COME IMPLEMENTARE UN SISTEMA DI D I R I T T O d’ I M P R E S A CIVILE, COMMERCIALE & NUOVE TECNOLOGIE COME IMPLEMENTARE UN SISTEMA DI V I D E O S O R V E G L I A N Z A NEL RISPETTO DELLA LEGGE E DELLE INDICAZIONI DEL GARANTE PRIVACY studiogiacopuzzi.it Studio Legale Giacopuzzi – DIRITTO d’IMPRESA – www.studiogiacopuzzi.it 1
L’AVVERTENZA PRELIMINARE Non tutto ciò che è tecnicamente possibile è anche giuridicamente lecito L’approccio alle implicazioni legali va condotto con professionalità La regola tecnica deve essere posta al vaglio del precetto giuridico ! Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it 2
IL DIRITTO E IL DIGITALE: PRECONCETTI Pirata minus delinquit, quia in mare delinquit All’epoca delle scoperte geografiche, era convinzione che i pirati, rispetto ai latrones di terra, commettessero delitti di minore gravità, poiché la condotta aveva luogo in una sorta di terra di nessuno Non si cada nel medesimo errore pensando al mondo digitale come ad una entità astratta, sottratta ad una regolamentazione giuridica Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it 3
VIDEOSORVEGLIANZA & PRIVACY UNA PREMESSA DA CUI MUOVERE: “La privacy” è una materia complessa e di non immediata decifrazione, atteso che le regole normative vanno lette unitamente alle indicazioni del Garante Vi sono adempimenti da porre in essere e precetti da osservare, pena l’applicazione di sanzioni (amministrative e/o penali). Il tutto fermo l’obbligo di risarcire il danno eventualmente arrecato. Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it 4
LE “SEMPLIFICAZIONI” DEL GARANTE QUALE PORTATA GIURIDICO-FORMALE? mere indicazioni a carattere divulgativo (154.1.h) prescrizioni impartite con efficacia vincolante (154.1.c) (sanzione per l’inosservanza: € 30.000,00 -180.000,00, ex art. 162.2-ter) Attenzione: il provvedimento dell’Authority sulla videosorveglianza è reso ai sensi dell’art. 154.1 lett.c) del Codice Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it 5
La disciplina normativa della videosorveglianza PRIVACY, MA NON SOLO! La disciplina normativa della videosorveglianza Data protection Norme di legge e indicazioni del Garante per la protezione dei dati p. Rapporto di lavoro e relaz.sindacali Tra i set normativi, assume partic. rilievo lo Statuto dei Lavoratori Miscellanea Sicurezza urbana (Comuni) Codice penale (615-bis) Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
IL RISPETTO DELLA PRIVACY L’osservanza dei precetti e dei provvedimenti del Garante per un’azienda PIU’ EFFICENTE SENZA SANZIONI Si semplificano le operazioni di trattamento dei dati Si incrementa la fiducia degli interessati Violazioni amministrative Illeciti penali Studio Legale Giacopuzzi – Verona, Bolzano – www.lucagiacopuzzi.it 7
Va registrato, anzitutto, l’inasprimento dell’impianto sanzionatorio LE SANZIONI Va registrato, anzitutto, l’inasprimento dell’impianto sanzionatorio Artt. 161 - 172 D.Lgs. 196/03 Qualche esempio, senza alcuna pretesa di esausitività Inidonea informativa: sino ad € 36.000,00 Violazione misure di cui all’art. 33: sino ad € 120.000,00 Incompleta notificazione: sino ad € 120.000,00 Inosservanza provv. Garante ex art. 154.c: sino ad € 180.000,00 Ipotesi aggravate: sino ad € 300.000,00 Studio Legale Giacopuzzi – Verona, Bolzano – www.lucagiacopuzzi.it 8
LO “STATO DELL’ARTE” IN PUNTO PRIVACY In tema di privacy, alcune modalità applicative sono ancora basate su approcci prettamente burocratici e di ordine puramente formale Da tale prassi conseguono adempimenti superflui o ripetuti inutilmente Si pone, dunque, la necessità di “rileggere” la materia Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
PRIVACY: QUALI INDICAZIONI? Giova recuperare alcuni adempimenti di base da cui muovere Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
IL SISTEMA DEI DATI PERSONALI COMUNI SENSIBILI GIUDIZIARI SEMI-SENSIBILI Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
GLI ADEMPIMENTI PRIVACY, IN ESTREMA SINTESI Informativa Consenso Notificazione Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
