Categorie approfondimento: Commerciale e industriale
18 Novembre 2013

Privacy: un aiuto dal Garante alle imprese

Di cosa si tratta

Conscio del fatto che in ambito imprenditoriale il tema del trattamento dei dati personali venga percepito come un fastidioso obbligo burocratico che intralcia e rende più gravosa l’attività d’impresa, il Garante della privacy ha pubblicato una breve guida volta a rappresentare aspetti della materia che spesso non vengono percepiti nel modo corretto.
L’obiettivo del documento è quello di aiutare le imprese a valorizzare il proprio patrimonio dati, trasformando la privacy da costo a risorsa, senza per questo ridurre le tutele dei diritti fondamentali della persona. Tale operazione viene svolta attraverso l’individuazione di dieci “best practice” che possono migliorare la capacità di business dell’impresa, aumentando la fiducia di utenti e consumatori nella serietà e affidabilità dell’attore economico.
Occorre evidenziare che il concetto cardine su cui ruotano tutte le riflessioni del Garante è che i dati rappresentano uno dei beni più preziosi posseduti dall’impresa e, spesso, senza che quest’ultima ne abbia la consapevolezza.
Nel presente articolo riproporremo e analizzeremo quelle “pratiche” inerenti a temi che più spesso sono oggetto di quesiti e dubbi da parte dei nostri clienti.
Un tema certamente ricorrente è quello dell’uso delle tecnologie nell’impresa; a tal proposito sottolinea il Garante che l’adozione di soluzioni tecnologiche e organizzative da parte dell’imprenditore può confliggere con la riservatezza delle persone coinvolte se tali soluzioni comportano un trattamento dei dati personali. L’imprenditore deve ponderare con attenzione quali strumenti adottare al fine di evitare trattamenti dei dati non necessari che, tra l’altro, possono risultare eccessivi o anche discriminatori. E’ lecito, a esempio, installare un sistema di videosorveglianza per esigenze organizzative e produttive, per consentire di intervenire immediatamente nel caso in cui verifichino situazioni di rischio.
Tuttavia, se tale raccolta di immagini può consentire anche il controllo a distanza e la verifica dell’attività dei lavoratori, occorre tenere in considerazione non solo le norme previste dal Codice della privacy, ma anche quelle indicate nello Statuto dei lavoratori (tenendo presente che l’installazione di tecnologie per l’esclusiva finalità di controllo a distanza dei lavoratori è comunque vietata).
Pari cautele vanno adottate anche quando si utilizzano software al fine di migliorare le prestazioni della rete internet aziendale che tuttavia potrebbero però consentire il monitoraggio della navigazione o della posta elettronica dei dipendenti. Il tema è stato peraltro già trattato nel sito dall’articolo ” Navigazione in Internet e posta elettronica: linee guida del Garante per controllo sull’utilizzo fatto dai dipendenti“.
E’ evidente che i diritti dei lavoratori che potrebbero essere lesi dall’adozione delle menzionate tecnologie non sono solo quelli attinenti la sfera della riservatezza ma soprattutto quella lavoristica. E’ per questo motivo che spesso consigliamo di trovare un’intesa preliminare con le rappresentanze sindacali in azienda.
Il Garante tratta anche le tecnologie che consentono la precisa localizzazione del lavoratore come, ad esempio, il Gps dell’autoveicolo o dello smartphone in dotazione, o l’Rfid (Identificazione a radio frequenza) del documento di riconoscimento. In questo caso il ricorso alla geolocalizzazione non è vietato ma che devono essere valutate tutte le circostanze del caso e la proporzionalità del suo utilizzo.
Altre volte lo strumento adottato non consente il monitoraggio dell’attività del lavoratore, ma si dimostra comunque sproporzionato rispetto alle finalità dichiarate. Succede spesso quando si decide di usare dati biometrici (come il riconoscimento dell’iride o il codice numerico riferibile all’impronta digitale) per controllare gli accessi in una determinata area. Tale misura è giustificata solo in situazioni di particolare rischio.
La normativa sulla privacy, al fine di evitare possibili gravi pregiudizi alle persone interessate e successivi problemi alle imprese, prevede che il Garante debba essere contattato preventivamente, chiedendo una verifica preliminare, nel caso in cui la società intenda avviare un trattamento di dati personali (diversi da quelli sensibili e giudiziari) che possa presentare rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato. Tale situazione può verificarsi sia per la natura dei dati o per le modalità del trattamento o per gli effetti che il trattamento stesso può determinare.
È necessario richiedere una verifica preliminare, ad esempio, quando si intendono attivare sistemi di videosorveglianza “intelligente”- come quelli in grado di rilevare automaticamente comportamenti o eventi anomali – oppure quelli dotati di un software che consenta il riconoscimento della persona tramite collegamento o incrocio o confronto delle immagini rilevate (ad es. la morfologia del volto) con dati biometrici, o sulla base del confronto dell’immagine con una campionatura di soggetti precostituita alla rilevazione dell’immagine. La verifica preliminare è richiesta anche quando, per particolari esigenze, si vogliano allungare i tempi di conservazione delle immagini registrate oltre il termine massimo di sette giorni, a meno che questa necessità non derivi da una specifica richiesta dell’autorità giudiziaria o di una forza di polizia per un’attività investigativa in corso.
