In questa sezione sono disponibili le principali risposte ai quesiti dei ns. clienti (faq = frequently asked questions).
1) Chi è soggetto all’applicazione del “Codice in Materia di Protezione dei Dati Personali”?
Il Codice in Materia di Protezione dei Dati Personali disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
Si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.
Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
Si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.
Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
2) E’ obbligatorio nominare il “responsabile del trattamento dei dati personali”? Deve essere solo una persona fisica?
L’art. 29 del D. Lgs. 196/2003 stabilisce che il responsabile è designato dal titolare facoltativamente. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. L'opportunità di nominare uno o più responsabili del trattamento cresce con l'aumento della articolazione organizzativa della propria struttura.
Dove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche esterni al proprio ente, se ciò è reso necessario dall'esigenza della divisione dei compiti.
Dove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche esterni al proprio ente, se ciò è reso necessario dall'esigenza della divisione dei compiti.
3) In una S.R.L. o S.P.A., chi è il titolare del trattamento? il datore di lavoro?
No, il titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.
4) Che cosa deve fare un azienda per rispettare adeguatamente le disposizioni previste dal Codice in Materia di Protezione dei dati personali?
I principali adempimenti sono:
- fornire adeguata informativa agli interessati (dipendenti, clienti, fornitori, ect. ect.);
- acquisizione del consenso (esclusi i casi di esonero come previsto dall'articolo 24 e dall'articolo 26 del D. Lgs. 196/2003);
- applicazione delle misure di sicurezza previste dagli articoli da 31 a 36 del D. Lgs. 196/2003 e dall’allegato B DISCIPLINARE TECNICO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI;
- rispetto delle autorizzazioni generali del Garante per il trattamento dei dati sensibili e giudiziari;
- nomina dei responsabili e incaricati del trattamento;
- garantire l'esercizio dei diritti dell'interessato di cui all’articolo 7;
- effettuare la notificazione al Garante nei casi indicati dall'articolo 37 del codice.
- nominare l’amministratore di sistema, se in azienda è presente una specifica figura che ricopre tale funzioni (anche se in outsourcing) e attuare tutte le disposizioni previste del provvedimenti in materia (es registrazione dei log di accesso, controllo annuale operato, conservazione dei log per un periodo non inferiore ai sei mesi, etc.,etc.)
- rispettare e adottare le disposizioni presenti nel provvedimento in materia di videosorveglianza, se in azienda sono presenti telecamere (quindi adottare le misure di sicurezza richiesta nel provvedimento in materia, apporre apposita cartellonistica e informativa nelle aree d’interesse, etc., etc.)
- stabilire idonea politica aziendale per uso di sistemi informatici, internet e posta elettronica, quindi stilare apposito regolamento interno da sottoporre ad ogni lavoratore interessato
- fornire adeguata informativa agli interessati (dipendenti, clienti, fornitori, ect. ect.);
- acquisizione del consenso (esclusi i casi di esonero come previsto dall'articolo 24 e dall'articolo 26 del D. Lgs. 196/2003);
- applicazione delle misure di sicurezza previste dagli articoli da 31 a 36 del D. Lgs. 196/2003 e dall’allegato B DISCIPLINARE TECNICO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI;
- rispetto delle autorizzazioni generali del Garante per il trattamento dei dati sensibili e giudiziari;
- nomina dei responsabili e incaricati del trattamento;
- garantire l'esercizio dei diritti dell'interessato di cui all’articolo 7;
- effettuare la notificazione al Garante nei casi indicati dall'articolo 37 del codice.
- nominare l’amministratore di sistema, se in azienda è presente una specifica figura che ricopre tale funzioni (anche se in outsourcing) e attuare tutte le disposizioni previste del provvedimenti in materia (es registrazione dei log di accesso, controllo annuale operato, conservazione dei log per un periodo non inferiore ai sei mesi, etc.,etc.)
- rispettare e adottare le disposizioni presenti nel provvedimento in materia di videosorveglianza, se in azienda sono presenti telecamere (quindi adottare le misure di sicurezza richiesta nel provvedimento in materia, apporre apposita cartellonistica e informativa nelle aree d’interesse, etc., etc.)
- stabilire idonea politica aziendale per uso di sistemi informatici, internet e posta elettronica, quindi stilare apposito regolamento interno da sottoporre ad ogni lavoratore interessato
5) Perché è necessario fornire l’informativa? Come deve essere articolata?