LE (PRINCIPALI) DESIGNAZIONI Il Titolare del trattamento deve individuare formalmente, con atto scritto, i soggetti che hanno titolo per trattare i dati Responsabili: interni ed esterni Detta figura, la cui designazione è facoltativa, ricorre frequentemente in presenza di articolazioni interne delle realtà produttive ovvero in presenza di servizi in outsourcing (es.: manut. sist.inform., ced, postalizzazione) DESIGNAZIONI Incaricati (e…A.d.S.??) Detta figura, la cui designazione è obbligatoria, individua le pers.fisiche che materialmente compiono operazioni di trattamento dei dati
che cos’è? E’il primo “obbligo-privacy” nei confronti dell’interessato L’INFORMATIVA E’il primo “obbligo-privacy” nei confronti dell’interessato che cos’è? Deve rappresentare agli interessati, senza inutili formalità, le caratteristiche essenziali dei trattamenti effettuati Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
L’utente deve anzitutto ricevere una chiara e completa informativa L’INFORMATIVA/2 L’utente deve anzitutto ricevere una chiara e completa informativa in ordine al trattamento dei dati raccolti Formule sintetiche o colloquiali? Ammissibili, purchè inequivoche Necessaria la presenza degli elementi di cui all’art. 13 D.Lgs.196/06 Auspicata la redazione di una prima informativa breve, che rinvia ad altra Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
possano TRATTARE i dati personali IL CONSENSO Salvo ricorra una delle ipotesi di cui all’art.24, è NECESSARIO affinchè i privati e gli enti pubblici economici possano TRATTARE i dati personali preventivo espresso libero informato revocabile specifico Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it IL CONSENSO/2 Nello svolgimento dell’ordinaria attività d’impresa, il consenso NON è richiesto se: il trattamento viene posto in essere per dare esecuzione ad un obbligo di legge (art.24, 1 comma, lett.a) i dati vengono trattati nell’esecuzione di un contratto o in fase precontrattuale (art.24, 1 comma, lett.b) i dati provengono da registri ed elenchi pubblici (art.24, 1 comma, lett.c) i dati sono relativi allo svolgimento di attività economiche (art. 24, 1 comma, lett.d) DATI SENSIBILI? REGOLE ULTERIORI (art.26) Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
A mezzo della n. il Titolare rende nota all’Autorità Garante LA NOTIFICAZIONE A mezzo della n. il Titolare rende nota all’Autorità Garante un’attività di raccolta e di utilizzazione di dati Nuovo modello telematico (Provv. 22.10.08), a seguito della modifica dell’art. 38 D.Lgs. 196/03 Per disposizione di legge, sono tenuti a detto adempimento, tra gli altri, i soggetti che effettuano trattamenti concernenti: dati biometrici dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica profilazione informatica di dati personali Sanzione amministrativa per omessa/inidonea n. fino ad € 120.000,00 Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
Il Testo Unico prevede 2 diverse misure di sicurezza: LE MISURE DI SICUREZZA Il Testo Unico prevede 2 diverse misure di sicurezza: MISURE “MINIME” “Allegato B”: il mancato rispetto costituisce reato MISURE “IDONEE” art. 31 T.U.: la mancata adozione di esse espone al risarcimento dei danni Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
LE MISURE MINIME Previste in generale dall’art.33 T.U., si dividono da un punto di vista pratico in 2 macrocategorie, per trattamenti: CON strumenti elettronici SENZA strumenti elettronici (art. 34 T.U.) (art. 35 T.U.) Sono individuate nell’allegato “B” Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
MISURE PER STRUMENTI ELETTRONICI L’art. 34 T.U. prevede OTTO MISURE MINIME Significativi, peraltro, anche i recenti interventi, del legislatore e del Garante, che hanno modificato il quadro normativo autocertificazione, in luogo del DPS (art. 38-bis D.Lgs. 196/03) procedure semplificate per le m.minime (Provv. 27.11.08) Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
FOCUS SUL PROVVEDIMENTO DEL 27.11.08 I destinatari del provvedimento possono, in particolare: impartire le istruzioni agli incaricati sulle misure minime anche oralmente aggiornare i programmi antivirus almeno annualmente (sic!) redigere un DPS “semplificato” (qualora non optino per l’autocertificazione, n.d.a.)
Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it LE MISURE IDONEE Art. 31 T.U. Sono volte a RIDURRE al minimo i RISCHI: di distruzione/perdita dei dati di accesso non autorizzato di trattamento non consentito di trattamento non conforme alle finalità della raccolta Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
PROVA LIBERATORIA (tutt’altro che agevole): LE MISURE IDONEE/2 L’adeguamento alle misure minime implica l’assenza di responsabilità penali, ma esso non basta per affrancarsi da responsabilità civile qualora vi siano sul mercato accorgimenti che soddisfino le misure “idonee” Chiunque cagiona danno per effetto del trattamento di dati personali risponde ai sensi dell’art.2050 c.c., anche del danno morale Art. 15 T.U. PROVA LIBERATORIA (tutt’altro che agevole): Il titolare va esente da responsabilità solo se dimostra di aver adottato tutte le misure idonee ad evitare il danno Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
PASSAGGI OBBLIGATI PER CHI TRATTA I DATI LA RIDUZIONE DEI RISCHI RISPETTO MISURE MINIME Si evitano conseguenze penali PREDISPOSIZIONE MISURE ULTERIORI Si evita il risarcimento dei danni Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
la chiave per decifrare una materia complessa LA PRIVACY In ambito privacy si deve tendere a semplificazioni e a razionalizzazioni di sistema La semplificazione rappresenta la chiave per decifrare una materia complessa un obiettivo, cogente, evincibile da norme
Ambiti particolari, Un complesso regime normativo: A) IL TRATTAMENTO DEI DATI DEI CLIENTI Ambiti particolari, ulteriori rispetto alle ordinarie ipotesi di trattamento Un complesso regime normativo: Fidelizzazione in senso stretto Profilazione della clientela Marketing diretto consenso non necessario consenso informato e distinto consenso informato e distinto NOTIFICAZIONE per profilazione; sanzione: € 20.000,00-120.000,00
Dati clienti SI’ NO X X(1) I principali adempimenti, in sintesi Fidelizzazione in senso stretto Profilazione della clientela Marketing diretto SI’ NO Informativa X Consenso X(1) Notificazione Tempi di conservazione Misure di sicurezza Designazioni dei soggetti (1) Vedasi, tuttavia, anche l’art. 130 D.Lgs. 196/03 (email) e il Provv. Garante 19.06.08 (posta cartacea)
ULTERIORI TRATTAMENTI SUI DATI Consenso (informato) e notificazione (20-120) Profilazione Marketing Consenso (informato) Gli interessati devono essere messi in grado di esprimere (consapevolemente e) liberamente le loro scelte in ordine al trattamento dei dati che li riguardano Studio Legale Giacopuzzi – Verona Bolzano – www.lucagiacopuzzi.it
Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it B) IL TRATTAMENTO DEI DATI A MEZZO DEL WEB Il trattamento dei dati raccolti on-line deve essere compiutamente disciplinato. E ciò non solo in presenza di un sito web di e-commerce, ma anche laddove il sito sia una mera “brochure telematica” Due gli adempimenti essenziali: privacy policy (“come il sito processa i dati”) informativa ex art. 13 (“come il Titolare tratta i dati raccolti”) Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
C) IL TRATTAMENTO DEI DATI DEI DIPENDENTI Linee guida in materia di trattamento di dati dei lavoratori dati biometrici (154.1.c) dati sanitari (154.1.h) comunic. e diff. (154.1.h) Deliberazione Garante n.56 del 23.11.06 Ambiti particolari, ulteriori rispetto alle ordinarie ipotesi di trattamento Videosorveglianza Accesso e/o controllo e-mail e navigazione Internet
Provv.GARANTE Art. 134 T.U. LA VIDEOSORVEGLIANZA E’il trattamento di dati personali effettuato con strumenti elettronici di rilevazione/registrazione di immagini Provv.GARANTE Art. 134 T.U. Codice di deontologia Il cd.“decalogo” 29.11.00 Il Provvedimento 29.04.04 Il Provvedimento 08.04.10 Artt.4 e 8 L.300/70: Statuto dei lavoratori
IL RIFERIMENTO NORMATIVO “PRINCIPE” Provvedimento Garante Privacy Provv. Generale 8 aprile 2010 Pare superfluo osservare che i trattamenti ivi indicati devono svolgersi nell’osservanza dei “principi fondamentali” delineati dal D.Lgs. 196/03
I PRINCIPI FONDAMENTALI Principio di necessità Analisi sul possibile impiego di sistemi meno invasivi Principio di liceità Funzioni istituzionali (P.A.), consenso o bilanciamento di interessi
I PRINCIPI FONDAMENTALI/2 Principio di proporzionalità La videosorveglianza laddove difettino altri sistemi di deterrenza Principio di finalità Il titolare può perseguire solo finalità di sua pertinenza
L’INFORMATIVA modello semplificato
VERIFICHE PRELIMINARI Ulteriori verifiche, rispettati i principi generali: l’interpello RISCHI SPECIFICI Dati biometrici, o Indicizzazione di immagini S. cd. INTELLIGENTI Motion detection???