La normativa, quindi, non vieta in assoluto l’adozione di misure tecnologiche a tutela delle attività aziendali, ma cerca un bilanciamento con altri diritti fondamentali della persona e tale aspetto dovrà essere sempre tenuto in considerazione dal datore di lavoro che non voglia incorrere nelle sanzioni previste dal codice della privacy ovvero esporsi a rivendicazioni sindacali (molto spesso fondate). Un altro tema trattato dal documento in esame è quello delle misure di sicurezza relative ai dati trattati che l’impresa è tenuta ad adottare.
Il legislatore prevede infatti che debbano essere adottate idonee e preventive misure di sicurezza, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. L’ipotesi che ricorre con maggior frequenza è quella che riguarda i dati in formato digitale, come quelli trattati attraverso computer, tablet o smartphone; in questo caso è necessario applicare misure più complesse e adeguate al tipo di rischio.
Il Codice prevede misure minime di sicurezza che garantiscano, ad esempio, in caso di trattamento elettronico, la verifica e la convalida dell’identità di chi accede al sistema (identificativi personalizzati, password sicure…), l’adozione di un apposito sistema di autorizzazione che consenta solo specifiche attività predefinite, l’utilizzo di strumenti (come antivirus aggiornati e altri software e sistemi di protezione) per impedire accessi illeciti o abusivi che mettano a rischio l’integrità e la confidenzialità del dato personale. Occorre anche definire misure di protezione particolari per i dati sensibili, magari adottando tecniche crittografiche che non li rendano immediatamente leggibili in caso di accessi illeciti. Il settore informatico è in rapida e costante evoluzione, è quindi importante, per la sicurezza dell’azienda e per la protezione dei dati personali, che il personale addetto a queste attività riceva un’adeguata formazione e che le misure adottate, per non perdere di efficacia, siano aggiornate nel tempo.
Di recente è, invece, venuto meno l’obbligo di predisporre un “documento programmatico sulla sicurezza” che elenchi le misure adottate. Il Garante ha previsto che le misure minime possano essere applicate in forma semplificata nel caso in cui i dati personali siano trattati unicamente per correnti finalità amministrative e contabili. Sono state semplificate anche le misure di sicurezza dei soggetti che trattano solamente dati sensibili connessi alla gestione operativa del rapporto di lavoro (malattia, partecipazione ad attività sindacali).
Si suggerisce alle imprese di monitorare con frequenza le proprie privacy policy e le misure adottate per proteggere i dati al fine di assicurarsi che le stesse siano “al passo” con le innovazioni tecnologiche adottate dall’azienda o fruite dai lavoratori. Si pensi, a esempio, al recente capillare utilizzo del cloud computing.
Affinché le eventuali opportunità di efficienza e risparmio fornite da questo strumento non si trasformino in un rischio per la sicurezza dei dati dell’impresa è opportuno che se ne faccia un impiego accorto e consapevole. In pochi tengono in considerazione, a esempio, che questi servizi comportano un’archiviazione dei dati su server che non si trovano in Italia, così realizzando un trasferimento dei dati all’estero.
Il tema potrebbe non porsi qualora i server risiedano nell’Unione Europea, infatti la normativa comunitaria prevede che i dati personali possa no circolare liberamente entro l’Unione europea. Per trasferire dati al di fuori dell’Unione europea devono invece essere garantiti standard di protezione adeguati a quelli europei: in caso contrario è vietato trasferire dati personali.
Per semplificare l’attività di ricognizione dell’imprenditore che ha necessità di trasferire i dati, il Garante pubblica sul proprio sito internet un elenco aggiornato degli Stati “terzi”(cioè non appartenenti all’Unione europea o allo Spazio Economico Europeo) che sono già ritenuti affidabili a livello europeo e per i quali non è necessario alcun “passaporto” per l’esportazione. E’ da rilevare tuttavia che non sempre si ha contezza di dove siano collocati i server che il prestatore del servizio di “cloud” utilizza. Il nostro consiglio è pertanto quello di inserire nel contratto stipulato con tale soggetto un’apposita previsione che regoli questo aspetto.
Si evidenzia in ultimo che vi sono tuttavia eccezioni al divieto di trasferire dati in Paesi terzi: è consentito, ad esempio, il trasferimento se vi è l’apposito consenso dell’interessato(consenso scritto nel caso in cui si tratti di dati sensibili), oppure quando il trasferimento risulta necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato.

(Visited 22 times, 1 visits today)