L’art. 13 del D. Lgs. 196/2003 prevede che l'interessato o la persona presso la quale sono raccolti i dati personali debbano essere preventivamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.
Se i dati personali non sono raccolti presso l'interessato, l'informativa, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. Questa disposizone non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate,
dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.
E’ importante sottolineare che l'informativa non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all'invio del curriculum, il titolare è tenuto a fornire all'interessato, anche oralmente, una informativa breve contenente almeno gli elementi indicati precedentemente alle lettere a), d) ed f).
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.
Se i dati personali non sono raccolti presso l'interessato, l'informativa, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. Questa disposizone non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate,
dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.
E’ importante sottolineare che l'informativa non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all'invio del curriculum, il titolare è tenuto a fornire all'interessato, anche oralmente, una informativa breve contenente almeno gli elementi indicati precedentemente alle lettere a), d) ed f).
6) Cosa deve intendersi per "amministratore di sistema"? Quali sono le misure e accorgimenti prescritti ai titolari dei trattamenti?
In assenza di definizioni normative e tecniche condivise, nell'ambito del provvedimento del Garante l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.
Il Garante non ha inteso equiparare gli "operatori di sistema" di cui agli articoli del Codice penale relativi ai delitti informatici, con gli "amministratori di sistema": questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.
Anche il riferimento al d.P.R. 318/1999 nella premessa del provvedimento è puramente descrittivo poiché la figura definita in quell'atto normativo (ormai abrogato) è di minore portata rispetto a quella cui si fa riferimento nel provvedimento.
Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.
Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell'art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici. I seguenti accorgimenti e misure lasciano impregiudicata l'adozione di altre specifiche cautele imposte da discipline di settore per particolari trattamenti o che verranno eventualmente prescritte dal Garante ai sensi dell'art. 17 del Codice:
- Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.
- Designazioni individuali
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
- Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di legge che disciplini in modo difforme uno specifico settore.
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
-Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
-Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Il Garante non ha inteso equiparare gli "operatori di sistema" di cui agli articoli del Codice penale relativi ai delitti informatici, con gli "amministratori di sistema": questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.
Anche il riferimento al d.P.R. 318/1999 nella premessa del provvedimento è puramente descrittivo poiché la figura definita in quell'atto normativo (ormai abrogato) è di minore portata rispetto a quella cui si fa riferimento nel provvedimento.
Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.
Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell'art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici. I seguenti accorgimenti e misure lasciano impregiudicata l'adozione di altre specifiche cautele imposte da discipline di settore per particolari trattamenti o che verranno eventualmente prescritte dal Garante ai sensi dell'art. 17 del Codice:
- Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.
- Designazioni individuali
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
- Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di legge che disciplini in modo difforme uno specifico settore.
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
-Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
-Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
7) Cosa cosa sono i cookie? Cosa prevede adesso la direttiva e-Privacy?
I cookie sono piccoli file di testo che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie di siti o di web server diversi (c.d. cookie di "terze parti"); ciò accade perché sul sito web visitato possono essere presenti elementi come, ad esempio, immagini, mappe, suoni, specifici link a pagine web di altri domini che risiedono su server diversi da quello sul quale si trova la pagina richiesta. In altre parole, sono quei cookie che vengono impostati da un sito web diverso da quello che si sta attualmente visitando.
I cookie sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server e di norma sono presenti nel browser di ciascun utente in numero molto elevato.
Alcune operazioni non potrebbero essere compiute senza l'uso dei cookie, che in alcuni casi sono quindi tecnicamente necessari: a titolo esemplificativo, l'accesso all'home banking e le attività che possono essere svolte sul proprio conto corrente online (visualizzazione dell'estratto conto, bonifici, pagamento di bollette, ecc.) sarebbero molto più complesse da svolgere e meno sicure senza la presenza di cookie che consentono di identificare l'utente e mantenerne l'identificazione nell'ambito della sessione.
I cookie possono rimanere nel sistema anche per lunghi periodi e possono contenere anche un codice identificativo unico. Ciò consente ai siti che li utilizzano di tenere traccia della navigazione dell'utente all'interno del sito stesso, per finalità statistiche o pubblicitarie, per creare cioè un profilo personalizzato dell'utente a partire dalle pagine che lo stesso ha visitato e mostrargli quindi pubblicità mirate (c.d. Behavioural Advertising).
