a tutte le
disposizioni previste dal Codice in materia di protezione dei dati personali236. Tuttavia ogni
qualvolta l’azienda comincia nuovi trattamenti di dati personali, ad esempio mediante l’adozione di
un sistema di videosorveglianza, occorre sia aggiornare alcuni documenti, ad esempio il censimento
dei trattamenti, sia verificare che non ci siano specifici adempimenti: è il caso della
videosorveglianza per la quale ci sono proprio adempimenti speciali”.
“Ma questa storia della privacy allora non finirà mai?” si lamenta il cavaliere.
“In azienda l’importante è aver predisposto un sistema di gestione aziendale della privacy capace
di gestire via via le nuove problematiche. Il lavoro che abbiamo svolto nei nostri precedenti incontri
ci permette adesso di affrontare il tema della videosorveglianza in maniere semplice, rapida ed
economica.”
“Ingegnere perché non fa un salto qui da noi e ci viene a spiegare tutto quel che occorre? Io intanto
convoco i miei collaboratori.”
“Va bene cavaliere. Ci vediamo tra un paio d’ore”
Riattacco. Appena il tempo per un caffè e una brioche …
234
http://www.arcobaleni196.it/
http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482
236
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
235
225
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
Due ore dopo,
ore 9.00,
ufficio del cavalier
Arcobaleni
“Buongiorno a tutti e grazie di essere qui” esordisco di fronte al cavaliere e ai suoi più stretti
collaboratori.
Vorrei cominciare questo breve incontro su privacy e videosorveglianza ricordando lo spirito dei
provvedimenti del Garante per la protezione dei dati personali in relazione alle telecamere.
Le norme sulla privacy non vietano l’installazione di sistemi di videosorveglianza e di registrazioni
di immagini ma richiedono che tali sistemi siano conformi al “Codice in materia di protezione dei
dati personali”237 al provvedimento generale 29 aprile 2004 sulla videosorveglianza238 e rispettino,
in generale, la privacy dei cittadini. Ciò significa che occorre sempre rispettare questi tre assunti:
1. l’installazione di telecamere è lecita solo quando altre misure di sicurezza siano ritenute
insufficienti o inattuabili
2. l’eventuale registrazione e conservazione delle immagini deve essere limitata nel tempo
3. i cittadini devono sapere sempre e comunque se un’area è sottoposta a videosorveglianza.”
“Andiamo al sodo!” sbotta il cavaliere “cosa dobbiamo fare in pratica?”
“Ho predisposto qualche slide con i punti su cui ci dobbiamo concentrare” rispondo “eccoli qua …”
237
238
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482
226
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
Adempimenti
per la
videosorveglianza
“In primo luogo” inizio “prima di installare un impianto di videosorveglianza dobbiamo predisporre
un’ analisi preliminare che ci premetta di valutare se l’utilizzazione delle telecamere sia realmente
proporzionata agli scopi perseguiti o se non sia invece superflua.
Questo tipo di impianti infatti possono essere attivati solo quando altre misure (sistemi d’allarme,
altri controlli fisici o logistici, misure di protezione agli ingressi ecc.) risultino realmente
insufficienti o inattuabili.”
“L’analisi l’abbiamo già fatta” esclama il cavaliere “e la conclusione è che se non facciamo
qualcosa subito continueranno i furti nel magazzino e rimarrò in mutande”.
1)
Analisi
preliminare
Adempimenti per la
videosorveglianza
“Perfetto” sottolineo io “questa analisi deve essere però redatta in forma scritta ed essere
conservata presso il responsabile del trattamento o il titolare.”
“Ha un modello da proporci?” chiede la signora Carmela Rossetti responsabile dell’ufficio
“Qualità e Controlli”.
227
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
“Certo” rispondo io “più tardi vedremo insieme il modello standard di analisi e lo personalizzeremo
con le specificità proprie della vostra azienda”.
“Vorrei però chiederle una cosa” dice ancora la signora Rossetti.
“Prego”
“Dopo aver fatto l’analisi ed essere giunti alla conclusione che il sistema è necessario e che le
immagini devono essere registrate possiamo procedere o ci serve un’autorizzazione da parte del
Garante?”
“Non serve un’autorizzazione del Garante per l’adozione della videosorveglianza tranne nel caso
che i sistemi di videosorveglianza prevedano una raccolta delle immagini collegata e/o incrociata
e/o confrontata con altri particolari dati personali (ad esempio dati biometrici) oppure con codici
identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce.”
1)
Analisi
preliminare
2)
Autorizzazione
preliminare
(solo se …)
Adempimenti per la
videosorveglianza
“Perfetto” esclama Arcobaleni “noi vogliamo solo le telecamere senza altri sistemi biometrici. Che
altro dobbiamo fare?”
“Dobbiamo predisporre una nuova informativa specifica per i trattamenti di dati personali relativi
alla videosorveglianza. Chiunque transiti in una zona soggetta a videosorveglianza, quindi anche un
semplice passante, deve essere informato che sta per accedere o che si trova in una zona
videosorvegliata e dell’eventuale registrazione”.
228
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
2)
Autorizzazione
preliminare
(solo se …)
1)
Analisi
preliminare
3)
Informativa
Adempimenti per la
videosorveglianza
“Ha un modello da proporci?”
“Certo. Lo stesso Garante ha predisposto un modello semplificato di informativa minima sotto
forma di cartello con un simbolo ad indicare l’area video sorvegliata; questo cartello deve essere
chiaramente visibile ed indicare chi effettua la rilevazione delle immagini e per quali scopi. In
presenza di più telecamere, in relazione alla vastità dell’area e alle modalità delle riprese, vanno
installati più cartelli. In luoghi diversi dalle aree esterne il cartello va integrato con almeno un
avviso circostanziato che riporti gli elementi completi dell’informativa:




finalità e modalità del trattamento;
natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale
rifiuto di rispondere;
soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza;
diritti riconosciuti all'interessato dall'articolo 7 del Codice; estremi identificativi del titolare
e, se designato, del responsabile del trattamento.”
“Ma serve anche il consenso?” chiede Carmela Rossetti.
229
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
“No” rispondo “si possono installare telecamere senza il consenso degli interessati, sulla base delle
prescrizioni indicate dal Garante, quando chi intende rilevare le immagini deve perseguire un
interesse legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine,
danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc.”
1)
Analisi
preliminare
4)
Lettere di
nomina
2)
Autorizzazion
e preliminare
(solo se …)
3)
Informativa
Adempimenti per la
videosorveglianza
“Perfetto è proprio il nostro caso. Che altro dobbiamo fare?” esclama il cavaliere sfregandosi le
mani.
“Dobbiamo individuare chi sarà responsabile del sistema di videorveglianza e chi potrà
utilizzarlo, cioè chi sono gli incaricati del trattamento” dico io.
Il cavalier Arcobaleni si guarda intorno fissando per pochi secondi ognuno dei suoi collaboratori.
Nell’aria non vola neanche una mosca. Sembra di essere tornati a scuola quando c’erano le
interrogazioni di matematica.
“La responsabile sarà la signora Rossetti” declama infine il Direttore Generale “per quanto riguarda
coloro che potranno usare il sistema di videosorveglianza mi aspetti che lei, caro ingegnere, ci
consigli la soluzione migliore e più economica.”
“Si devono designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate ad
utilizzare gli impianti e, nei casi in cui è indispensabile per gli scopi perseguiti, a visionare le
registrazioni “ ricordo “vanno osservate le regole ordinarie anche per ciò che attiene all’eventuale
230
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
designazione di responsabili (interni o esterni) del trattamento, avendo particolare cura al caso in
cui il titolare si avvalga di un organismo esterno anche di vigilanza privata.”
“Bene pensi a tutto lei ingegnere coordinandosi con la signora Rossetti. Abbiamo finito?” chiede
Arcobaleni.
“No. Serve anche un regolamento aziendale specifico per la videosorveglianza”
“Altra carta?” borbotta il cavaliere.
“È opportuno” argomento “che venga predisposto un regolamento aziendale relativo ai sistemi di
videosorveglianza e registrazioni di immagini in uso presso l’azienda. Il regolamento, oltre a
riportare il censimento aggiornato dei sistemi e dei relativi trattamenti nell’ambito in oggetto, deve
contenere le istruzioni operative suddivise per funzioni aziendali nonché le misure di sicurezza
adottate.”
“Non si può evitare?”
“Nelle aziende più piccole il regolamento può essere sostituito da istruzioni scritte per gli incaricati.
Nel vostro caso consiglio di predisporre un regolamento. Ovviamente ho un modello che possiamo
adottare alle vostre esigenze…”
“E facciamo anche ‘sto regolamento” concede Arcobaleni “che altro?”
1)
Analisi
preliminare
4)
Lettere di
nomina
2)
Autorizzazion
e preliminare
(solo se …)
3)
Informativa
Adempimenti per la
videosorveglianza
5)
Regolamento
aziendale
“Occorre informare tutto il personale dell’esistenza delle telecamere. Per Responsabile ed incaricati
della loro gestione devono essere adottate opportune iniziative periodiche di formazione sui doveri,
231
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
sulle garanzie e sulle responsabilità, sia all’atto dell’introduzione del sistema di videosorveglianza,
sia in sede di modifiche delle modalità di utilizzo.”
“Faremo anche questo. Conto sul suo aiuto e su quello di CMa Consulting239 anche per questi
aspetti. Che altro?”
1)
Analisi
preliminare
2)
Autorizzazion
e preliminare
(solo se …)
3)
Informativa
Adempimenti per la
videosorveglianza
4)
Lettere di
nomina
5)
Regolamento
aziendale
6)
Formazione
“Un’ultima cosa”
“Spari”
“Dato che le immagini di una persona acquisite con un impianto di videosorveglianza costituiscono
dati personali, con conseguente possibilità per l'interessato di proporre l'istanza di accesso nei
confronti del titolare e del responsabile del trattamento, dobbiamo predisporre nella procedura
aziendale per il diritto di accesso una parte specifica per le immagini videoregistrate.”
239
http://www.cmaconsulting.it/
232
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Caso di studio E
1)
Analisi
preliminare
4)
Lettere di
nomina
2)
Autorizzazion
e preliminare
(solo se …)
Adempimenti per la
videosorveglianza
5)
Regolamento
aziendale
3)
Informativa
7)
Diritto
d’accesso
6)
Formazione
“Ci pensi lei insieme a Rossetti. Ha finito?”
“Sì”
“Bene allora tutti al lavoro! Ed organizzi anche un bel corso di formazione sulla
videosorveglianza in cui si riepilogano tutti gli adempimenti e il modo migliore in cui dobbiamo
organizzarci per rispettare queste regole” conclude il cavaliere.
Inizia il corso…
233
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Lezione 5 –
Unità didattica 5.1 – Guida
alla videosorveglianza
Modulo 5.1.1 – I principi generali
Modulo 5.1.2 – Norme di riferimento
Modulo 5.1.3 – Interventi più rilevanti del
Garante sulla videosorveglianza
Modulo 5.1.4 – Cosa si può videosorvegliare
Modulo 5.1.5 – Registrazioni di immagini
Domande di verifica 5.1
234
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Modulo 5.1.1 – I principi generali
Nel Provvedimento generale 29 aprile 2004 sulla videosorveglianza240 Il Garante per la protezione
dei dati personali ha chiaramente indicato quali sono i “principi generali” da rispettare quando si
adotta un sistema di videosorveglianza:
1.
2.
3.
4.
principio di liceità
principio di necessità
principio di proporzionalità
principio di finalità.
Principio di liceità
Il trattamento dei dati attraverso sistemi di videosorveglianza è possibile solo se è fondato su uno
dei presupposti di liceità che il Codice prevede espressamente per gli organi pubblici da un lato e,
dall’altro, per soggetti privati ed enti pubblici economici.
La videosorveglianza deve avvenire nel rispetto, oltre che della disciplina in materia di protezione
dei dati, di quanto prescritto da altre disposizioni di legge da osservare in caso di installazione di
apparecchi audiovisivi.
Vanno richiamate al riguardo le vigenti norme dell’ordinamento civile e penale in materia di
interferenze illecite nella vita privata, di tutela della dignità, dell’immagine, del domicilio e degli
altri luoghi cui è riconosciuta analoga tutela (toilette, stanze d’albergo, cabine, spogliatoi, ecc.).
Vanno tenute presenti, inoltre, le norme riguardanti la tutela dei lavoratori, con particolare
riferimento alla legge 300/1970 (Statuto dei lavoratori).
Principio di necessità
Il principio di necessità richiede che l’adozione del sistema di videosorveglianza escluda ogni uso
superfluo ed eviti eccessi e ridondanze.
Ciascun sistema informativo e il relativo programma informatico vanno conformati già in origine in
modo da non utilizzare dati relativi a persone identificabili quando le finalità del trattamento
possono essere realizzate impiegando solo dati anonimi (es., programma configurato in modo da
consentire, per monitorare il traffico, solo riprese generali che escludano la possibilità di ingrandire
le immagini). Il software va configurato anche in modo da cancellare periodicamente e
automaticamente i dati eventualmente registrati.
Se non è osservato il principio di necessità riguardante le installazioni delle apparecchiature e
l’attività di videosorveglianza non sono lecite (artt. 3 e 11, comma 1, lett. a), del Codice).
Principio di proporzionalità
Nel commisurare la necessità di un sistema al grado di rischio presente in concreto, va evitata la
rilevazione di dati in aree o attività che non sono soggette a concreti pericoli, o per le quali non
240
http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482
235
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
ricorre un’effettiva esigenza di deterrenza, come quando, ad esempio, le telecamere vengono
installate solo per meri fini di apparenza o di prestigio.
Gli impianti di videosorveglianza possono essere attivati solo quando altre misure siano
ponderatamente valutate insufficienti o inattuabili. Se la loro installazione è finalizzata alla
protezione di beni, anche in relazione ad atti di vandalismo, devono risultare parimenti inefficaci
altri idonei accorgimenti quali controlli da parte di addetti, sistemi di allarme, misure di protezione
degli ingressi, abilitazioni agli ingressi.
Anche l’installazione meramente dimostrativa o artefatta di telecamere non funzionanti o per
finzione, anche se non comporta trattamento di dati personali, può determinare forme di
condizionamento nei movimenti e nei comportamenti delle persone in luoghi pubblici e privati e
pertanto può essere legittimamente oggetto di contestazione.
Il titolare del trattamento, prima di installare un impianto di videosorveglianza, deve valutare,
obiettivamente e con un approccio selettivo, se l’utilizzazione ipotizzata sia in concreto realmente
proporzionata agli scopi prefissi e legittimamente perseguibili.
Principio di finalità
La videosorveglianza può essere adottata dal titolare solo per perseguire finalità di sua pertinenza e
non ad esempio per finalità di sicurezza pubblica, prevenzione o accertamento dei reati che invece
competono solo ad organi giudiziari o di polizia giudiziaria oppure a forze armate o di polizia.
Rispetta invece il principio di finalità l’adozione di sistemi di videosorveglianza come misura
complementare volta a migliorare la sicurezza all’interno o all’esterno di edifici o impianti ove si
svolgono attività produttive, industriali, commerciali o di servizi, o che hanno lo scopo di agevolare
l’eventuale esercizio, in sede di giudizio civile o penale, del diritto di difesa del titolare del
trattamento o di terzi sulla base di immagini utili in caso di fatti illeciti.
Le finalità così individuate devono essere correttamente riportate nell’informativa.
236
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Modulo 5.1.2 – Norme di riferimento
Il Garante ha pubblicato il 20 maggio 2004 una “guida alla videosorveglianza”241 che sintetizza i
contenuti del più ampio provvedimento generale 29 aprile 2004 sulla videosorveglianza242.
Presso il sito del Garante è anche disponibile un “Dossier Videosorveglianza”243 (aggiornato però
fino al febbraio 2004) nonché una brochure dal titolo "La protezione dei dati personali e la
Videosorveglianza" (pdf244)
Attraverso la sua newsletter il Garante ha, infine, informato di numerosi provvedimenti (per lo più
sanzionatori) adottati in ambito “videosorveglianza; l’elenco delle newsletter relative a questo tema
è riportato nel prossimo modulo.
Il modulo 2.2.9 – Videosorveglianza riporta una sintesi delle principali norme di riferimento in
quest’ambito.
241
http://www.garanteprivacy.it/garante/doc.jsp?ID=1006052
http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482
243
http://www.garanteprivacy.it/garante/doc.jsp?ID=1002987
244
http://www.garanteprivacy.it/garante/document?ID=1382779
242
237
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Modulo 5.1.3 – Interventi più rilevanti del
Garante sulla videosorveglianza
Pubblicazione/data
Newsletter 22
settembre 2009
Contenuti in ambito videosorveglianza
Scuola: contro atti vandalici sì a telecamere, ma con limiti
precisi
Telecamere e dati biometrici sotto la lente del Garante
Newsletter 19 maggio Videosorveglianza ed esigenze di sicurezza
2009
Newsletter 3 aprile
2009
Videosorveglianza: no al controllo dei lavoratori
Newsletter 2 marzo
2009
Vietate le telecamere negli spogliatoi
Newsletter 16
gennaio 2009
Telecamere con le orecchie: stop del Garante
Newsletter 17 giugno
2008
Telecamere condominali, servono regole chiare
Newsletter 29
novembre 2007
Telecamere con vista
Newsletter 2 - 8
maggio 2005
Biglietti numerati e videosorveglianza negli stadi. Il parere del
Garante
Newsletter 21 – 27
febbraio 2005
Videosorveglianza: nuovi interventi del Garante
Newsletter 31
gennaio - 6 febbraio
2005
Controlli sulle telecamere
Newsletter 17 - 23
maggio 2004
Videosorveglianza: nuove garanzie per i cittadini
Newsletter 24
febbraio - 2 marzo
2003
I Garanti UE aprono la consultazione sulla videosorveglianza
Newsletter 3 - 9
febbraio 2003
Videosorveglianza in Europa: Il progetto 'Urbaneye'
238
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Newsletter 6 - 12
gennaio 2003
Telecamere in banca: ripresi solo i piedi. Precisazione del
Garante
Newsletter 14 - 20
ottobre 2002
Le linee guida del Consiglio d'Europa sulla videosorveglianza
Newsletter 30
settembre - 6 ottobre
2002
Videosorveglianza. Il decalogo dei Garanti europei
Newsletter 9 - 15
settembre 2002
Privacy: telecamere sugli autobus solo se passeggeri garantiti
Newsletter 15 - 26
luglio 2002
Unabomber: Garante su telecamere ipermercato
Newsletter 20 - 26
maggio 2002
Telecamere: multato un supermercato
Newsletter 29 aprile 5 maggio 2002
Codici deontologici al via per Internet, videosorveglianza,
lavoro
Newsletter 11 - 17
marzo 2002
Telecamere in discoteca. Multa per mancata informativa ai
clienti
Newsletter 4 - 10
febbraio 2002
Videosorveglianza dei lavoratori. Rapporto della Cnil
Newsletter 28 maggio Videoserveglianza: niente webcam nell'ufficio del sindaco
- 3 giugno 2001
Newsletter 11 - 17
giugno 2001
Tenuti d'occhio dalla tv
Newsletter 28
febbraio - 5 marzo
2000
Videosorveglianza: i Comuni devono rispettare la privacy
Newsletter 3 - 9
aprile 2000
Videosorveglianza in mare e tutela della riservatezza
La Risoluzione dei Garanti tedeschi sulla videosorveglianza
Newsletter 30 ottobre
- 5 novembre 2000
Avvocati, giornalisti e videocamere nascoste
Newsletter 27
novembre - 3
dicembre 2000
Videosorveglianza. Le regole per non violare la privacy
Privacy e videosorveglianza
239
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Newsletter 25 - 31
ottobre 1999
Riprese televisive sul posto di lavoro
Newsletter 29
novembre - 5
dicembre 1999
Videosorveglianza in Germania
Newsletter 20 - 26
dicembre 1999
La telecamera da sola non serve a nulla
240
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Modulo 5.1.4 – Cosa si può
videosorvegliare
Principio di base
Chi installa telecamere deve perseguire finalità determinate e di propria pertinenza; per un’azienda
esse di solito sono volte al contrasto di aggressioni, furti, rapine, danneggiamenti, atti di
vandalismo, prevenzione incendi, sicurezza del lavoro.
Casi illeciti
Non è lecito (neanche per le amministrazioni comunali) usare la videosorveglianza per finalità di
sicurezza pubblica, prevenzione e accertamento dei reati, finalità che competono invece solo ad
organi giudiziari o a forze armate o di polizia.
Divieto assoluto di controllo a distanza dei lavoratori rispettando le garanzie previste in materia di
lavoro, sia all’interno degli edifici, sia in altri luoghi di prestazione del lavoro.
Inammissibili le telecamere in luoghi non destinati all’attività lavorativa (bagni, spogliatoi, docce,
armadietti, luoghi ricreativi).
Non risulta giustificata un’attività di rilevazione a fini promozionali, turistici o pubblicitari,
attraverso webcam o che rendano identificabili i soggetti ripresi.
Sono ingiustificati gli impianti installati al solo fine di controllare il divieto di fumare, di calpestare
aiuole, di depositare sacchetti dell’immondizia etc.
Casi particolari
Negli ospedali e nei luoghi di cura è ammesso il monitoraggio di pazienti ricoverati in particolari
reparti (esempio: rianimazione). Potranno accedere alle immagini solo il personale autorizzato e i
familiari dei ricoverati.
Negli istituti scolastici l’installazione di sistemi di videosorveglianza è ammissibile solo quando
strettamente indispensabile (esempio: atti vandalici) e solo negli orari di chiusura.
Sono ammesse, nel rispetto di principi specifici, telecamere su alcuni mezzi di trasporto pubblici,
nei luoghi di culto e sepoltura.
Condomini e videocitofoni
Le riprese di aree condominiali da parte di più proprietari o condomini, di studi professionali,
società ed enti sono ammesse esclusivamente per preservare, da concrete situazioni di pericolo, la
sicurezza di persone e la tutela dei beni. L’installazione da parte di singoli condomini richiede
comunque l’adozione di cautele: angolo visuale limitato ai soli spazi di propria pertinenza, nessuna
ripresa di aree comuni o antistanti le abitazioni di altri condomini ecc. I videocitofoni sono ammessi
per finalità identificative dei visitatori.
False telecamere
241
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Anche l’installazione meramente dimostrativa o artefatta di telecamere non funzionanti o per
finzione, anche se non comporta trattamento di dati personali, può determinare forme di
condizionamento nei movimenti e nei comportamenti delle persone in luoghi pubblici e privati e
pertanto può essere legittimamente oggetto di contestazione.
242
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Modulo 5.1.5 – Registrazioni di immagini
Principio di base
Va limitata rigorosamente la creazione di banche dati quando è sufficiente installare un sistema a
circuito chiuso di sola visione delle immagini senza la loro registrazione (monitoraggio del traffico,
controllo del flusso ad uno sportello ecc.).
Durata di conservazione delle immagini
In caso di registrazione, il periodo di conservazione delle immagini deve essere limitato: a poche
ore o al massimo 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a
indagini. Per attività particolarmente rischiose (esempio: banche) è ammesso un tempo più ampio,
che non può superare comunque la settimana.
Misure di sicurezza
I dati personali, compresi quelli relativi al trattamento di videosorveglianza, devono essere protetti
da idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, perdita,
anche accidentale, di accesso non autorizzato o trattamento non consentito o non conforme alle
finalità della raccolta.
Le “misure minime di sicurezza” sono obbligatorie anche sul piano penale.
Il titolare del trattamento che si avvale di un soggetto esterno deve ricevere dall’installatore una
descrizione scritta dell’intervento effettuato che ne attesti la conformità alle regole in materia.
Tra le misure di sicurezza che devono essere adottate:





locali con accesso protetto da badge
armadi chiusi a chiave per la custodia dei supporti
sistemi di controllo accessi (user-id, password) per visionare le registrazioni
diversi profili di autorizzazione per accedere alla visione delle immagini registrate (ad
esempio: per manutentore, per responsabile del trattamento, per forze di polizia)
sistemi di cifratura delle registrazioni.
243
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.1
Domande di verifica 5.1
Domanda
Nessun adempimento
è richiesto se le
telecamere non
registrano immagini
Se le telecamere
registrano le immagini
è obbligatoria la
nomina del
responsabile del diritto
d’accesso
Solo la magistratura
può visionare le
immagini registrate
dalle telecamere
Prima risposta
Falso.
Occorre in ogni caso
predisporre una
informativa minima
anche sotto forma di
cartello.
Falso.
È opportuno, ma non
obbligatorio, nominare
un responsabile per i
trattamenti di video
sorveglianza.
Seconda risposta
Vero.
In tal caso non esiste
trattamento di dati
personali.
Vero.
Il nominativo del
responsabile dei
trattamenti di video
sorveglianza va
indicato
nell’informativa.
Vero.
Falso.
Solo la magistratura ha Possono visionare le
il diritto di visionare le immagini:
immagini registrate da il titolare
telecamere.
tutti i responsabili
la polizia
la magistratura
Terza risposta
Vero.
La novità è compresa
nelle semplificazioni
adottate dal Garante
nel 2008..
Falso.
La nomina era
obbligatoria ma è stata
poi abrogata con le
semplificazioni
adottate dal Garante
nel 2008..
Falso.
Le immagini possono
essere visionate da
tutti coloro che sono
stati incaricati di tale
trattamento.
244
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Lezione 5 –
Unità didattica 5.2 –
Organizzare la
videosorveglianza
Modulo 5.2.1 – Riepilogo degli adempimenti
organizzativi
Modulo 5.2.2 – Analisi preliminare
Modulo 5.2.3 – Regolamento aziendale sulla
videosorveglianza
Modulo 5.2.4 – Modulistica per la videosorveglianza
Modulo 5.2.5 – Check list sulla videosorveglianza
Domande di verifica 5.2
245
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Modulo 5.2.1 – Riepilogo degli
adempimenti organizzativi
Analisi preliminare
Prima di installare un impianto di videosorveglianza occorre valutare se la sua utilizzazione sia
realmente proporzionata agli scopi perseguiti o se non sia invece superflua. Gli impianti devono
cioè essere attivati solo quando altre misure (sistemi d’allarme, altri controlli fisici o logistici,
misure di protezione agli ingressi ecc.) siano realmente insufficienti o inattuabili. Questa analisi
deve essere sintetizzata in forma scritta ed il documento conservato presso il responsabile del
trattamento o il titolare. Il documento deve riportare anche la dislocazione e la tipologia delle
apparecchiature (fisse o mobili) utilizzate.
Autorizzazione preliminare
È necessario una autorizzazione preliminare da parte del Garante solo nel caso che i sistemi di
videosorveglianza prevedano una raccolta delle immagini collegata e/o incrociata e/o confrontata
con altri particolari dati personali (ad esempio dati biometrici) oppure con codici identificativi di
carte elettroniche o con dispositivi che rendono identificabile la voce.
Informativa
Chiunque transiti in una zona soggetta a videosorveglianza, quindi anche un semplice cittadino,
deve essere informato che sta per accedere o che si trova in una zona videosorvegliata e
dell’eventuale registrazione; ciò anche nei casi di eventi e in occasione di spettacoli pubblici
(concerti, manifestazioni sportive) o di attività pubblicitarie (attraverso web cam). Il Garante ha
predisposto un modello semplificato di informativa minima sotto forma di "cartello" con un
simbolo ad indicare l’area video sorvegliata; questo cartello deve essere chiaramente visibile ed
indicare chi effettua la rilevazione delle immagini e per quali scopi. In presenza di più telecamere,
in relazione alla vastità dell’area e alle modalità delle riprese, vanno installati più cartelli.
In luoghi diversi dalle aree esterne il "cartello" va integrato con almeno un avviso circostanziato che
riporti gli elementi completi dell’informativa:




finalità e modalità del trattamento;
natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale
rifiuto di rispondere;
soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza;
diritti riconosciuti all'interessato dall'articolo 7 del Codice; estremi identificativi del titolare
e, se designato, del responsabile del trattamento.
Consenso
Si possono installare telecamere senza il consenso degli interessati, sulla base delle prescrizioni
indicate dal Garante, quando chi intende rilevare le immagini deve perseguire un interesse legittimo
a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di
vandalismo, prevenzione incendi, sicurezza del lavoro ecc.
246
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Responsabili ed incaricati
Si devono designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate ad
utilizzare gli impianti e, nei casi in cui è indispensabile per gli scopi perseguiti, a visionare le
registrazioni.
Vanno osservate le regole ordinarie anche per ciò che attiene all’eventuale designazione di
responsabili (interni o esterni) del trattamento, avendo particolare cura al caso in cui il titolare si
avvalga di un organismo esterno anche di vigilanza privata.
Regolamento aziendale
È opportuno che venga predisposto un regolamento aziendale relativo ai sistemi di
videosorveglianza e registrazioni di immagini in uso presso l’azienda. Il regolamento, oltre a
riportare il censimento aggiornato dei sistemi e dei relativi trattamenti nell’ambito in oggetto,
dovrebbe contenere le istruzioni operative suddivise per funzioni aziendali nonché le misure di
sicurezza adottate. Nelle aziende più piccole il regolamento può essere sostituito da istruzioni scritte
per gli incaricati.
Formazione
Devono essere adottate opportune iniziative periodiche di formazione degli incaricati sui doveri,
sulle garanzie e sulle responsabilità, sia all’atto dell’introduzione del sistema di videosorveglianza,
sia in sede di modifiche delle modalità di utilizzo.
Diritto di accesso
Le immagini di una persona acquisite con un impianto di videosorveglianza costituiscono dati
personali, con conseguente possibilità per l'interessato di proporre l'istanza di accesso nei confronti
del titolare e del responsabile del trattamento.
247
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Modulo 5.2.2 – Analisi preliminare
Sul sito di ComplianceNet è disponibile un modello di “Analisi preliminare"245 sulla
videosorveglianza (versione del 22 ottobre 2009).
Il modello è rilasciato con la stessa “licenza aperta” Creative Commons Attribuzione - Non
commerciale 2.5 Italia License246 di questo libro ed è disponibile in formato pdf247 e Microsoft
word 97-2003248.
L’autore del modello è Carla Marcelli di CMA Consulting.
Indice del modello di "analisi preliminare" sulla videosorveglianza