richiede l’adempimento LA NOTIFICAZIONE La videosorveglianza, in quanto tale, NON richiede l’adempimento della notificazione D. Lgs. 196/03 Si indicano solo i (pochi) CASI in cui la notifica è obbligatoria: art.37 T.U. Garante In più occasioni ha precisato quanto sopra
LE MISURE DI SICUREZZA IDONEE Sono prescritte misure tecniche ed organizzative che consentano al Titolare di verificare l’attività di chi accede alle immagini o controlla il sistema Si dovrà, in particolare, prestare attenzione a quanto segue: Differenti competenze Livelli di visibilità e trattamento differenti Immagini trasmesse su rete pubblica o da wireless point Si richiede l’impiego di tecniche crittografiche Attenzione: dette indicazioni innovano il quadro normativo previgente Studio Legale Giacopuzzi – DIRITTO d’IMPRESA – www.studiogiacopuzzi.it 39
Deve essere commisurata al tempo necessario al LA CONSERVAZIONE Deve essere commisurata al tempo necessario al raggiungimento della finalità perseguita: 24 ore il termine ordinario salvo speciali esigenze (es.:festività) o specifici casi (es.:particolare rischiosità; 7 gg.) Un eventuale allungamento deve essere visto come eccezionale, e, pertanto, oggetto di verifica preliminare
LE PRESCRIZIONI PER I SISTEMI INTEGRATI Trattasi di sistemi integrati tra diversi soggetti (i) (ii) (iii) Condivisione delle immagini da parte di diversi e autonomi titolari del trattamento Collegamento di diversi titolari ad un “centro” unico gestito da un soggetto terzo Collegamento, anche da parte di un unico titolare, alle forze di polizia MISURE DI SICUREZZA ULTERIORI Studio Legale Giacopuzzi – DIRITTO d’IMPRESA – www.studiogiacopuzzi.it 41
NOMINE I SOGGETTI “IN GIOCO” Il titolare deve individuare formalmente i soggetti che hanno accesso alle immagini, i quali vanno circoscritti qualitativamente e quantitativamente Responsabili NOMINE Incaricati
A.d.S.: QUALI ONERI PER L’AZIENDA? Autorità Garante & AdS: Provv. 27/11/2008, in G.U. 24/12/08 n.300 Nuovi adempimenti (di carattere organizzativo e tecnico) per l’amministratore del sistema informatico Trattasi di vere e proprie prescrizioni precettive, impartite, con piena efficacia vincolante e a pena di illiceità del tr., ai sensi dell’art. 154 co.1, lett.c Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
FOCUS SUL PROVVEDIMENTO Considerazioni preliminari La portata giuridico-formale del Provvedimento Il campo di applicazione del Provvedimento La nozione “giuridica” di A.d.S. Per ulteriori approfondimenti: http://www.lucagiacopuzzi.it/uploads/pubblicazioni/app_172/AdS_SL.pdf Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it FOCUS SUL PROVVEDIMENTO/2 B) I principali adempimenti, in sintesi: Valutazione delle caratteristiche soggettive Designazioni individuali Elenco degli amministratori di sistema Servizi in outsourcing Verifica delle attività Registrazioni degli accessi Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
AL VIA LA FASE OPERATIVA La tutela della privacy non è l’unico obiettivo cui tendere le indicazioni di cui allo St. Lav. non possono essere disattese Una chiara indicazione di principio: a monte di ogni progetto, si deve valutare se il controllo attuato a mezzo dello stesso comporti un controllo (diretto o indiretto) della prestazione lavorativa
CONTROLLI CONSENTITI E CONTROLLI VIETATI quali controlli? Controllo a distanza
Divieto di apparecchiature per controllo a distanza Art. 4 L.300/70 (St.Lav.) La durezza del divieto è mitigata dal 2°comma, che permette – con un iter obbligato - il controllo dettato da esigenze produttive, organizzative o di sicurezza (c.“preterintenzionale”)
Tra i poteri che l’ordinamento riconosce al datore di lavoro QUALE CONTROLLO? Tra i poteri che l’ordinamento riconosce al datore di lavoro nella sua qualità di creditore della prestazione lavorativa R I E N T R A quello di controllare l’esatta esecuzione della prestazione dovuta CONTROLLI SI’, MA “A NORMA DI LEGGE”
ALLA RICERCA DI SOLUZIONI CONCRETE In attesa di un intervento legislativo che disegni i confini normativi tra tecnologia, impresa e lavoro, tocca all’interprete individuare il punto di equilibrio tra il diritto del lavoratore a non subire intrusioni del datore di lavoro ad evitare illeciti
UN CASO CONCRETO: IL CONTROLLO DELL’E-MAIL AZIENDALE La posta elettronica deve essere tutelata alla stregua di quella epistolare S E G R E T E Z Z A È reato leggere i messaggi altrui (art. 616 c.p.)