La direttiva e-Privacy (2002/58/CE) è stata modificata nel 2009 da un'altra direttiva (2009/136) che ha introdotto il principio dell'"opt-in" in tutti i casi in cui si accede a o si registrano "informazioni" (compresi quindi i cookie) sul terminale dell'utente o dell'abbonato. Pertanto, affinché i cookie possano essere archiviati sul terminale dell'utente nel corso della sua navigazione in Internet, è necessario che l'utente stesso sempre sulla base di un'informativa chiara e completa in merito alle modalità e finalità del trattamento dei suoi dati esprima un valido consenso, preliminare al trattamento (cfr. nuovo art. 5, paragrafo 3, della direttiva 2002/58/CE).
Resta comunque ferma la possibilità di utilizzare liberamente i cookie (o simili dispositivi) se questi sono utilizzati "al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio". In questo caso, si parla di cookie "tecnici".
La modifica della disciplina in materia di cookie in Italia appare meno radicale rispetto al resto d'Europa. Già in precedenza vigeva, infatti, la regola dell'opt-in (consenso preventivo) ma soltanto per i cookie "tecnici", sopra citati.
Ogni altro accesso ed ogni altra registrazione non autorizzati sul terminale dell'utente/abbonato erano vietati. Pertanto, in precedenza i fornitori dei servizi di comunicazione elettronica potevano utilizzare solo i cookie "tecnici" e solo nei confronti degli utenti che avessero espresso il proprio consenso sulla base di una idonea informativa sulle finalità e la durata del trattamento. La concreta regolamentazione dell'uso di tali cookie era poi demandata ad un codice di deontologia e di buona condotta.
Il nuovo art. 122 (comma 1) prevede oggi, viceversa, che i cookie "tecnici" possano essere utilizzati anche in assenza del consenso, ferma restando naturalmente l'informativa. È evidente, quindi, che limitatamente a tali cookie, l'attività degli operatori online risulta semplificata, in quanto essi non devono ottenere un consenso preventivo in tutti quei casi in cui l'utilizzo di cookie o altri dispositivi memorizzati sui terminali degli utenti o dei contraenti serva esclusivamente a scopi tecnici oppure risponda a specifiche richieste dell'utente o del contraente di un servizio Internet. L'assenza del consenso riduce la consapevolezza dell'interessato, che deve essere necessariamente fondata su una informativa chiara e di immediata comprensione.
A titolo esemplificativo –come chiarito anche dal Gruppo "Articolo 29" in un recente parere (WP194)– sono cookie per i quali non è necessario acquisire il consenso preventivo e informato dell'utente:
• i cookie impiantati nel terminale dell'utente/contraente direttamente dal titolare del singolo sito web, se non sono utilizzati per scopi ulteriori: è il caso dei cookie di sessione utilizzati per "riempire il carrello" negli acquisti online, di quelli di autenticazione, dei cookie per contenuti multimediali tipo flash player se non superano la durata della sessione, dei cookie di personalizzazione (ad esempio, per la scelta della lingua di navigazione), ecc.;
• i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (cookie cosiddetti "analytics") se perseguono esclusivamente scopi statistici e raccolgono informazioni in forma aggregata; occorre però che l'informativa fornita dal sito web sia chiara e adeguata e si offrano agli utenti modalità semplici per opporsi (opt-out) al loro impianto (compresi eventuali meccanismi di anonimizzazione dei cookie stessi).
Esclusi i cookie tecnici, anche nella nuova normativa la regola generale per "L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate" resta quella del consenso preventivo e informato dell'utente (opt-in). Ciò vuol dire che tutti i cookie non qualificabili come "tecnici" che presentano peraltro maggiori criticità dal punto di vista della protezione della sfera privata degli utenti, come ad esempio, quelli usati per finalità di profilazione e marketing non possono essere installati sui terminali degli utenti stessi se questi non siano stati prima adeguatamente informati e non abbiano prestato al riguardo un valido
I cookie sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server e di norma sono presenti nel browser di ciascun utente in numero molto elevato.