Premessa
Normativa di riferimento
Bilanciamento di interessi e principio di necessità
Descrizione del sistema di videosorveglianza e rispetto del principio di proporzionalità
Altri documenti aziendali relativi alla videosorveglianza
245
http://www.compliancenet.it/content/privacy-modello-di-analisi-preliminare-sulla-videosorveglianza-con-licenzaaperta
246
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
247
http://www.compliancenet.it/documenti/analisi-preliminare-videosorveglianza.pdf
248
http://www.compliancenet.it/documenti/analisi-preliminare-videosorveglianza.doc
248
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Modulo 5.2.3 – Regolamento aziendale
sulla videosorveglianza
Sul sito di ComplianceNet è disponibile un modello di "Regolamento aziendale" sulla
videosorveglianza249 (data: 28 ottobre 2009).
Il modello è rilasciato con la stessa “licenza aperta” Creative Commons Attribuzione - Non
commerciale 2.5 Italia License250 di questo libro ed è disponibile in formato pdf251 e Microsoft
word252 97-2003.
L’autore del modello è Carla Marcelli di CMA Consulting.
Indice del modello di "regolamento aziendale sulla videosorveglianza"









Premessa
Soluzione adottata
Premessa
Motivazione
Sistema adottato
Struttura organizzativa
o Titolare dei trattamenti relativi alla “videosorveglianza”
o Responsabilità del sistema di “videosorveglianza”
o Incaricati al trattamento dei dati personali del sistema di “videosorveglianza”
Misure di sicurezza
o Protezione della trasmissione delle immagini dalle telecamere
o Protezione del pc contenente le registrazioni
o Rispetto delle norme di legge e delle disposizioni del garante per la protezione dei
dati personali
Adempimenti specifici richiesti per la privacy
o Informativa
o Formazione
o Diritto d’accesso
Allegati
o Analisi preliminare sulla videosorveglianza
o Nomina del responsabile dei trattamenti di videosorveglianza
o Nomina degli incaricati dei trattamenti di videosorveglianza
249
http://www.compliancenet.it/content/privacy-modello-di-regolamento-aziendale-sulla-videosorveglianza-conlicenza-aperta
250
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
251
http://www.compliancenet.it/documenti/regolamento-videosorveglianza.pdf
252
http://www.compliancenet.it/documenti/regolamento-videosorveglianza.doc
249
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Modulo 5.2.4 – Modulistica per la
videosorveglianza
Nomina del responsabile dei trattamenti di videosorveglianza
Nota: il Direttore Generale di Arcobaleni196 è stato precedentemente nominato “Responsabile dei
trattamenti” con la delega (da parte del Consiglio di Amministrazione) a nominare ulteriori
responsabili interni o esterni. Di conseguenza la nomina a “Responsabile dei trattamenti di
videosorveglianza” viene fatta da Direttore Generale (diversamente la nomina andrebbe fatta dal
Consiglio di Amministrazione).
A: Carmela Rossetti
Ai sensi dell’art.29 del decreto legislativo 30 giugno 2003 n. 196 “Codice in materia di trattamento
dei dati personali”, con la presente, lei viene nominata “Responsabile del trattamento dei dati” per i
soli trattamenti relativi alla videosorveglianza.
La nomina avviene dopo aver constatato che lei, in relazione al grado ricoperto in azienda,
possiede i requisiti di esperienza, capacità ed affidabilità idonei a fornire garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento.
Nella qualità di “Responsabile dei trattamenti di videosorveglianza” lei, avvalendosi ove
necessario anche delle altre unità operative aziendali e dei consulenti esterni (legale, fiscale, del
lavoro):

garantisce il buon funzionamento del sistema di videosorveglianza aziendale così come descritto nel
“Regolamento videosorveglianza” allegato alla presente lettera di nomina;

nomina/revoca gli incaricati dei trattamenti di videosorveglianza dandone notizia al Direttore generale nella
sua qualità di Responsabile dei trattamenti;

identifica, incarica/revoca la società di manutenzione degli apparati di videosorveglianza dando istruzioni
sulle modalità operative anche in relazione alla normativa sulla privacy;

provvede su richiesta delle autorità giudiziarie o di polizia a fare copia delle immagini registrate per le stesse
autorità;

sentito il Direttore Generale, con l’assistenza del responsabile “Sistemi e Reti” individua, predispone, verifica,
documenta e rende note le misure di sicurezza (minime e più ampie) necessarie per la protezione dei dati
personali relativi ai trattamenti di videosorveglianza;

si coordina con le funzioni aziendali di gestione dei “Reclami” in caso venga esercitato il diritto d’accesso in
relazione ai trattamenti di videosorveglianza dandone pronta notizia al Direttore Generale.
L’azienda si riserva, ai sensi dell'art. 29 comma 5 del “Codice”, la facoltà di effettuare verifiche
periodiche per vigilare sulla puntuale osservanza delle presenti istruzioni.
Il Direttore Generale
Pinco Arcobaleni
250
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Nomina degli incaricati dei trattamenti di videosorveglianza
Lettera di istruzioni per la ditta di Vigilanza
Spettabile
Nulla-ci-sfugge-vigilantes srl
In relazione al contratto in essere (rif. cont. ABC) con la presente si comunicano le istruzioni che il
vostro personale deve seguire in relazione all’utilizzo del sistema di videosorveglianza di
Arcobaleni196.

Il vostro personale deve limitarsi a monitorare le immagini sul monitor di controllo agendo,
in caso di emergenza, come previsto dal contratto in essere.

In nessun caso il vostro personale è autorizzato a visionare, copiare, modificare, cancellare
o effettuare altro trattamento dei dati personali relativi al sistema di videosorveglianza
(immagini registrate).

Va in ogni caso garantita la massima riservatezza su informazioni o dati di cui il vostro
personale venisse a conoscenza.
Con l’occasione si rammenta che il vostro personale che svolge attività di “vigilanza” presso
Arcobaleni196 deve essere da voi preventivamente informato sui contenuti e gli adempimenti
relativi al “Codice in materia di protezione dei dati personali”.
Il Direttore Generale
Pinco Arcobaleni
251
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Lettera di istruzioni per la ditta di manutenzione del sistema di videosorveglianza
Spettabile
Vedo-e-prevedo-tutto srl
In relazione al contratto in essere (rif. cont. Xwz) con la presente si comunicano le istruzioni che il
vostro personale deve seguire durante le attività di manutenzione del sistema di videosorveglianza
di Arcobaleni196.

Il vostro intervento deve limitarsi alle azioni necessarie per garantire il buon funzionamento
delle apparecchiature e del software del sistema di videosorveglianza come da specifiche
riportate nel contratto.

In nessun caso il vostro personale è autorizzato a visionare, copiare, modificare, cancellare
o effettuare altro trattamento dei dati personali relativi al sistema di videosorveglianza
(immagini registrate).

Va in ogni caso garantita la massima riservatezza su informazioni o dati di cui il vostro
personale venisse a conoscenza.
Con l’occasione si rammenta che il vostro personale incaricato per le attività di manutenzione del
nostro sistema di videosorveglianza deve essere da voi preventivamente informato sui contenuti e
gli adempimenti relativi al “Codice in materia di protezione dei dati personali”.
Il Direttore Generale
Pinco Arcobaleni
252
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Lettera di incarico al trattamento dei dati personali in relazione ai trattamenti di
videosorveglianza
A: Francesco GialloRosso, Ufficio “Sistemi e Reti”
Ai sensi dell’art.30 del decreto legislativo 30 giugno 2003 n. 196 “Codice in materia di trattamento
dei dati personali”, con la presente, lei viene incaricato del trattamento dei dati personali per le
attività da lei svolte presso l’Ufficio “Sistemi e Reti” per la manutenzione del sistema di
videosorveglianza.
Nella qualità di “incaricato dei trattamenti” le dovrà attenersi a quanto prescritto dal “Regolamento
videorveglianza” e alle altre disposizioni aziendali in materia di protezione dei dati personali e di
sicurezza delle informazioni, dei dati, dei beni di Arcobaleni196.
In particolare lei dovrà operare con cura e diligenza perché i dati personali:
 non siano mai danneggiati, alterati, modificati;

non siano cancellati (tranne nei casi previsti dal regolamento);

non siano diffusi, copiati parzialmente o in toto (tranne nei casi previsti dal regolamento).
Il Direttore Generale
Pinco Arcobaleni
253
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Informativa completa sulla videosorveglianza
Informativa al sensi dell'art. 13 del d.lgs. 30 giugno 2003 n. 196
Arcobaleni196 srl in qualità di “Titolare” del trattamento, ai sensi del D. Lgs. 196/2003, informa
che i dati personali, raccolti tramite impianti di videoregistrazione all’ingresso e nei locali della
società e nelle zone segnalate da appositi cartelli o vetrofanie, per sole e legittime finalità di
sicurezza e prevenzione dei reati a tutela delle persone e del patrimonio aziendale, formano oggetto
di trattamento nel rispetto del “Codice in materia di protezione dei dati personali” e della vigente
normativa interna.
I supporti, le immagini e i dati personali in essi contenuti possono essere messi a disposizione
esclusivamente dell’Autorità Giudiziaria (su specifica richiesta della stessa) per l’individuazione
degli autori di eventuali fatti illeciti a danno della società e di altri soggetti.
Tali dati non vengono diffusi.
Il personale di Arcobaleni196 ed i soggetti esterni addetti alla manutenzione delle apposite
apparecchiature hanno accesso ai dati esclusivamente per le finalità sopra indicate e per la gestione
tecnica degli impianti.
Per ulteriori informazioni o per esercitare i diritti di cui all’articolo 7 del “Codice in materia di
protezione dei dati personali” ci si può rivolgere presso la nostra sede in via Multicolori 123,
Colleazzurro, Roma oppure per iscritto:


al “Responsabile del trattamento dati per la videosorveglianza”, signora Carmela Rossetti,
via Multicolori 123, Colleazzurro, Roma;
via email: [email protected]
254
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Modulo 5.2.5 – Check list sulla
videosorveglianza
Videosorveglianza senza registrazioni di immagini
Misure
organizzative
Analisi preliminare
obbligatorio
Nomina incaricato
obbligatorio
Nomina responsabile interno
opzionale
Nomina responsabile esterno
opzionale
Informativa minima
obbligatorio
Regolamento aziendale
opzionale
Gestione diritto di accesso
obbligatorio
Formazione
obbligatorio
Casi illeciti
Non devono esserci sistemi di videosorveglianza in
prossimità di:
bagni
obbligatorio
spogliatoi
obbligligatorio
spogliatoi
obbligatorio
sale sindacali
obbligatorio
Non devono esserci sistemi di videosorveglianza per
finalità di controllo dei lavoratori
obbligatorio
Misure di
sicurezza
255
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
Locali (ove sono presenti i monitor di controllo) con
accesso controllato (badge, chiavi,…)
obbligatorio
Attestato di conformità da fornitore esterno
obbligatorio
Videosorveglianza con registrazioni di immagini
Misure
organizzative
Analisi preliminare
obbligatorio
Autorizzazione del Garante (solo se concomitanza a
sistemi biometrici)
obbligatorio
Nomina incaricato
obbligatorio
Nomina responsabile interno
opzionale
Nomina responsabile esterno
opzionale
Informativa minima
obbligatorio
Informativa completa
obbligatorio
Regolamento aziendale
opzionale
Gestione diritto di accesso
obbligatorio
Formazione
obbligatorio
Casi illeciti
Non devono esserci sistemi di videosorveglianza in
prossimità di:
bagni
obbligatorio
spogliatoi
obbligatorio
sale sindacali
obbligatorio
Non devono esserci sistemi di videosorveglianza per
obbligatorio
256
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5 – Unità didattica 5.2
finalità di controllo dei lavoratori
Cancellazione
delle
immagini
Entro le 24 ore
obbligatorio
Entro una settimana
Obbligatorio (previo
giustificazione)
Locali (ove sono presenti i monitor di controllo) con
accesso controllato (badge, chiavi,…)
obbligatorio
Armadi chiusi a chiave per la custodia dei supporti
obbligatorio
sistemi di controllo accessi (user-id, password) per
visionare le registrazioni
obbligatorio
Misure di
sicurezza
sistemi di cifratura delle registrazioni
Attestato di conformità da fornitore esterno
257
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
obbligatorio
Lezione 5 – Unità didattica 5.2
Domande di verifica 5.2
Domanda
Le immagini registrate
devono essere
cancellate dopo un
periodo di tempo
massimo
È vietato usare sia
sistemi di
videosorveglianza sia
sistemi di rilevazione
biometrica (ad
esempio: impronte
digitali)
Prima risposta
Vero.
Le immagini possono
essere conservate al
massimo un mese.
Seconda risposta
Vero.
Le immagini possono
essere conservate al
massimo una
settimana.
Falso.
Le banche possono
usare entrambi i
sistemi senza nessuna
autorizzazione
preventiva mentre tutte
le altre aziende devono
prima chiedere
l’autorizzazione al
Garante.
Il diritto d’accesso non
si applica alle
videoregistrazioni
Vero.
Le immagini
videoregistrate non
possono essere oggetto
di “diritto d’accesso”.
Vero.
Il Garante ha sempre
vietato di utilizzare
entrambi i sistemi.
Falso.
Le immagini
videoregistrate, alla
pari di qualsiasi altro
trattamento, sono
soggette al “diritto
d’accesso” da parte
dell’interessato.
Terza risposta
Falso.
Le immagini possono
essere conservate fino
a quando il titolare lo
ritiene necessario.
Falso.
Per “giustificati”
motivi è possibile
utilizzare entrambi i
sistemi; tuttavia va
richiesta, per i sistemi
di rilevazione
biometrici, una
preventiva
autorizzazione al
Garante.
Falso.
L’interessato può
esercitare il diritto di
accesso ma non
richiedere che le
proprie immagini
siano cancellate..
258
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5– Risposte alle domande di verifica
Risposte alle domande di
verifica della lezione 5
Domande di verifica 5.1 e risposte corrette
Domanda
Nessun adempimento
è richiesto se le
telecamere non
registrano immagini
Se le telecamere
registrano le immagini
è obbligatoria la
nomina del
responsabile del diritto
d’accesso
Prima risposta
Falso.
Occorre in ogni caso
predisporre una
informativa minima
anche sotto forma di
cartello.
Falso.
È opportuno, ma non
obbligatorio,
nominare un
responsabile per i
trattamenti di video
sorveglianza.
Seconda risposta
Solo la magistratura
può visionare le
immagini registrate
dalle telecamere
Terza risposta
Falso.
Le immagini possono
essere visionate da
tutti coloro che sono
stati incaricati di tale
trattamento.
259
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 5– Risposte alle domande di verifica
Domande di verifica 5.2 e risposte corrette
Domanda
Le immagini registrate
devono essere
cancellate dopo un
periodo di tempo
massimo
È vietato usare sia
sistemi di
videosorveglianza sia
sistemi di rilevazione
biometrica (ad
esempio: impronte
digitali)
Il diritto d’accesso non
si applica alle
videoregistrazioni
Prima risposta
Seconda risposta
Vero.
Le immagini possono
essere conservate al
massimo una
settimana.
Terza risposta
Falso.
Per “giustificati”
motivi è possibile
utilizzare entrambi i
sistemi; tuttavia va
richiesta, per i
sistemi di rilevazione
biometrici, una
preventiva
autorizzazione al
Garante.
Falso.
Le immagini
videoregistrate, alla
pari di qualsiasi altro
trattamento, sono
soggette al “diritto
d’accesso” da parte
dell’interessato.
260
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Marketing e comunicazioni commerciali
Lezione 6 Marketing e
comunicazioni
commerciali
Caso di studio E – Email, fax e newsletter commerciali
Unità didattica 6.1 – Quadro normativo ed adempimenti
Unità didattica 6.2 – Lo spamming
Risposte alle domande di verifica della lezione 6
261
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Marketing e comunicazioni commerciali
Obiettivi di apprendimento
 Quando è possibile effettuare comunicazioni commerciali?
 Quali adempimenti ci sono per le comunicazioni commerciali con
sistemi automatizzati?
 Cosa deve fare un’azienda che intende fare comunicazioni commerciali?
A chi si rivolge questa lezione?
La lezione si rivolge al Responsabile dei trattamenti di marketing e
commerciali, agli incaricati dei trattamenti di dati personali relativi al marketing
e alle comunicazioni commerciali.
Concetti chiave:
 Privacy e marketing.
 Casi reali in cui è intervenuto il Garante in relazione al marketing,
spamming, fidelity card.
 Newsletter, email, fax a carattere commerciale.
 Adempimenti aziendali.
Percorso formativo
•
Corso per Responsabile dei trattamenti di marketing
262
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Caso di studio F
Lezione 6 –
Caso di studio F –
email, fax e
newsletter
commerciali
263
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Caso di studio F
La mattina, quando mi alzo, di solito metto su la caffettiera e per prima cosa controllo le email.
Ohibò!
Stamane tra le innumerevoli email di spamming che ricevo ogni giorno (medicinali a prezzi
stracciati, lauree e dottorati americani da conseguire on line, improbabili offerte di lavoro …) spicca
una email di Arcobaleni196253, la società per cui ho svolte le mie consulenze in ambito “privacy”, e
che mi propone un’offerta speciale sui propri prodotti.
Non ricordo però di aver mai dato ad Arcobaleni196 il consenso a trattare i miei dati personali per
finalità di marketing!
Urge sentire il cavalier Arcobaleni: sono solo le 7.00 del mattino ma sicuramente sarà già in
azienda.
Gli telefono immediatamente.
“Buongiorno, cavaliere, sono l’ingegner Marcelli”
“Buongiorno ingegnere. Come sta? Se mi chiama per la sua fatturina le dico subito che è già in
pagamento … Ancora pochi giorni e …”
“Non ne dubito, cavaliere, ma in realtà la chiamo perché ho ricevuto una email da Arcobaleni196
con un’offerta speciale in occasione del prossimo Natale.”
“Ha visto che bella grafica? Non per vantarmi ma l’idea delle renne con le corna arcobaleno è stata
mia! E ha visto che prezzi? Una vera offerta speciale 3 X 2. Anzi guardi, siccome si tratta di lei, le
faccio anche uno sconto sull’offerta speciale…”
“Purtroppo le devo segnalare che questo tipo di comunicazione commerciale non può essere
effettuata senza il preliminare consenso del destinatario” lo interrompo.
“Suvvia che mi viene a raccontare? Sarò pure libero di mandare un’email ad un conoscente per
proporgli delle occasioni …”
“A quanti «conoscenti» avete mandato questa email?”
253
http://www.arcobaleni196.it/
264
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Caso di studio F
“Non so … tutti quelli di cui avevamo le email, in un modo o nell’altro … Diciamo qualche
centinaio, forse mille … Perché non si può fare?”
“Come ho avuto già occasione di dirle si può fare tutto purché si rispettino le regole. A proposito
avete anche mandato fax pubblicitari?”
“Già! L’ha ricevuto anche lei? Grande idea, no?”
“Il Garante ha esplicitamente vietato questa forma di comunicazione pubblicitaria. Arcobaleni196
rischia sanzioni pesanti. Pensate anche di fare comunicazioni commerciali telefoniche?”
“Ho proprio qui davanti un paio di offerte di società specializzate nel telemarking. Sono cari ma mi
garantiscono di avere i numeri di telefono di 1 milione di potenziali clienti! Lei che ne pensa,
ingegnere? Ne vale la pena?”
“Francamente penso che lei stia rischiando di buttare i suoi soldi dalla finestra e di essere sommerso
dai reclami. Che ne dice vogliamo vederci per parlare anche degli adempimenti richiesti dalla
normativa sulla privacy per le attività di marketing e di comunicazione commerciale?”
“Privacy, sempre privacy … Ma in concreto che rischi ci sono se continuo a mandare le mie email e
i miei fax?”
“Più di una volta il Garante per la protezione dei dati personali ha condannato aziende254 che
inviavano comunicazioni commerciali tramite posta elettronica e fax. L'Autorità ha ribadito che
l'uso di sistemi automatizzati per inviare messaggi promozionali, anche quando si tratti di dati
estratti da elenchi categorici o da albi, impone la preventiva acquisizione del consenso da parte dei
destinatari. Alle cinque società è stato dunque vietato l'ulteriore trattamento illecito dei dati degli
utenti interessati, i quali non potranno dunque più essere disturbati. La mancata osservanza del
divieto del Garante espone anche a sanzioni penali.”
“Penali? Allora è meglio che venga subito a trovarci!”
“Il tempo di un caffè è una brioche …”
254
http://www.garanteprivacy.it/garante/doc.jsp?ID=1611760
265
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Caso di studio F
Due ore dopo,
ore 9.00,
ufficio del cavalier
Arcobaleni
“Buongiorno a tutti e grazie di essere qui” esordisco di fronte al cavaliere e ai suoi più stretti
collaboratori.
Vorrei cominciare questo breve incontro su privacy e marketing ricordando lo spirito dei
provvedimenti del Garante per la protezione dei dati personali in relazione alle informazioni
commerciali.
Come ho già avuto modo di ripetere affrontando altre problematiche, le norme sulla privacy non
vietano le comunicazioni commerciali ma richiedono che esse siano svolte in modo da non arrecare
danni o disturbo ai clienti.
In particolare il Garante ha ribadito, in diverse occasioni, il divieto assoluto di fare spamming cioè
mandare comunicazioni commerciali via email o fax senza il preventivo consenso degli interessati.
“Ma come faccio ad avere un consenso preventivo? La prima volta dovrò pure telefonare o mandare
una email o fax anche solo per chiedere il consenso a proseguire con le comunicazioni? No?”
chiede Carmela Rossetti, responsabile della Qualità e dell’ufficio reclami.
“Ma a coloro che sono già clienti di Arcobaleni196, posso mandare o no questa benedetta
newsletter? Mi è costata un occhio della testa per spese di design e grafica … “ si lamenta il
cavalier Arcobaleni.
“Calma, calma” dico io “fatemi andare con ordine. Lo spirito fondamentale delle norme sulla
privacy per quel che riguarda le informazioni commerciali è ben sintetizzato dalla seguente frase di
Mauro Paissan, componente dell’Ufficio del Garante:
“Se qualcuno vuole entrare in casa nostra deve
bussare. Così, se qualcuno vuole chiamarci per vendere
un prodotto o un servizio, deve avere il nostro consenso
per usare il nostro numero telefonico. Il Garante vuole
difendere i cittadini che si sentono molestati da telefonate
non desiderate. In questo modo si tutelano anche gli
operatori di telemarketing che si comportano
correttamente”.
“Andiamo al sodo!” sbotta il cavaliere “cosa dobbiamo fare in pratica?”
266
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Caso di studio F
“Ho predisposto qualche slide con i punti su cui ci dobbiamo concentrare” rispondo “eccoli qua …”
Adempimenti
per le
Informazioni commerciali
“In primo luogo” inizio “prima di iniziare qualsiasi attività di informazione commerciale dobbiamo
verificare se è necessario richiedere il consenso preventivo del destinatario della comunicazione di
marketing. Dobbiamo fare insomma una vera e propria analisi del consenso della nostra clientela e
della nostra potenziale clientela.”
“Può dirci quali sono i casi in cu serve il consenso preliminare e quando invece non è necessario?”
chiede Rossetti.
1)
Gestione del
consenso
Adempimenti
per le
Informazioni
commerciali
Il quadro d’insieme degli adempimenti per le aziende per quanto riguarda i trattamenti di dati
personali con finalità di marketing può essere tracciato partendo dalle “Prescrizioni del Garante" del
19 giugno 2008”255 volte alla semplificazioni degli adempimenti.
255
http://www.garanteprivacy.it/garante/doc.jsp?ID=1526724
267
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Caso di studio F
In questi documento il Garante dice che, in generale, il consenso non è richiesto quando:
 il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o
normativi o, comunque, per ordinarie finalità amministrative e contabili;
 i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o
sono relativi allo svolgimento di attività economiche dell'interessato.
Inoltre il Garante, in applicazione dell'istituto del bilanciamento degli interessi individua
un'ulteriore ipotesi nella quale il consenso non va richiesto:
 il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un
interessato, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili,
potrà utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta
elettronica, come già previsto per legge: articolo 130, comma 4 del Codice) di posta
cartacea forniti dall'interessato medesimo, per inviare ulteriore suo materiale
pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato
o di comunicazione commerciale.
Viceversa il consenso preventivo è richiesto per tutti i nuovi clienti (nei modi che vedremo
successivamente) e ogni qualvolta si faccia uso di sistemi automatizzati di invio di informazioni
commerciali (fax, email).
1)
Gestione del
consenso
2)
Gestione
dell’informativa
Adempimenti
per le
Informazioni
commerciali
“In ogni caso” ricordo “l’informativa per i trattamenti di natura commerciale va sempre data”
“Non vorrà mica” sbotta il cavaliere “che spediamo a casa dei nostri clienti una nuova informativa!”
“Non è necessario” rispondo “l’informativa può essere data anche con modalità semplificate, ad
esempio anche per mezzo del sito web di Arcobaleni o contestualmente alle informazioni
commerciali.
L’importante è che questa informativa, oltre a contenere tutti gli elementi richiesti dalla normativa,
permetta all'interessato (cioè al destinatario dell’informazione commerciale), al momento della
268
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Caso di studio F
raccolta e in occasione dell'invio di ogni comunicazione effettuata per finalità commerciali di essere
informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e
gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere
un immediato riscontro che confermi l'interruzione di tale trattamento.”
1)
Gestione del
consenso
2)
Gestione
dell’informativa
3)
Sistemi
automatizzati
Adempimenti
per le
Informazioni
commerciali
“Passiamo agli adempimenti legati all’uso dei c.d. sistemi automatizzati. L’art. 130
(Comunicazioni indesiderate) del Codice in materia di protezione dei dati personali 256 vieta
(comma 1) l'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di
materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale senza il consenso dell'interessato. Inoltre è vietato in ogni caso l'invio
di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato
camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale
l'interessato possa esercitare i diritti di cui all'articolo 7”
256
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
269
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Caso di studio F
1)
Gestione del
consenso
2)
Gestione
dell’informati
va
3)
Sistemi
automatizzati
Adempimenti
per le
Informazioni
commerciali
4)
Diritti degli
interessati
“In quest’ambito” ricordo “è fondamentale, inoltre, la gestione dei <<diritti degli interessati>>.
Ogni reclamo o richiesta di diritto di accesso deve essere intercettato e gestito nei tempi e modi
corretti. Fortunatamente Arcobaleni196 ha una gestione dei reclami già compliant ai requisiti della
norma sulla privacy, come abbiamo già visto in uno dei nostri precedenti incontri …”
La signora Rossetti arrossisce. Il cavalier Arcobaleni tossisce per far capire che il tempo stringe.
270
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Caso di studio F
1)
Gestione del
consenso
2)
Gestione
dell’informati
va
3)
Sistemi
automatizzati
Adempimenti
per le
Informazioni
commerciali
5)
Formazione
4)
Diritti degli
interessati
“Infine last but not least” sottolineo “occorre predisporre la formazione del personale che effettua i
trattamenti con finalità commerciali.”
“Ho capito” borbotta Arcobaleni “formazione, sempre formazione …
“Va bene ingegnere organizzi anche un bel corso di formazione sul marketing e le comunicazioni
commerciali in cui si riepilogano tutti gli adempimenti e il modo migliore in cui dobbiamo
organizzarci per rispettare queste regole” conclude il cavaliere “Adesso però, tutti al lavoro!”
Inizia il corso…
271
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Lezione 6 –
Unità didattica 6.1 – Quadro
normativo ed adempimenti
Modulo 6.1.1 – Un quadro in evoluzione
Modulo 6.1.2 – I principi generali
Modulo 6.1.3 – Norme di riferimento
Modulo 6.1.4 – Interventi più rilevanti del
Garante sul marketing, spamming, fidelity card
Modulo 6.1.5 – Fidelity card
Modulo 6.1.6 – Quesiti frequenti
Domande di verifica 6.1
272
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Modulo 6.1.1 – Un quadro in
evoluzione257
Alla data odierna (13 novembre 2009) il quadro normativo relativo a “privacy e comunicazioni
commerciali” è in piena evoluzione.
Infatti il 29 ottobre 2009, il senatore Malan258 del PDL ha proposto una modifica sostanziale
all’attuale sistema di utilizzo dei dati personali per il telemarketing e le “telefonate pubblicitarie”.
Andiamo con ordine.
Il sistema attuale
Il sistema attuale richiede un consenso preventivo da parte del cittadino prima di ricevere qualsiasi
comunicazioni commerciale.
Tale consenso preventivo non è necessario solo in casi molto particolari quando ad esempio i
recapiti dei “potenziali clienti” sono tratti da:
 elenchi telefonici ma solo se l’interessato ha esplicitamente indicato con l’apposito simbolo
grafico di accettare tali tipi di trattamento
 da elenchi categorici, tipo Pagine Gialle ed affini, purché la comunicazione commerciale
avvenga senza l’ausilio di sistemi automatizzati
 da banche dati costituite antecedentemente al primo agosto 2005 purché sia dimostrabile
che sia stata resa l’informativa agli interessati.
Questo sistema basato sul consenso preventivo è noto come “approccio opt-in” con il quale si
intende che è necessario, appunto, il consenso da parte dei clienti prima di ricevere comunicazioni
commerciali.
Approccio opposto è quello denominato “opt-out” con il quale si intende la possibilità a posteriori
di esercitare il diritto di opporsi all’invio di comunicazioni commerciali indesiderate.
La deroga del decreto “mille proroghe” del febbraio 2009
In questo momento e fino al 31 dicembre 2009 è in vigore una deroga al sistema di consenso
preventivo sopra illustrato.
Infatti il 24 febbraio 2009 la Camera dei deputati ha approvato la “Conversione in legge, con
modificazioni, del decreto-legge 30 dicembre 2008, n. 207, recante proroga di termini previsti
da disposizioni legislative e disposizioni finanziarie urgenti”259 (noto come decreto mille
proroghe) che appunto autorizza, fino al 31 dicembre 2009, le “telefonate commerciali
indesiderate” usando i numeri presenti negli elenchi telefonici pubblici formati prima del 1 agosto
2005.
Articolo di Agatino Grillo www.agatinogrillo.it gentilmente concesso per quest’opera. Originariamente pubblicato in
http://www.compliancenet.it/content/comunicazioni-commerciali-e-privacy-un-quadro-evoluzione
258
http://www.luciomalan.it
259
http://www.camera.it/_dati/leg16/lavori/schedela/apriTelecomando_wai.asp?codice=16PDL0019480
257
273
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Tutto nasce dal provvedimento del 2 settembre 2008260 con il quale l’Autorità Garante ha vietato
ad alcune società specializzate nella creazione e nella vendita di banche dati l’ulteriore trattamento
di dati personali di milioni di utenti. Il divieto riguardava anche altre aziende che avevano
acquistato da queste società i data base allo scopo di poter contattare gli utenti e promuovere i loro
prodotti e servizi tramite call center.
Dalle verifiche effettuate presso le società che hanno fornito i data base era emerso che i dati degli
utenti erano stati raccolti e ceduti a terzi senza informare gli interessati, o informandoli in
maniera inadeguata, e senza un loro preventivo specifico consenso.
Inoltre le aziende e le compagnie telefoniche che avevano acquistato i dati e li utilizzavano a fini di
marketing telefonico (il cosiddetto teleselling), non si erano preoccupate di accertare, come prevede
invece la disciplina sulla protezione dei dati, che gli abbonati avessero acconsentito alla
comunicazione dei propri dati e al loro uso a fini commerciali.
La contestazione del Garante nasce dal fatto che dopo il primo agosto 2005 i dati personali estratti
dagli elenchi telefonici possono essere oggetto di comunicazione solo quando tale trattamento è
stato indicato nell'informativa e l'interessato ha manifestato uno specifico consenso (art. 23 del
Codice).
Prima dell’approvazione del decreto milleproroghe i dati estratti dagli elenchi telefonici pubblicati
prima del primo agosto 2005 potevano utilizzati dal titolare del trattamento per contattare
direttamente gli interessati a condizione che fosse stata fornita a suo tempo un'idonea informativa,
circostanza non riscontrata nel caso del 2 settembre 2008 preso in esame dal Garante; con il “mille
proroghe” e fino al 31 dicembre 2009 tali numeri telefonici tratti da archivi (ed elenchi) costituiti
prima del 1 agosto 2005 possono essere utilizzati senza necessità di informativa (articolo 13 del
"Codice in materia di protezione dei dati personali261) e di consenso (articolo 23 del Codice).
La “proposta Malan”
La proposta del senatore Malan262, che ha già ricevuto parere favorevole della Commissione Affari
Costituzionali del Senato, capovolge l’attuale sistema di utilizzo dei dati personali per il
telemarketing e le “telefonate pubblicitarie” proponendo di passare ad un approccio di tipo opt-out
con il quale si intende la possibilità a posteriori di esercitare il diritto di opporsi all’invio di
comunicazioni commerciali indesiderate.
In concreto Malan propone una completa liberalizzazione per 6 mesi, a partire dal primo gennaio
2010 delle comunicazioni commerciali e a seguire un regime di “silenzio-assenso” (approccio optout) a partire da maggio 2010, data dalla quale chi non vuole più ricevere comunicazioni
commerciali deve registrarsi in un apposito registro istituito presso il Garante per la protezione dei
dati personali.
L’opposizione dell’Ufficio del Garante per la protezione dei dati personali alla “proposta
Malan”
Il 4 novembre 2009 Mauro Paissan, componente dell’Ufficio del Garante, ha reso pubblico un
comunicato stampa263 in cui afferma, in relazione alla proposta Malan, che “i cittadini verranno
disturbati da una quantità incredibile di telefonate pubblicitarie, anche se non hanno mai dato il loro
consenso alle chiamate”.
260
http://www.garanteprivacy.it/garante/doc.jsp?ID=1544082
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
262
http://www.senato.it/japp/bgt/showdoc/frame.jsp?tipodoc=Ddlmess&leg=16&id=442419
263
http://www.garanteprivacy.it/garante/doc.jsp?ID=1664819
261
274
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Paissan sottolinea “gli effetti negativi dell'emendamento approvato dal Senato sulle telefonate
promozionali, che finirà col danneggiare lo stesso telemarketing, che apparirà sempre più invadente
e insopportabile”.
“Si tratta di un errore. Gli utenti telefonici – afferma ancora Paissan - verranno bombardati di
messaggi e si vedranno costretti a iscriversi a un apposito registro per opporsi. Ma questi registri
non hanno funzionato in nessun paese dove sono stati istituiti. E comunque molti cittadini,
soprattutto gli anziani, troveranno molta difficoltà a manifestare il loro dissenso”.
“Infine – conclude Paissan – l'Italia con questa norma si rende responsabile di un'ulteriore
infrazione comunitaria e Bruxelles ce la farà pagare”.
La posizione delle associazioni dei consumatori
Alcune associazioni dei consumatori (Adiconsum, Adusbef, Assoutenti, Federconsumatori, Lega
Consumatori, Movimento Consumatori, Movimento Difesa del Cittadino e Unione Nazionale
Consumatori) si sono mobilitate264 contro la “proposta Malan.
Altroconsumo propone invece265 di superare l’attuale approccio basato sul consenso esplicito del
consumatore (opt in) e passare all’approccio opt out (possibilità per il consumatore di esprimere il
proprio diniego a posteriori a ricevere chiamate promozionali) insieme alla predisposizione di una
“Robinson List” un elenco, cioè, dei nominativi di chi non vuole ricevere tali comunicazioni.
L’interrogazione alla Commissione Europea dei parlamentarti italiani del PD
A fine ottobre 2009, gli europarlamentari del Partito Democratico Patrizia Toia, Silvia Costa,
David-Maria Sassoli e Debora Serracchiani hanno presentato un’interrogazione alla Commissione
Ue266 in cui denunciano la violazione del diritto della privacy in Italia.
264
http://www.helpconsumatori.it/news.php?id=25227
http://www.altroconsumo.it/cittadini-e-pubblica-amministrazione/voto-al-senato-su-telemarketing-e-privacyaltroconsumo-si-alle-liste-di-chi-non-vuol-essere-contattato-s258853/servizi-e-societa-p12710.htm
266
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+WQ+E-20095381+0+DOC+WORD+V0//IT&language=IT
265
275
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Modulo 6.1.2 – I principi generali
Principi
Mauro Paissan267, componente dell’Autorità Garante per la protezione dei dati personali, in
occasione della pubblicazione, il 2 settembre 2008, di tre provvedimenti inibitori268 nei confronti di
società specializzate nella creazione e vendita di banche dati ha ben sintetizzato lo spirito delle
norme privacy che regolano le comunicazioni commerciali.
“Se qualcuno vuole entrare in casa nostra deve bussare. Così, se qualcuno vuole chiamarci per
vendere un prodotto o un servizio, deve avere il nostro consenso per usare il nostro numero
telefonico. Il Garante vuole difendere i cittadini che si sentono molestati da telefonate non
desiderate. In questo modo si tutelano anche gli operatori di telemarketing che si comportano
correttamente”.
Quando si trattano dati personali è sempre necessario garantire il rispetto dei principi di:
 correttezza del trattamento;
 esattezza dei dati trattati;
 proporzionalità del trattamento.
Nel caso di trattamento di dati a fini commerciali sono inoltre particolarmente significativi:



267
268
il principio di finalità, che comporta il divieto di utilizzo di dati raccolti per altre finalità;
l’assicurazione di un agevole esercizio dei diritti da parte dell'interessato;
la predisposizione di congrue misure di sicurezza affinché si evitino la perdita dei dati o il
loro utilizzo da parte di soggetti non autorizzati.
http://www.garanteprivacy.it/garante/doc.jsp?ID=1126702
http://www.garanteprivacy.it/garante/doc.jsp?ID=1544082
276
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Modulo 6.1.3 – Norme di riferimento
Il quadro d’insieme degli adempimenti per le aziende per quanto riguarda i trattamenti di dati
personali con finalità di marketing può essere tracciato partendo dalle “Prescrizioni del Garante" del
19 giugno 2008”269 volte alla semplificazioni degli adempimenti.
Il consenso
Il primo punto da analizzare riguarda l’obbligo per le aziende di richiedere il consenso
dell’interessato (cliente o potenziale cliente) prima di inviargli comunicazioni commerciali.
Le “prescrizioni” di cui sopra recitano quanto segue.
Il consenso non è richiesto quando:
 il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o
normativi o, comunque, per ordinarie finalità amministrative e contabili;
 i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o
sono relativi allo svolgimento di attività economiche dell'interessato.
Inoltre il Garante, in applicazione dell'istituto del bilanciamento degli interessi individua
un'ulteriore ipotesi nella quale il consenso non va richiesto:
 il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un
interessato, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili,
potrà utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta
elettronica, come già previsto per legge: articolo 130, comma 4 del Codice) di posta
cartacea forniti dall'interessato medesimo, per inviare ulteriore suo materiale
pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato
o di comunicazione commerciale.
Adempimenti per le aziende per effettuare le comunicazioni commerciali
Nelle stesse prescrizioni il Garante ricorda le condizioni che le aziende devono soddisfare nel caso
vogliano effettuare nuovi trattamenti con finalità di marketing nei confronti dei propri clienti:
 l’attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli
oggetto della vendita;
 l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione
effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni
momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della
posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi
l'interruzione di tale trattamento;
 l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del
rapporto, non si opponga a tale uso, inizialmente o in occasione di successive
comunicazioni.
269
http://www.garanteprivacy.it/garante/doc.jsp?ID=1526724
277
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Marketing e sistemi automatizzati
L’art. 130 (Comunicazioni indesiderate) del Codice270 recita:
 comma 1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per
l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di
mercato o di comunicazione commerciale è consentito con il consenso dell'interessato;
 comma 5. É vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o,
comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente
o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui
all'articolo 7.
L’unica eccezione è rappresentata da quanto indicato nel comma 4 dello stesso articolo 130:
 comma 4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a
fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite
dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non
richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli
oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso,
inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della
raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al
presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in
maniera agevole e gratuitamente.
Riepilogo sul consenso
Tutto ciò premesso, di seguito formiamo uno schema di sintesi sulle varie possibilità.