Alcune operazioni non potrebbero essere compiute senza l'uso dei cookie, che in alcuni casi sono quindi tecnicamente necessari: a titolo esemplificativo, l'accesso all'home banking e le attività che possono essere svolte sul proprio conto corrente online (visualizzazione dell'estratto conto, bonifici, pagamento di bollette, ecc.) sarebbero molto più complesse da svolgere e meno sicure senza la presenza di cookie che consentono di identificare l'utente e mantenerne l'identificazione nell'ambito della sessione.
I cookie possono rimanere nel sistema anche per lunghi periodi e possono contenere anche un codice identificativo unico. Ciò consente ai siti che li utilizzano di tenere traccia della navigazione dell'utente all'interno del sito stesso, per finalità statistiche o pubblicitarie, per creare cioè un profilo personalizzato dell'utente a partire dalle pagine che lo stesso ha visitato e mostrargli quindi pubblicità mirate (c.d. Behavioural Advertising).
La direttiva e-Privacy (2002/58/CE) è stata modificata nel 2009 da un'altra direttiva (2009/136) che ha introdotto il principio dell'"opt-in" in tutti i casi in cui si accede a o si registrano "informazioni" (compresi quindi i cookie) sul terminale dell'utente o dell'abbonato. Pertanto, affinché i cookie possano essere archiviati sul terminale dell'utente nel corso della sua navigazione in Internet, è necessario che l'utente stesso sempre sulla base di un'informativa chiara e completa in merito alle modalità e finalità del trattamento dei suoi dati esprima un valido consenso, preliminare al trattamento (cfr. nuovo art. 5, paragrafo 3, della direttiva 2002/58/CE).
Resta comunque ferma la possibilità di utilizzare liberamente i cookie (o simili dispositivi) se questi sono utilizzati "al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio". In questo caso, si parla di cookie "tecnici".
La modifica della disciplina in materia di cookie in Italia appare meno radicale rispetto al resto d'Europa. Già in precedenza vigeva, infatti, la regola dell'opt-in (consenso preventivo) ma soltanto per i cookie "tecnici", sopra citati.
Ogni altro accesso ed ogni altra registrazione non autorizzati sul terminale dell'utente/abbonato erano vietati. Pertanto, in precedenza i fornitori dei servizi di comunicazione elettronica potevano utilizzare solo i cookie "tecnici" e solo nei confronti degli utenti che avessero espresso il proprio consenso sulla base di una idonea informativa sulle finalità e la durata del trattamento. La concreta regolamentazione dell'uso di tali cookie era poi demandata ad un codice di deontologia e di buona condotta.
Il nuovo art. 122 (comma 1) prevede oggi, viceversa, che i cookie "tecnici" possano essere utilizzati anche in assenza del consenso, ferma restando naturalmente l'informativa. È evidente, quindi, che limitatamente a tali cookie, l'attività degli operatori online risulta semplificata, in quanto essi non devono ottenere un consenso preventivo in tutti quei casi in cui l'utilizzo di cookie o altri dispositivi memorizzati sui terminali degli utenti o dei contraenti serva esclusivamente a scopi tecnici oppure risponda a specifiche richieste dell'utente o del contraente di un servizio Internet. L'assenza del consenso riduce la consapevolezza dell'interessato, che deve essere necessariamente fondata su una informativa chiara e di immediata comprensione.
A titolo esemplificativo –come chiarito anche dal Gruppo "Articolo 29" in un recente parere (WP194)– sono cookie per i quali non è necessario acquisire il consenso preventivo e informato dell'utente:
• i cookie impiantati nel terminale dell'utente/contraente direttamente dal titolare del singolo sito web, se non sono utilizzati per scopi ulteriori: è il caso dei cookie di sessione utilizzati per "riempire il carrello" negli acquisti online, di quelli di autenticazione, dei cookie per contenuti multimediali tipo flash player se non superano la durata della sessione, dei cookie di personalizzazione (ad esempio, per la scelta della lingua di navigazione), ecc.;
• i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (cookie cosiddetti "analytics") se perseguono esclusivamente scopi statistici e raccolgono informazioni in forma aggregata; occorre però che l'informativa fornita dal sito web sia chiara e adeguata e si offrano agli utenti modalità semplici per opporsi (opt-out) al loro impianto (compresi eventuali meccanismi di anonimizzazione dei cookie stessi).
Esclusi i cookie tecnici, anche nella nuova normativa la regola generale per "L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate" resta quella del consenso preventivo e informato dell'utente (opt-in). Ciò vuol dire che tutti i cookie non qualificabili come "tecnici" che presentano peraltro maggiori criticità dal punto di vista della protezione della sfera privata degli utenti, come ad esempio, quelli usati per finalità di profilazione e marketing non possono essere installati sui terminali degli utenti stessi se questi non siano stati prima adeguatamente informati e non abbiano prestato al riguardo un valido
8) Quali sono i diritti dell’interessato?
Ai sensi dell’articolo 7 del D.Lgs.196/2003:
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, com. 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, com. 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
9) Quali sono le misure minime di sicurezza richieste dall’ ALLEGATO B. DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA?
a) Le modalità tecniche da adottare in caso di trattamento con strumenti elettronici sono
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici (firewall e antivirus),da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
b) Le modalità tecniche da adottare in caso di trattamento con strumenti diversi da quelli elettronici sono:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici (firewall e antivirus),da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
b) Le modalità tecniche da adottare in caso di trattamento con strumenti diversi da quelli elettronici sono:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
10) Quali dati possono essere indicati nel cartellino identificativo dei lavoratori?
Chiedere a lavoratori, specie se a contatto con il pubblico, di esporre un cartellino che li renda identificabili per finalità di trasparenza e di verifica del corretto funzionamento di aziende ed uffici pubblici, non contrasta con la legge sulla protezione dei dati personali. Non è però giustificato e proporzionato a tale obiettivo esigere che i lavoratori esibiscano nel contatto con il pubblico le proprie complete generalità ed altri dati (come la data di nascita), é sufficiente indicare nella parte visibile al pubblico un nome, un codice o un numero che permetta ugualmente di risalire all’interessato in caso di reclamo, senza per esporre il lavoratore interessato a pressioni improprie o successivi contatti per ragioni estranee all’attività lavorativa.
Queste sono le indicazioni fornite dal Garante per la protezione dei dati personali, alle quali tutti i datori di lavoro pubblici e privati dovranno attenersi per rispettare le norme e i principi posti a tutela delle persone dalla legge sulla privacy. La decisione interessa lavoratori pubblici e privati a contatto con il pubblico, come il personale di compagnie aree, aziende sanitarie, pubbliche amministrazioni, aziende di trasporto, servizi di ristorazione. A sollecitare l’intervento del Garante sono state numerose richieste pervenute, non solo da parte da pubbliche amministrazioni e società private, ma anche da larga parte dello stesso per sonale dipendente che lamentava l’eccessiva presenza di dati nel badge. Pur condividendo l’esigenza di migliorare il rapporto fra operatori ed utenti o clienti, attraverso una maggiore responsabilizzazione del personale e una più adeguata tutela del pubblico, molti dipendenti avevano posto in luce come una eccessiva ed ingiustificata diffusione di alcuni dati identificativi o anagrafici li esponesse ad essere contattati anche per motivi estranei al lavoro.
Il Garante ha ricordato che la legge sulla protezione dei dati, dando attuazione alla direttiva comunitaria, stabilisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche. I dati trattati devono perciò essere pertinenti e non eccedenti rispetto alla finalità perseguita e la loro diffusione, sia per il settore pubblico che per quello privato, deve rispettare precise condizioni. Nel caso esaminato dall’Autorità, la diffusione di dati personali dei dipendenti da parte del datore di lavoro privato può avvenire, al di là del consenso espresso e volontario degli interessati, solo per adempiere ad un obbligo previsto da una legge, da un regolamento o dalla normativa comunitaria, mentre per i soggetti pubblici la diffusione è consentita se prevista da norme di legge o di regolamento. Nell’ambito del rapporto di lavoro privato l’obbligo di portare il cartellino deriva spesso anche da accordi sindacali o da regolamenti aziendali: il cartellino ha, dunque, diverse finalità relative sia alla vita interna dell’azienda (controlli sulle entrate e sulle uscite, riconoscimento da parte dei colleghi o dirigenti, accessi ad aree riservate) sia ai rapporti con gli utenti o i clienti.
In quest’ultimo caso, ha sottolineato il Garante, non risulta di alcuna utilità che appaiano sul cartellino dati personali identificativi diversi dall’immagine fotografica, dalla ruolo professionale svolto ed eventualmente da un nome, un numero o una sigla.