270
Se l’interessato ha negato il consenso all’uso dei propri dati personali per finalità di
marketing l’azienda non può in nessun caso effettuare tali trattamenti.
Se l’interessato non ha dato il consenso ed è già cliente dell’azienda, l’azienda può
effettuare trattamenti con finalità di marketing ad esclusione dei trattamenti che richiedono
l'uso di sistemi automatizzati di chiamata (email, fax, sms, chiamate preregistrate). È
possibile mandare “singole” email relative a materiale pubblicitario simile ai prodotti /
servizi già venduti.
Se l’interessato non è già cliente (ed dunque de facto non ha espresso il suo consenso)
l’azienda può mandargli comunicazioni commerciali solo se ha tratto il suo recapito da
elenchi telefonici (ma solo se l’interessato aveva esplicitamente indicato con l’apposito
simbolo grafico di accettare tali tipi di trattamento) o da elenchi categorici (purché senza
l’ausilio di sistemi automatizzati) o da banche dati costituite prima del primo agosto
2005 purché sia dimostrabile che sia stata resa l’informativa agli interessati.
Le aziende che acquistano elenchi di indirizzi devono assicurarsi che tali elenchi siano
conformi alle norme di legge ed in particolare, se costituiti dopo il primo agosto 2005, che
sia stato dato il consenso da parte degli interessati (provvedimento del 29 maggio 2003
dell'Autorità Garante).
Quando i trattamenti con finalità di marketing sono effettuati con sistemi automatizzati (fax
e posta elettronica) anche se i recapiti sono estratti elenchi categorici (esempio: Pagine
Gialle) è obbligatorio il consenso .
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
278
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1

L'interessato ha sempre diritto di opporsi, in tutto o in parte (…) al trattamento di dati
personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o
per il compimento di ricerche di mercato o di comunicazione commerciale (articolo 7 del
Codice - diritto di accesso ai dati personali ed altri diritti).
279
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Modulo 6.1.4 – Interventi più rilevanti del
Garante sul marketing, spamming, fidelity
card
Pubblicazione/data
Comunicato stampa - 4 novembre 2009
Newsletter 9 ottobre 2009
Newsletter 27 luglio 2009
Newsletter 25 giugno 2009
Newsletter 19 maggio 2009
Newsletter 5 maggio 2009
Newsletter 12 febbraio 2009
Newsletter 16 gennaio 2009
Newsletter 2 dicembre 2008
Newsletter 6 ottobre 2008
Newsletter 29 luglio 2008
Newsletter 12 luglio 2008
Newsletter 1 luglio 2008
Newsletter 21 maggio 2008
Newsletter 29 febbraio 2008
Newsletter 12 febbraio 2008
Newsletter 5 febbraio 2008
Newsletter 4 gennaio 2008
Newsletter 30 ottobre 2007
Newsletter 30 agosto 2007
Newsletter 26 luglio 2007
Contenuti in ambito marketing, spamming,
fidelity card
Paissan, Garante privacy: “Grave errore il via
libera alle molestie pubblicitarie”
Ordini per telefono: si può richiedere copia
della registrazione
Fisco, previdenza, marketing sotto la lente del
Garante
Fidelity card: per averle, solo dati indispensabili
Informazione scorretta al tempo di Facebook
Biglietti on line, privacy più garantita
E-mail e fax indesiderati: nuovo stop del
Garante
Il Garante vara il piano ispettivo per i primi sei
mesi
Informazioni commerciali: si possono trattare
solo dati pertinenti
Marketing selvaggio: scattano nuovi divieti del
Garante
Social card: privacy garantita per i meno
abbienti
No ai sondaggi occulti
Vende dati on line, ma non informa gli
interessati e scatta il divieto del Garante
No a mail e fax indesiderati
Privacy e semplificazioni
Stop alle carte di fedeltà se spiano nel carrello
della spesa
Spam via fax
Spam telefonico: basta disturbare gli utenti
Troppi dati per le "fidelity card": interviene il
Garante
Gli "spammer" rischiano il risarcimento danni
Tutela della privacy e informazioni commerciali
Call center: arrivano le sanzioni del Garante
Nuovi interventi del Garante contro lo
spamming
No alla pubblicazione di e-mail private senza
280
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Newsletter 3 maggio 2007
Newsletter 31 gennaio 2007
Newsletter 18 settembre 2006
Newsletter 25 luglio 2006
Newsletter 29 maggio 2006
Newsletter 7 aprile 2006
Newsletter 16 marzo 2006
Newsletter 7 marzo 2006
Newsletter 23 gennaio 2006
Newsletter 27 luglio 2005
Newsletter 30 giugno 2005
Newsletter 4 - 10 aprile 2005
Newsletter 21 - 27 marzo 2005
Newsletter 7- 20 marzo 2005
Newsletter 14 – 20 febbraio 2005
Newsletter 31 gennaio - 6 febbraio 2005
Newsletter 24 - 30 gennaio 2005
Newsletter 19 - 25 luglio 2004
Newsletter 5 - 11 luglio 2004
Newsletter 21 - 27 giugno 2004
Newsletter 7 - 13 giugno 2004
Newsletter 31 maggio - 6 giugno 2004
Newsletter 29 marzo - 4 aprile 2004
Newsletter 22 - 28 marzo 2004
Newsletter 2 – 8 Febbraio 2004
Newsletter 19 - 25 gennaio 2004
Newsletter 8 - 21 dicembre 2003
Newsletter 10 - 16 novembre 2003
Newsletter 27 ottobre - 2 novembre 2003
consenso
Banche: accesso ai dati e dipendenti infedeli
Fax indesiderati e privacy
Pubblicità interattiva in Tv e privacy
Carte di fedeltà e diritti dei consumatori
Internet: no a e-mail pubblicitarie senza
consenso
Lotta a spam e chiamate non richieste in
Australia
Marketing disinvolto via fax: il Garante blocca
il data-base di un'agenzia
Filtri antispam: le linee guida dei Garanti
europei
Marketing ed organizzazioni non profit: le linee
guida del Garante inglese
USA: multa salata per marketing disinvolto
Elenchi telefonici: semplificate l e procedure per
i "categorici"
In albergo maggiore riservatezza per i clienti
Credito al consumo e garanzie per i consumatori
"Etichette intelligenti": le garanzie per il loro uso
Fidelity card e garanzie per i consumatori
"Vietato schedare i gusti dei telespettatori"
Elenchi telefonici: occorrono nuove campagne
pubbliche
Rfid e privacy: un binomio possibile
Nuovi elenchi telefonici: depliant informativo
del Garante
Al via i nuovi elenchi telefonici. Pubblicità solo
a chi dice sì
Contro lo spam una strategia globale
Pubblicità per posta e diritti dei cittadini
Il Garante ricorda le condizioni per l’invio di
sms senza consenso
Elenchi telefonici e privacy
Pubblicità per fax solo con il consenso del
destinatario
Internet: banner e spot elettorali nelle newsletter
per e-mail
Gli Usa contro gli spyware
Spam, un ostacolo allo sviluppo dell’ecommerce
Ocse e Commissione Ue discutono di spam
Anche negli Usa una legge contro lo spam
Anche la pubblicità per posta deve rispettare la
privacy
Internet annunci di lavoro a rischio privacy
Spam: azienda denunciata alla magistratura
281
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Newsletter 6 - 12 ottobre 2003
Newsletter 29 settembre - 5 ottobre 2003
Newsletter 1 - 7 settembre 2003
Newsletter 28 luglio - 3 agosto 2003
Newsletter 16 - 22 giugno 2003
Newsletter 21 - 27 aprile 2003
Newsletter 31 marzo - 6 aprile 2003
Newsletter 24 - 30 marzo 2003
Newsletter 17 - 23 marzo 2003
NEWSLETTER 10- 16 marzo 2003
Newsletter 24 febbraio - 2 marzo 2003
Newsletter 10 - 16 febbraio 2003
Newsletter 3 - 9 febbraio 2003
Newsletter 16 - 22 dicembre 2002
Newsletter 2 - 8 dicembre 2002
Newsletter 24 novembre - 1 dicembre 2002
Newsletter 11 - 24 novembre 2002
Newsletter 28 ottobre - 3 novembre 2002
Newsletter 29 luglio - 4 agosto 2002
Newsletter 15 - 26 luglio 2002
Newsletter 8 - 14 luglio 2002
Polizze assicurative e privacy
Dati passeggeri aerei: per Parlamento UE
trasferimenti negli USA solo se garantiti
Spamming: seminario della Commissione
europea
Spamming: bloccate altre sette società in
internet
SMS pubblicitari solo con il consenso del
destinatario
Lo spamming a fini di profitto è reato
No all'uso del fax per inviare pubblicità non
richiesta
SMS promozionali e gestori telefonici
Internet: occorre tutelare i dati dei responsabili
dei domini web
Negli Usa cresce la preoccupazione per lo
spamming
Come ci si difende dallo spamming. I risultati di
uno studio Usa
Spamming. Il Garante blocca l'attività illecita di
altre sette società su Internet
Usa. E’ costituzionale la legge contro lo
spamming via fax
Telemarketing: negli Usa il registro nazionale
per chi non vuole essere contattato
Nuovi elenchi telefonici: chiarezza nelle
informazioni agli abbonati
Privacy su Internet. Gli indirizzi e-mail non
sono pubblici
Spamming: le raccomandazioni del Garante
francese
Sms promozionali. Il Garante interviene nei
confronti di un gestore tlc
Maggiore privacy per gli utenti telefonici
E' illecito inviare e-mail a catena
La privacy, priorità anche negli Usa. Allarme
per spamming e cookies
Spamming e protezione dei dati. Uno studio
della commissione UE
Privacy e credito: nuove garanzie per i
consumatori
E-commerce: niente registri inutili
Spamming: iniziativa del Garante francese
TLC: Direttiva UE. Maggiori garanzie per
telefonia e Internet
Spamming: bloccati i data-base di 7 società
Borsa: gli ordini telefonici alle banche sono dati
personali
282
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Newsletter 1 - 7 luglio 2002
Newsletter 24 - 30 giugno 2002
Newsletter 10 - 16 giugno 2002
Newsletter 20 - 26 maggio 2002
Newsletter 13 - 19 maggio 2002
Newsletter 21 - 27 gennaio 2002
Newsletter 14 - 21 gennaio 2002
Newsletter 29 gennaio - 4 febbraio 2001
Newsletter 12 - 18 febbraio 2001
Newsletter 12 - 18 marzo 2001
Newsletter 19 marzo - 1 aprile 2001
Newsletter 16 - 29 aprile 2001
Newsletter 30 aprile - 6 maggio 2001
Newsletter 14 - 20 maggio 2001
Newsletter 28 maggio - 3 giugno 2001
Newsletter 18 - 24 giugno 2001
Newsletter 25 giugno - 1 luglio 2001
Newsletter 26 novembre - 2 dicembre 2001
Newsletter 10 - 16 dicembre 2001
Newsletter 17 - 23 gennaio 2000
Newsletter 21 - 27 febbraio 2000
Newsletter 20 - 26 marzo 2000
Newsletter 17 - 23 aprile 2000
Newsletter 5 - 11 giugno 2000
Newsletter 12 - 18 giugno 2000
Newsletter 18 - 25 giugno 2000
Newsletter 6 - 12 novembre 2000
Newsletter 26 aprile - 2 maggio 1999
Newsletter 3 - 9 maggio 1999
Newsletter 31 maggio - 6 giugno 1999
Newsletter 14 - 20 giugno 1999
Indagine del Garante sugli sms "amorosi"
Indirizzi e-mail e invio di pubblicità
Modalità e garanzie per l’elenco dei telefoni
cellulari
Banche: rischi penali per pubblicità indesiderata
ai clienti
Stop del Garante allo spamming."Condannata"
società
Telemarketing: la FTC Usa propone un registro
per l’opt-out
Sms solo nel rispetto della privacy
Basta con lo spamming!
Spamming e privacy. Studio della Commissione
Europea
Telemarketing nel rispetto della privacy
Un portale politico negli Usa intende vendere
l’elenco degli iscritti
Domini web e dati personali
La posta elettronica strumento per il commercio
Dai Garanti europei le prime regole per Internet
Elenchi telefoni cellulari
Nomi di dominio su Internet: problemi di
privacy
Per evitare l'invio di pubblicità un codice aiuta
E-mail: gli utenti sono preoccupati per la propria
privacy
Regole per posta elettronica e spamming:
l’esempio dell’Argentina
Una Convenzione per l'e-commerce
Pubblicità sulla rete: limitazioni allo
"spamming"
Multa del Garante spagnolo per una e-mail
indesiderata
Sondaggio USA: chi compra on line mente per
privacy
Marketing pubblicitario: viola la privacy
l'archivio non aggiornato
Spioni su Internet
Le preoccupazioni per la privacy rallentano l'ecommerce
UK: progetto di legge per intercettare le e-mail.
Direct marketing e telefonate indesiderate
Pubblicità indesiderata e diritti dei cittadini
Consumatori schedati
Banca dati sulla solvibilità degli italiani.
Indagine conoscitiva del Garante
Dati su Internet nel rispetto della privacy
Alla ricerca di tracce sulla rete
283
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Newsletter 27 settembre - 3 ottobre 1999
Newsletter 11 - 17 ottobre 1999
Newsletter 8 - 14 novembre 1999
Newsletter 15 - 21 novembre 1999
I messaggi via fax possono essere fonte di
imbarazzo
Bollette telefoniche e privacy
Telefonate interrotte da spot
Il Garante francese e gli spot telefonici
Telefonate con spot. Decisione su Gratistel
In Europa sarà presto vietato l'invio in massa di
e-mail?
284
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Modulo 6.1.5 – Fidelity card
Il 24 febbraio 2005 Il Garante ha emesso il provvedimento “Fidelity card e garanzie per i
consumatori271” Il provvedimento riguarda in termini generali tutti i tipi di “carte” nel settore della
c.d. grande distribuzione, siano esse rilasciate o meno gratuitamente, su supporto cartaceo o
elettronico, presso punti-vendita oppure on line, nominativamente ovvero assegnando un codice
identificativo, accumulando o meno punti rapportati a spese e servizi.
Attesa la crescente diffusione del fenomeno, e a garanzia degli interessati, il Garante prescrive ai
titolari del trattamento di adottare alcune misure necessarie od opportune al fine di conformare i
trattamenti alle vigenti disposizioni in materia di protezione dei dati personali (art. 154, comma 1,
lett. c), del Codice).
Principi generali
Il Garante dispone che:


in applicazione del principio di necessità (art. 3 del Codice), i sistemi informativi e i
programmi informatici devono essere configurati, già in origine, in modo da ridurre al
minimo l'utilizzo di informazioni relative a clienti identificabili; il trattamento di dati
personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di
profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi;
nel rispetto del principio di proporzionalità nel trattamento (art. 11, comma 1, lett. d), del
Codice), tutti i dati personali e le varie modalità del loro trattamento devono essere
pertinenti e non eccedenti rispetto alle finalità perseguite.
Inoltre il Garante ricorda che l'utilizzazione di dati sensibili non è di regola ammessa fatta salva
l'ipotesi eccezionale nella quale il trattamento di dati sia realmente indispensabile in rapporto allo
specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per
iscritto dall'interessato. In ogni caso non è lecito utilizzare a fine di profilazione raccogliere dati
idonei a rivelare la stato di salute e la vita sessuale.
Informativa agli interessati
Prima del conferimento dei dati e del rilascio della carta deve essere fornita al cliente
un'informativa chiara e completa, al fine di consentire un'adesione pienamente consapevole alle
iniziative proposte.
Nel rispetto del principio di correttezza (art. 11, comma 1, lett. a), del Codice), non sono
consentiti comportamenti suscettibili di incidere sulle scelte libere e consapevoli del cliente
nell'adesione ai “programmi di fidelizzazione”.
L'informativa può utilizzare formule sintetiche e colloquiali, purché chiare e inequivoche; deve
contenere comunque tutti gli elementi richiesti dal Codice (art. 13, comma 1).
Non sono consentiti generici rinvii a regolamenti di servizio non acclusi per le parti di riferimento.
271
http://www.garanteprivacy.it/garante/doc.jsp?ID=1103045
285
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
L'informativa inserita all'interno di moduli deve essere adeguatamente evidenziata e collocata in
modo autonomo e unitario in un apposito riquadro, ed essere così agevolmente individuabile
rispetto ad altre clausole del regolamento di servizio eventualmente riportato in calce o a margine.
In particolare, devono essere poste in distinta e specifica evidenza le caratteristiche dell'eventuale
attività di profilazione e/o di marketing, come pure l'intenzione di cedere a terzi specificamente
individuati i dati per finalità da indicare puntualmente.
Deve risultare parimenti chiara la circostanza che, per questi scopi, il conferimento dei dati e il
consenso sono liberi e facoltativi rispetto alle ordinarie attività legate alla fidelizzazione in senso
stretto.
Consenso
Per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi occorre di regola accettare
condizioni generali di contratto predisposte dal titolare del trattamento (di regola, lo stesso emittente
della “carta”).
Poiché il trattamento di dati preordinato alla fidelizzazione in senso stretto è “necessario per
eseguire obblighi derivanti da un contratto del quale è parte l'interessato” non è corretto, in questo
caso, sollecitare il consenso al trattamento dei dati.
Ogni altra finalità di trattamento (profilazione e ricerche di mercato da un lato; marketing
dall'altro) che comporti l'identificabilità degli interessati necessita, invece, del loro consenso
specifico, informato e distinto per ciascuna di esse (art. 23 del Codice). Il consenso deve essere
quantomeno documentato per iscritto a cura del titolare del trattamento, ovvero reso
necessariamente per iscritto dall'interessato nel caso di dati sensibili.
L'eventuale accettazione per iscritto delle clausole del regolamento di servizio deve essere distinta
dalle formule utilizzate per ciascuna di queste due manifestazioni di libero consenso. L'adesione
all'iniziativa di fidelizzazione non può essere condizionata alla manifestazione di tale consenso.
Per alcune forme di comunicazione mediante posta elettronica, fax, sistemi automatizzati di
chiamata e messaggi del tipo Mms o Sms o di altro tipo, la necessità del consenso deriva anche da
apposite disposizioni in tema di comunicazioni indesiderate o di vendite a distanza, le quali
prevedono, altresì, regole particolari per l'offerta di servizi analoghi tramite posta elettronica (art.
130 del Codice; art. 10 d.lg. n. 185/1999). È opportuno che copia della documentazione attestante
l'informativa fornita e il consenso eventualmente prestato sia rilasciata all'interessato, per
consentirgli di verificare in ogni momento le proprie scelte e di modificarle.
286
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Modulo 6.1.6 – Quesiti frequenti
Le liste elettorali possono essere utilizzate per finalità di marketing?
No. L’articolo 177, comma 5 del Codice recita che i dati presenti nelle liste elettorali possono essere
utilizzate solo per finalità di attuazione della disciplina in materia di elettorato attivo/passivo,
studio, ricerca scientifica/storica/socio-assistenziale, o per perseguire un interesse collettivo o
diffuso. Il concetto è stato ribadito con il provvedimento del 12/02/2004272 dell’Autorità Garante.
È possibile utilizzare gli indirizzi di posta elettronica (email) per finalità di marketing?
Gli indirizzi di posta elettronica recano dati di carattere personale da trattare nel rispetto della
normativa in materia (art. 1, comma 1 lett. c), legge n. 675). La loro utilizzazione per scopi
promozionali e pubblicitari è possibile solo se il soggetto cui riferiscono i dati ha manifestato in
precedenza un consenso libero, specifico e informato. Il consenso è necessario anche quando gli
indirizzi sono formati ed utilizzati automaticamente con un software senza l’intervento di un
operatore, o in mancanza di una previa verifica della loro attuale attivazione o dell’identità del
destinatario del messaggio, e anche quando gli indirizzi non sono registrati dopo l’invio dei
messaggi. (fonte: Spamming. Regole per un corretto invio delle e-mail pubblicitarie Provvedimento generale273). Se la persona o l'azienda a cui si vuole mandare una email
commerciale è già cliente è possibile mandare "singole" email relative a materiale pubblicitario
simile ai prodotti / servizi già venduti.
Quali sono gli obblighi per l’invio di messaggi pubblicitari per conto di terzi committenti?
In alcuni casi l’invio di messaggi pubblicitari viene effettuato, per conto di terzi committenti, da
società specializzate che utilizzano indirizzi di posta elettronica contenuti in proprie banche dati.
Dice il Garante274: Tali società, che sono da considerarsi “titolari” o contitolari del trattamento dei
dati a seconda del rapporto che si instaura con il committente e delle modalità di concreta
utilizzazione dei dati, sono tenute a rispettare le disposizioni in tema di informativa e specifico
consenso, anche per quanto riguarda l’eventuale comunicazione di dati personali ai committenti
medesimi e le relative finalità. Ciò comporta un quadro di obblighi e possibili responsabilità anche
penali che gli operatori devono verificare con attenzione, anche quando la società specializzata
incaricata sia stabilita fuori dell’Unione europea.
Si possono acquistare liste e banche dati di indirizzi per finalità di marketing?
Dice il Garante275: In questi casi, chi acquisisce la banca dati deve accertare che ciascun interessato
abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al
suo successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i dati
deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di informativa che precisi gli
272
http://www.garanteprivacy.it/garante/doc.jsp?ID=634369
http://www.garanteprivacy.it/garante/doc.jsp?ID=29840
274
http://www.garanteprivacy.it/garante/doc.jsp?ID=29840
275
http://www.garanteprivacy.it/garante/doc.jsp?ID=29840
273
287
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
elementi indicati nell’art. 10 della legge n. 675, comprensivi di un riferimento di luogo - e non solo
di posta elettronica - presso cui l’interessato possa esercitare i diritti riconosciuti dalla legge.
Cosa sono opt-in ed opt-out?
Con il termine opt-in si intende il consenso preventivo da parte dei clienti per ricevere
comunicazioni commerciali via email o altri strumenti informatici.
Con il termine opt-out si intende la possibilità a posteriori di esercitare il diritto di opporsi all’invio
di comunicazioni commerciali indesiderate.
288
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.1
Domande di verifica 6.1
Domanda
Con il termine opt-in
si intende il consenso
preventivo da parte dei
clienti per ricevere
comunicazioni
commerciali via email
o altri strumenti
informatici.
Prima risposta
Vero.
Con il termine opt-in
si intende il consenso
preventivo da parte dei
clienti per ricevere
comunicazioni
commerciali via email
o altri strumenti
informatici.
Seconda risposta
Falso.
Con il termine opt-in
si intende la possibilità
a posteriori di
esercitare il diritto di
opporsi all’invio di
comunicazioni
commerciali
indesiderate.
Terza risposta
No applicabile.
Opt-in ed opt-out sono
meccanismi di difesa
dallo spamming
adottato dalle autorità
federali USA e non
hanno “senso” in
Italia.
Per poter inviare fax
commerciali o
promozionali occorre
prima aver ottenuto il
preventivo e specifico
consenso del
destinatario, anche se
il numero di telefono
viene estratto da
elenchi telefonici
cosiddetti “categorici”.
Le liste elettorali
possono essere
utilizzate per finalità
di marketing.
Falso.
Se i dati sono estratti
dalle Pagine Gialle,
quando si usano
sistemi automatizzati
non è necessario il
consenso.
Falso.
Il decreto “mille
proroghe” del febbraio
2009 ha abrogato
definitivamente questo
adempimento.
Vero.
Anche se i dati sono
estratti dalle Pagine
Gialle, quando si
usano sistemi
automatizzati è
obbligatorio il
consenso.
Falso.
Vero.
L’articolo 177, comma
5, del Codice recita che i
dati presenti nelle liste
elettorali possono essere
utilizzate solo per
finalità di attuazione
della disciplina in
materia di elettorato
attivo/passivo, studio,
ricerca
scientifica/storica/socioassistenziale, o per
perseguire un interesse
collettivo o diffuso.
L’articolo 177, comma
5, del Codice recita che i
dati presenti nelle liste
elettorali possono essere
utilizzate anche per
finalità commerciali.
Vero.
Il decreto “mille
proroghe” del febbraio
2009 ha concesso
questa possibilità
abrogando le
precedenti
disposizioni.
289
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.2
Lezione 6 –
Unità didattica 6.2 – Lo
spamming
Modulo 6.2.1 – Quadro generale sullo spamming
Modulo 6.2.2 – Spamming via fax
Modulo 6.2.3 – Provvedimenti del Garante in relazione
ai trattamenti di marketing
Modulo 6.2.4 – Codici di autodisciplina
Modulo 6.2.5 – Link ed approfondimenti sulle
comunicazioni commerciali e privacy
Domande di verifica 6.2
290
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.2
Modulo 6.2.1 – Quadro generale sullo
spamming
Il comunicato stampa276 del Garante del 3 settembre 2003 sintetizza chiaramente il quadro di
riferimento per le comunicazioni commerciali indesiderate (spamming).
Inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge. Se questa
attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il
fatto può essere denunciato all’autorità giudiziaria. Sono previste varie sanzioni e, nei casi più
gravi, la reclusione.
La normativa sulla privacy non permette di utilizzare indirizzi di posta elettronica per inviare
messaggi indesiderati a scopo promozionale o pubblicitario anche quando si omette di indicare in
modo chiaro il mittente del messaggio e l’indirizzo fisico presso il quale i destinatari possono
rivolgersi per chiedere che i propri dati personali non vengano più usati.
Chi intende utilizzare le e-mail per comunicazioni commerciali e promozionali senza mettere in atto
comportamenti illeciti deve tenere presente quanto segue.
1. È necessario il consenso informato del destinatario. Gli indirizzi e-mail recano dati personali
e il fatto che essi possano essere reperiti facilmente su Internet non implica il diritto di
utilizzarli liberamente per qualsiasi scopo, come per l’invio di messaggi pubblicitari: in
particolare, i dati di chi partecipa a newsgroup, forum, chat, di chi è inserito in una lista
anagrafica di abbonati ad un Internet provider o ad una newsletter, o i dati pubblicati su siti
web di soggetti privati o di pubblici per fini istituzionali. Gli indirizzi e-mail, insomma, non
sono “pubblici” nel senso corrente del termine.
2. Il consenso è necessario anche quando gli indirizzi e-mail sono formati ed utilizzati
automaticamente mediante un software, senza verificare se essi siano effettivamente attivati
e a chi pervengano, e anche quando non sono registrati dopo l’invio dei messaggi.
3. Il consenso del destinatario deve essere chiesto prima dell’invio e solo dopo averlo
informato chiaramente sugli scopi per i quali i suoi dati personali verranno usati: vale
dunque la regole dell’opt-in, cioè del accettazione preventiva di chi riceve le e-mail, non del
rifiuto a posteriori (opt-out);
4. Non è ammesso l’invio anonimo di messaggi pubblicitari, cioè senza l’indicazione della
fonte di provenienza del messaggio o di coordinate veritiere. È comunque opportuno
indicare nell’oggetto del messaggio la sua tipologia pubblicitaria o commerciale.
5. Chi detiene i dati deve sempre assicurare agli interessati la possibilità di far valere i diritti
riconosciuti dalla normativa sulla privacy (revoca del consenso, richiesta di conoscere la
fonte dei dati, cancellazione dei dati dall’archivio etc.).
6. Chi acquista banche dati con indirizzi di posta elettronica è tenuto ad accertare che ciascuno
degli interessati presenti nella banca dati abbia effettivamente prestato il proprio consenso
all’invio di materiale pubblicitario.
7. La formazione di appositi elenchi di chi intende ricevere e-mail pubblicitarie o di chi è
contrario (le cosiddette “black list”) non deve comportare oneri per gli interessati.
276
http://www.garanteprivacy.it/garante/doc.jsp?ID=272444
291
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.2
Le sanzioni
Le sanzioni per chi viola le disposizioni di legge vanno dalla “multa”, in particolare per omessa
informativa all’utente (fino a 90mila euro); alla sanzione penale qualora l’uso illecito dei dati sia
stato effettuato al fine di trarne per sé o per altri un profitto o per arrecare ad altri un danno
(reclusione da 6 mesi a 3 anni). È prevista anche la sanzione accessoria della pubblicazione della
pronuncia penale di condanna o dell’ordinanza amministrativa di ingiunzione.
Ulteriori conseguenze possono riguardare l’eventuale risarcimento del danno e le spese in
controversia giudiziaria o amministrativa.
292
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.2
Modulo 6.2.2 – Spamming via fax
Il 12 luglio 2008277 ed il 28 febbraio 2008278 il Garante ha ribadito che per poter inviare fax
commerciali o promozionali occorre prima aver ottenuto il preventivo e specifico consenso del
destinatario, anche se il numero di telefono viene estratto da elenchi telefonici cosiddetti
“categorici”, quali Pagine Gialle, da registri pubblici o da banche dati online. Il Garante ha ricordato
che tale garanzia non può essere elusa inviando un primo fax che, nel richiedere il consenso, abbia
già un contenuto promozionale o pubblicitario.
Le società sanzionate, a seguito della richiesta di informazioni da parte dell'Autorità riguardo alle
modalità e alle forme di raccolta dei dati personali, si erano difese dichiarando di avere estratto i
dati personali da cosiddetti elenchi "categorici”, cioè da elenchi telefonici organizzati per categorie
merceologiche o professionali; avevano inoltre dichiarato di aver richiesto il consenso
contestualmente al primo invio fax pubblicitario. Il Garante ha spiegato che quando si utilizzano
sistemi automatizzati, oppure posta elettronica, sms o fax, anche se si tratta di elenchi categorici è
necessario ottenere prima il consenso del destinatario, mediante contatto telefonico.
277
278
http://www.garanteprivacy.it/garante/doc.jsp?ID=1532454
http://www.garanteprivacy.it/garante/doc.jsp?ID=1493138
293
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.2
Modulo 6.2.3 – Provvedimenti del Garante
in relazione ai trattamenti di marketing
Il 2 settembre 2008 l’Autorità Garante ha vietato279 ad alcune società specializzate nella creazione
e nella vendita di banche dati l’ulteriore trattamento di dati personali di milioni di utenti. Il divieto è
scattato anche per altre aziende che avevano acquistato da queste società i data base allo scopo di
poter contattare gli utenti e promuovere i loro prodotti e servizi tramite call center.
Dalle verifiche effettuate presso le società che hanno fornito i data base è emerso che i dati degli
utenti erano stati raccolti e ceduti a terzi senza informare gli interessati, o informandoli in maniera
inadeguata, e senza un loro preventivo specifico consenso. Una delle società, peraltro, offriva sul
proprio sito i dati di oltre 15 milioni di famiglie italiane suddivise per redditi e stili di vita, senza
che gli interessati fossero stati informati o avessero dato il loro assenso alla comunicazione dei dati
a terzi.
Da parte loro le aziende e le compagnie telefoniche che hanno acquistato i dati e li hanno utilizzati a
fini di marketing telefonico (il cosiddetto teleselling), non si sono preoccupate di accertare, come
prevede invece la disciplina sulla protezione dei dati, che gli abbonati avessero acconsentito alla
comunicazione dei propri dati e al loro uso a fini commerciali.
Il provvedimento inibitore280 chiarisce che:






279
280
la finalità primaria degli elenchi telefonici realizzati in qualunque forma è la "mera ricerca
dell'abbonato per comunicazioni interpersonali";
il trattamento dei dati inseriti negli elenchi, se realizzato per fini ulteriori e, in particolare,
per scopi pubblicitari, promozionali o commerciali, è lecito solo se è effettuato con il
consenso espresso liberamente e specificamente dagli interessati, documentato per iscritto e
previa informativa;
le attuali modalità di inserimento e di successivo utilizzo dei dati personali relativi agli
abbonati e agli acquirenti del traffico prepagato negli elenchi telefonici "alfabetici" del
servizio universale prevede che l'interessato debba manifestare il proprio consenso a
ricevere informazioni commerciali o promozionali mediante contrassegno del proprio
indirizzo o numero telefonico con un apposito simbolo;
i dati presenti negli elenchi telefonici pubblicati prima del 1° agosto 2005 possono essere
usati per finalità di marketing solo previo informativa agli interessati informativa che deve
prevedere la possibilità che i dati personali così raccolti possano essere comunicati a terzi
perché a loro volta li utilizzino per finalità promozionali e pubblicitarie;
le comunicazioni dei dati personali poste in essere successivamente al 1° agosto 2005
configurano autonomi trattamenti che, come tali, richiedono un'informativa preventiva agli
interessati e l'acquisizione di uno specifico e libero consenso;
il provvedimento del 29 maggio 2003 (Spamming. Regole per un corretto invio delle e-mail
pubblicitarie) stabilisce che chi acquisisce una banca dati la cui utilizzazione è possibile in
base al consenso degli interessati deve accertare che questi ultimi abbiano validamente
http://www.garanteprivacy.it/garante/doc.jsp?ID=1544082
http://www.garanteprivacy.it/garante/doc.jsp?ID=1544315
294
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.2
acconsentito alla comunicazione dei dati che li riguardano e al loro successivo utilizzo per
finalità promozionali e pubblicitarie.
295
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.2
Modulo 6.2.4 – Codici di autodisciplina
Alla data di redazione di questa guida (novembre 2009) l’autorità Garante per la privacy
nonostante i buoni propositi281 non ha ancora reso noto il codice deontologico sul marketing che
dovrebbe aggiungersi presto (!) a quelli già pubblicati282.
Le associazioni di categoria in ambito “direct marketing” si sono già dotati di propri regole di
autodisciplina. Tra i codici che è importante conoscere c’è il codice di autodisciplina FEDMA
(Federazione Europea del Direct Marketing) recepito in Italia dalle principali associazioni di settore
(pdf283, 94 K, 33 pp).
Una sintesi dei contenuti del codice FEDMA è disponibile qui284 a cura dell’avv. Maglio. I principi
generali del codice FEDMA sono:





281
nell’effettuazione di attività di comunicazione commerciale mediante la posta, i titolari del
trattamento, nel rispetto della normativa vigente, si impegnano a contattare solo persone che
abbiano fornito la loro non equivoca volontà di ricevere queste comunicazioni;
l’esistenza di un rapporto commerciale, contrattuale o precontrattuale con l’interessato
autorizza l’invio di informazioni a mezzo della posta, salvo espresso diniego formulato dallo
stesso interessato;
la definizione della mailing list dei destinatari di un messaggio di posta elettronica viene
effettuata con criteri rigorosi, preventivamente determinati e controllabili, al fine di evitare
l’invio di messaggi indesiderati e non sollecitati;
non è in ogni caso consentito l’invio di messaggi ad indirizzi generati automaticamente
senza il preventivo consenso degli interessati, neppure ove tale generazione della lista di
marketing risponda a criteri predefiniti e rigorosi;
l’invio di qualsiasi tipo di messaggio telematico, inclusa la posta elettronica, per effettuare
comunicazioni commerciali ad una generalità di destinatari, la cui lista non sia stata formata
attraverso criteri univoci e predeterminati, non rientra tra le attività di direct marketing, di
vendita a distanza, di vendita diretta e di comunicazione interattiva.
http://www.garanteprivacy.it/garante/doc.jsp?ID=1493103
282
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FCodici+deontologici
283
http://www.aidim.it/codice_autodisciplina.pdf
284
http://www.club-cmmc.it/eventi/Maglio_TP230106.ppt
296
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.2
Modulo 6.2.5 – Link ed approfondimenti
sulle comunicazioni commerciali e
privacy






Informazioni all'interessato - Raccolta di dati personali attraverso coupon, depliant, lettere e
annunci pubblicitari, questionari collegati a tessere di 'fidelizzazione', ricerche di mercato,
lotterie, estrazioni di premi od offerte di regali, 13 gennaio 2000
Provvedimento generale: Spamming. Regole per un corretto invio delle e-mail pubblicitarie,
29 maggio 2003
Dossier Spamming, 2 dicembre 2003
Nuovi elenchi telefonici, 15 luglio 2004
Ripresa dei lavori preparatori relativi al codice deontologico e di buona condotta per i dati
trattati a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il
compimento di ricerche di mercato o di comunicazione commerciale interattiva, 21 febbraio
2008
Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per
finalità amministrative e contabili - 19 giugno 2008,
Marketing telefonico: scattano i divieti del Garante alle chiamate indesiderate, 2 settembre
2008
Altro



Associazione italiana per il direct marketing
Codice di autodisciplina, deontologia e buona condotta per l'uso dei dati personali a fini di
direct marketing, vendite a distanza, vendita diretta e comunicazione commerciale
interattiva (pdf, 94 K, 33 pp)
Avv. Marco Maglio, Il Direct marketing in Italia dopo dieci anni di data protection: una
valutazione sul Passato ed uno sguardo verso il Futuro (ppt, 158 K, 27 pp)
297
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6 – Unità didattica 6.2
Domande di verifica 6.2
Domanda
Se l’interessato non ha
dato il consenso ed è
già cliente
dell’azienda, l’azienda
può effettuare
trattamenti con finalità
di marketing ad
esclusione dei
trattamenti che
richiedono l'uso di
sistemi automatizzati
di chiamata (email,
fax, sms, chiamate
preregistrate).
Quando si acquistano
liste e banche dati di
indirizzi per finalità di
marketing il titolare
acquirente deve
verificare la regolarità
dei consensi.
Per le finalità di
marketing dei dati
raccolti attraverso
“fidelity cart” è
necessario avere il
consenso
dell’interessato
Prima risposta
Vero.
È possibile mandare
"singole" email
relative a materiale
pubblicitario simile ai
prodotti / servizi già
venduti.
Seconda risposta
Falso.
Non è mai possibile
mandare email relative
a materiale
pubblicitario senza il
consenso
dell’interessato.
Terza risposta
Vero.
Il decreto “mille
proroghe” del febbraio
2008 ha abrogato kla
necessità di richiedere
il consenso per le
comunicazioni
commerciali.
Vero
Chi acquisisce la
banca dati deve
accertare che ciascun
interessato abbia
validamente
acconsentito alla
comunicazione del
proprio indirizzo di
posta elettronica ed al
suo successivo utilizzo
ai fini di invio di
materiale
pubblicitario.
Vero.
Ogni finalità di
trattamento
(profilazione e
ricerche di mercato;
marketing) necessita di
un consenso specifico
(art. 23 del Codice).
Falso.
Non è mai possibile
acquistare questo tipo
di banche dati.
Vero
Chi vende la banca
dati deve essersi
accertato che ciascun
interessato abbia
espresso il consenso ai
trattamenti
commerciali mentre
l’acquirente non ha
l’obbligo di verificare
che ciò sia vero.
Falso.
Il consenso
dell’interessato è
implicito quando si
accetta una “fidely
card”.
Vero.
Basta un consenso per
tutte le finalità di
trattamento quali
profilazione, ricerche
di mercato; marketing
(art. 23 del Codice).
298
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6– Risposte alle domande di verifica
Risposte alle domande di
verifica della lezione 6
Domande di verifica 6.1 e risposte corrette
Domanda
Con il termine opt-in
si intende il consenso
preventivo da parte dei
clienti per ricevere
comunicazioni
commerciali via email
o altri strumenti
informatici.
Per poter inviare fax
commerciali o
promozionali occorre
prima aver ottenuto il
preventivo e specifico
consenso del
destinatario, anche se
il numero di telefono
viene estratto da
elenchi telefonici
cosiddetti “categorici”
Le liste elettorali
possono essere
utilizzate per finalità
di marketing.
Prima risposta
Vero.
Con il termine opt-in
si intende il consenso
preventivo da parte
dei clienti per
ricevere
comunicazioni
commerciali via
email o altri
strumenti
informatici.
Seconda risposta
Terza risposta
Vero.
Anche se i dati sono
estratti dalle Pagine
Gialle, quando si
usano sistemi
automatizzati è
obbligatorio il
consenso
Falso.
L’articolo 177, comma 5,
del Codice recita che i
dati presenti nelle liste
elettorali possono essere
utilizzate solo per finalità
di attuazione della
disciplina in materia di
elettorato attivo/passivo,
studio, ricerca
scientifica/storica/socioassistenziale, o per
perseguire un interesse
collettivo o diffuso.
299
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Lezione 6– Risposte alle domande di verifica
Domande di verifica 6.2e risposte corrette
Domanda
Se l’interessato non ha
dato il consenso ed è
già cliente
dell’azienda, l’azienda
può effettuare
trattamenti con finalità
di marketing ad
esclusione dei
trattamenti che
richiedono l'uso di
sistemi automatizzati
di chiamata (email,
fax, sms, chiamate
preregistrate).
Quando si acquistano
liste e banche dati di
indirizzi per finalità di
marketing il titolare
acquirente deve
verificare la regolarità
dei consensi.
Per le finalità di
marketing dei dati
raccolti attraverso
“fidelity cart” è
necessario avere il
consenso
dell’interessato
Prima risposta
Vero.
È possibile mandare
"singole" email
relative a materiale
pubblicitario simile
ai prodotti / servizi
già venduti.
Seconda risposta
Terza risposta
Vero
Chi acquisisce la
banca dati deve
accertare che ciascun
interessato abbia
validamente
acconsentito alla
comunicazione del
proprio indirizzo di
posta elettronica ed
al suo successivo
utilizzo ai fini di invio
di materiale
pubblicitario.
Vero.
Ogni finalità di
trattamento
(profilazione e
ricerche di mercato;
marketing) necessita
di un consenso
specifico (art. 23 del
Codice).
300
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Fine documento
Fine del documento
Queste lezioni sono state pubblicate attraverso i siti ComplianceNet285, CMa Consulting286 ed
Arcobaleni196287 come segue.






Prima lezione - Introduzione alla privacy (11 gennaio 2009)
Seconda lezione - Organizzazione aziendale per la privacy (18 gennaio 2009)
Terza lezione - Protezione dei dati personali (5 ottobre 2009)
Quarta lezione - Diritto d'accesso (16 ottobre 2009)
Quinta lezione - Videosorveglianza (6 novembre 2009)
Sesta lezione - Marketing e comunicazioni commerciali (16 novembre 2009)
Roma, 16 novembre 2009
Nome di questo documento:
 versione word: http://www.compliancenet.it/documenti/6-lezioni-sulla-privacy-parti-1-2-3-4-5-6.doc
 versione pdf: http://www.compliancenet.it/documenti/6-lezioni-sulla-privacy-parti-1-2-3-4-5-6.pdf
285
http://www.compliancenet.it/
http://www.cmaconsulting.it/
287
http://www.arcobaleni196.it
286
301
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
Quarta di copertina
Panfilo Marcelli si è laureato in Ingegneria
all’Università de l’Aquila. Ha lavorato per oltre
vent’anni presso primarie aziende informatiche e di
consulenza (IPACRI, Euros Consulting, OASI) con
incarichi, anche direttivi, in ambito Information
Technology, Privacy e Protezione dei dati personali,
Qualità e Certificazione ISO9000 e ISO27001,
Workflow Management e Business Process
Reengineering, Internet, Intranet e gestione di siti con
sistemi CMS. Attualmente é partner di CMa
Consulting288 società specializzata in servizi,
consulenza e formazione in ambito Compliance,
Privacy, Qualità e Sicurezza. Per contatti la email è
[email protected]
Il sito web collegato al libro
Questo testo viene diffuso attraverso i siti ComplianceNet289 e CMa Consulting290.
Al corso è inoltre collegato il sito Arcobaleni196291 dal nome (fittizio) della società che
è protagonista dei nostri casi di studio ed esercitazioni.
288
http://www.cmaconsulting.it/
http://www.compliancenet.it/
290
http://www.cmaconsulting.it/
291
http://www.arcobaleni196.it
289
302
Versione 3.1 – testo completo – 17 novembre 2009
Creative Commons Attribuzione - Non commerciale 2.5 Italia License