Stesso discorso vale per le amministrazioni pubbliche: in assenza di precise disposizioni di legge o di regolamento che prescrivano puntualmente il contenuto dei cartellini identificativi, non è giustificabile che le amministrazioni pubbliche impongano la diffusione di elementi identificativi personali non pertinenti ed inutilmente eccedenti rispetto alle finalità di responsabilizzare maggiormente il personale e di fornire agli utenti una conoscenza sufficiente degli operatori con cui entrano in rapporto.
Diverso è il caso delle tessere di riconoscimento in regime di appalto e subappalto nei cantieri edili temporanei. o mobili. Gli articoli 20, 21 e 26 del D.Lgs. 81/2008 prevedono l’obbligo della tessera di riconoscimento per tutto il personale occupato dalle imprese appaltatrici o subappaltatrici coinvolte negli appalti di qualunque settore ed ai lavoratori autonomi.
Successivamente sono state introdotte nuove integrazioni ai contenuti di tale documento, che ora “deve includere:
- fotografia del lavoratore;
- generalità del lavoratore (nome e cognome, data di nascita, data di assunzione);
- indicazione del datore di lavoro (Ragione Sociale, indirizzo, partita iva);
- in caso di subappalto, la relativa autorizzazione (ovvero la data di richiesta di autorizzazione al subappalto rispetto alla quale si e' formato il silenzio-assenso)”.
In particolare in merito all’inserimento sul cartellino della data di nascita “vi sono due documenti ufficiali da ricordare:
- la circolare del Ministero del Lavoro e della Previdenza Sociale Direzione generale per l’attività ispettiva Divisione I - Prot. n. 25/I/4192 Circolare 28 settembre 2006, n. 29;
- Interpello n. 41/2008 del 3 ottobre 2008 - Prot. 25/I/0013426 - Art. 9, D.Lgs. n. 124/2004 – art. 36 bis, comma 3, D.L. n. 223/2006 conv. da L. n. 248/2006 del Ministero del Lavoro, della Salute e delle Politiche Sociali - Direzione Generale per l’attività ispettiva, riguardante i dati da riportare sul tesserino di riconoscimento per il personale occupato nei cantieri edili e rispetto del Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003).
In quest’ultimo documento si ribadisce che “il tesserino di riconoscimento dei lavoratori nei cantieri edili deve riportare, tra gli elementi identificativi, anche la data di nascita; per motivi di sicurezza sul lavoro e di lotta al lavoro sommerso nell’edilizia, infatti, l’indicazione di questo elemento non è ‘sproporzionata’ e, quindi, non può essere omessa nonostante il parere espresso dal Garante della privacy, secondo cui la data di nascita del personale a contatto con l’utenza non sarebbe ‘pertinente’ con la finalità della norma, che è quella di trasparenza e correttezza verso il pubblico”. Il Ministero del Lavoro nella risposta all’interpello precisa che la tutela del diritto alla riservatezza può essere graduata a opera del legislatore in rapporto a un’esigenza concreta - purché costituzionalmente protetta - posta come termine di paragone; la maggiore o minore limitazione alla tutela del diritto alla riservatezza sarà costituzionalmente fondata se posta in relazione con la maggiore o minore gravità attribuita dal legislatore a illeciti diversi individuati secondo scelte di politica legislativa.
L’indicazione della data di nascita sul tesserino di riconoscimento nel settore dell’edilizia risponde in modo costituzionalmente adeguato agli intenti programmatici del legislatore che, nello specifico, “possono riassumersi nella tutela della salute e sicurezza sul lavoro e nella lotta al lavoro sommerso”. Viene dunque confermato il contenuto della circolare n. 29/2006 in cui era stato precisato che i dati contenuti nella tessera di riconoscimento devono consentire l’inequivoco e immediato riconoscimento del lavoratore interessato e pertanto, oltre alla fotografia, deve essere riportato in modo leggibile almeno il nome, il cognome e la data di nascita. La tessera inoltre deve indicare il nome o la ragione sociale dell'impresa datrice di lavoro”.
La tessera dei lavoratori autonomi “deve contenere anche l'indicazione del Committente” e nel caso degli appalti privati, “il cartellino potrà contenere la data dell'autorizzazione al subappalto, che può coincidere con quella di stipula, anche verbale, del contratto di appalto nel quale si autorizza il subappalto stesso”.
Riepiloghiamo brevemente, gli elementi costitutivi della tessera di riconoscimento a decorrere dal 7 settembre 2010, data di entrata in vigore della Legge n. 136/2010.
“La tessera di riconoscimento della quale l’impresa appaltatrice o subappaltatrice deve munire i propri lavoratori deve contenere:
- le generalità del lavoratore (nome, cognome, data di nascita, ed eventualmente il luogo di nascita),
- fotografia del lavoratore,
- l'indicazione del datore di lavoro,
- la data di assunzione,
- in caso di subappalto, l’autorizzazione al subappalto”.
La tessera di riconoscimento della quale devono munirsi i lavoratori autonomi qualora operino in un luogo di lavoro nel quale si svolgano attività in regime di appalto o subappalto, deve contenere:
- le proprie generalità;
- la propria fotografia;
- l’indicazione del committente”.
Queste sono le indicazioni fornite dal Garante per la protezione dei dati personali, alle quali tutti i datori di lavoro pubblici e privati dovranno attenersi per rispettare le norme e i principi posti a tutela delle persone dalla legge sulla privacy. La decisione interessa lavoratori pubblici e privati a contatto con il pubblico, come il personale di compagnie aree, aziende sanitarie, pubbliche amministrazioni, aziende di trasporto, servizi di ristorazione. A sollecitare l’intervento del Garante sono state numerose richieste pervenute, non solo da parte da pubbliche amministrazioni e società private, ma anche da larga parte dello stesso per sonale dipendente che lamentava l’eccessiva presenza di dati nel badge. Pur condividendo l’esigenza di migliorare il rapporto fra operatori ed utenti o clienti, attraverso una maggiore responsabilizzazione del personale e una più adeguata tutela del pubblico, molti dipendenti avevano posto in luce come una eccessiva ed ingiustificata diffusione di alcuni dati identificativi o anagrafici li esponesse ad essere contattati anche per motivi estranei al lavoro.
Il Garante ha ricordato che la legge sulla protezione dei dati, dando attuazione alla direttiva comunitaria, stabilisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche. I dati trattati devono perciò essere pertinenti e non eccedenti rispetto alla finalità perseguita e la loro diffusione, sia per il settore pubblico che per quello privato, deve rispettare precise condizioni. Nel caso esaminato dall’Autorità, la diffusione di dati personali dei dipendenti da parte del datore di lavoro privato può avvenire, al di là del consenso espresso e volontario degli interessati, solo per adempiere ad un obbligo previsto da una legge, da un regolamento o dalla normativa comunitaria, mentre per i soggetti pubblici la diffusione è consentita se prevista da norme di legge o di regolamento. Nell’ambito del rapporto di lavoro privato l’obbligo di portare il cartellino deriva spesso anche da accordi sindacali o da regolamenti aziendali: il cartellino ha, dunque, diverse finalità relative sia alla vita interna dell’azienda (controlli sulle entrate e sulle uscite, riconoscimento da parte dei colleghi o dirigenti, accessi ad aree riservate) sia ai rapporti con gli utenti o i clienti.
In quest’ultimo caso, ha sottolineato il Garante, non risulta di alcuna utilità che appaiano sul cartellino dati personali identificativi diversi dall’immagine fotografica, dalla ruolo professionale svolto ed eventualmente da un nome, un numero o una sigla.
Stesso discorso vale per le amministrazioni pubbliche: in assenza di precise disposizioni di legge o di regolamento che prescrivano puntualmente il contenuto dei cartellini identificativi, non è giustificabile che le amministrazioni pubbliche impongano la diffusione di elementi identificativi personali non pertinenti ed inutilmente eccedenti rispetto alle finalità di responsabilizzare maggiormente il personale e di fornire agli utenti una conoscenza sufficiente degli operatori con cui entrano in rapporto.
Diverso è il caso delle tessere di riconoscimento in regime di appalto e subappalto nei cantieri edili temporanei. o mobili. Gli articoli 20, 21 e 26 del D.Lgs. 81/2008 prevedono l’obbligo della tessera di riconoscimento per tutto il personale occupato dalle imprese appaltatrici o subappaltatrici coinvolte negli appalti di qualunque settore ed ai lavoratori autonomi.
Successivamente sono state introdotte nuove integrazioni ai contenuti di tale documento, che ora “deve includere:
- fotografia del lavoratore;
- generalità del lavoratore (nome e cognome, data di nascita, data di assunzione);
- indicazione del datore di lavoro (Ragione Sociale, indirizzo, partita iva);
- in caso di subappalto, la relativa autorizzazione (ovvero la data di richiesta di autorizzazione al subappalto rispetto alla quale si e' formato il silenzio-assenso)”.
In particolare in merito all’inserimento sul cartellino della data di nascita “vi sono due documenti ufficiali da ricordare:
- la circolare del Ministero del Lavoro e della Previdenza Sociale Direzione generale per l’attività ispettiva Divisione I - Prot. n. 25/I/4192 Circolare 28 settembre 2006, n. 29;
- Interpello n. 41/2008 del 3 ottobre 2008 - Prot. 25/I/0013426 - Art. 9, D.Lgs. n. 124/2004 – art. 36 bis, comma 3, D.L. n. 223/2006 conv. da L. n. 248/2006 del Ministero del Lavoro, della Salute e delle Politiche Sociali - Direzione Generale per l’attività ispettiva, riguardante i dati da riportare sul tesserino di riconoscimento per il personale occupato nei cantieri edili e rispetto del Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003).
In quest’ultimo documento si ribadisce che “il tesserino di riconoscimento dei lavoratori nei cantieri edili deve riportare, tra gli elementi identificativi, anche la data di nascita; per motivi di sicurezza sul lavoro e di lotta al lavoro sommerso nell’edilizia, infatti, l’indicazione di questo elemento non è ‘sproporzionata’ e, quindi, non può essere omessa nonostante il parere espresso dal Garante della privacy, secondo cui la data di nascita del personale a contatto con l’utenza non sarebbe ‘pertinente’ con la finalità della norma, che è quella di trasparenza e correttezza verso il pubblico”. Il Ministero del Lavoro nella risposta all’interpello precisa che la tutela del diritto alla riservatezza può essere graduata a opera del legislatore in rapporto a un’esigenza concreta - purché costituzionalmente protetta - posta come termine di paragone; la maggiore o minore limitazione alla tutela del diritto alla riservatezza sarà costituzionalmente fondata se posta in relazione con la maggiore o minore gravità attribuita dal legislatore a illeciti diversi individuati secondo scelte di politica legislativa.
L’indicazione della data di nascita sul tesserino di riconoscimento nel settore dell’edilizia risponde in modo costituzionalmente adeguato agli intenti programmatici del legislatore che, nello specifico, “possono riassumersi nella tutela della salute e sicurezza sul lavoro e nella lotta al lavoro sommerso”. Viene dunque confermato il contenuto della circolare n. 29/2006 in cui era stato precisato che i dati contenuti nella tessera di riconoscimento devono consentire l’inequivoco e immediato riconoscimento del lavoratore interessato e pertanto, oltre alla fotografia, deve essere riportato in modo leggibile almeno il nome, il cognome e la data di nascita. La tessera inoltre deve indicare il nome o la ragione sociale dell'impresa datrice di lavoro”.
La tessera dei lavoratori autonomi “deve contenere anche l'indicazione del Committente” e nel caso degli appalti privati, “il cartellino potrà contenere la data dell'autorizzazione al subappalto, che può coincidere con quella di stipula, anche verbale, del contratto di appalto nel quale si autorizza il subappalto stesso”.
Riepiloghiamo brevemente, gli elementi costitutivi della tessera di riconoscimento a decorrere dal 7 settembre 2010, data di entrata in vigore della Legge n. 136/2010.
“La tessera di riconoscimento della quale l’impresa appaltatrice o subappaltatrice deve munire i propri lavoratori deve contenere:
- le generalità del lavoratore (nome, cognome, data di nascita, ed eventualmente il luogo di nascita),
- fotografia del lavoratore,
- l'indicazione del datore di lavoro,
- la data di assunzione,
- in caso di subappalto, l’autorizzazione al subappalto”.
La tessera di riconoscimento della quale devono munirsi i lavoratori autonomi qualora operino in un luogo di lavoro nel quale si svolgano attività in regime di appalto o subappalto, deve contenere:
- le proprie generalità;
- la propria fotografia;
- l’indicazione del committente”.