Ma in azienda lo scenario muta L’E-MAIL AZIENDALE/2 Ma in azienda lo scenario muta nome.cognome@azienda.it La casella di posta perde la sua riservatezza
Essa rimane “bene aziendale”, L’E-MAIL AZIENDALE/3 semplice STRUMENTO DI LAVORO MAILBOX aziendale Essa rimane “bene aziendale”, accessibile a tutti i dipendenti autorizzati, ed al datore di lavoro in primis (Ordinanza GIP Tribunale Milano, 10 maggio 2002)
Controlli “disinvolti”, pertanto? L’E-MAIL AZIENDALE/4 Le medesime considerazioni sono state riprese, nel 2007, da altra pronuncia (Trib. Torino, caso “Pilkington Siv”) Controlli “disinvolti”, pertanto? Assolutamente no!!
I giudici prendono in esame unicamente il singolo aspetto L’E-MAIL AZIENDALE/5 I giudici prendono in esame unicamente il singolo aspetto portato alla loro attenzione (la punibilità ai sensi dell’art. 616 c.p.) La disamina del fenomeno “e-mail aziendale” è, all’evidenza, non esaustiva prescinde dai profili relativi alla privacy, non meno rilevanti e non privi di criticità
E DUNQUE: QUALE CONTROLLO PER E-MAIL & NAVIGAZIONE WEB? E’possibile verificare il corretto utilizzo della posta elettronica e della rete Internet? IL QUESITO E’MAL POSTO La risposta non è univoca: sono state impartite ai lavoratori istruzioni sul corretto utilizzo delle risorse informatiche aziendali? E’stato delineato l’eventuale procedimento di controllo?
LE “LINEE GUIDA” DEL GARANTE PRIVACY Con provvedimento del 01.03.07, l’Authority fornisce indicazioni operative per la disciplina della posta elettronica e di Internet ATTENZIONE: la disciplina in tema di “data protection” va coordinata con le regole di settore riguardanti il rapporto di lavoro, e segnatamente con lo Statuto dei Lavoratori
LE “LINEE GUIDA” DEL GARANTE PRIVACY/2 In applicazione del principio di correttezza, si dia conto - in modo chiaro e puntuale - di quali siano le modalità di utilizzo degli strumenti informatici e si disciplini il procedimento di controllo, indicandone le ragioni (es.: per verifiche sulla funzionalità e sicurezza del sistema) In applicazione del principio di necessità, si promuova l’adozione di ogni misura (organizzativa e tecnologica) volta a “minimizzare” l’utilizzo di dati personali In applicazione dei principi di pertinenza e non eccedenza, si attui una graduazione dei controlli (evitando, in particolare, controlli prolungati, costanti o indiscriminati) e si regolamenti la conservazione dei dati si individuino i soggetti preposti ad attività di controllo, e se ne curi l’aggiornamento professionale, anche a mezzo di percorsi formativi
IL P. DI CORRETTEZZA (art. 11 D.Lgs. 196/03) necessità di un DISCIPLINARE INTERNO Ispirato, anzitutto, ad un canone di trasparenza In base al principio di correttezza (art.11,comma 1, lett.a, D.Lgs. 196/03), grava sul datore l’onere di indicare in modo chiaro e particolareggiato: quali siano le modalità di utilizzo degli strumenti informatici assegnati in uso al lavoratore; se, in che misura e con quali modalità vengano effettuati controlli; quali siano le conseguenze di eventuali illeciti. La policy va adeguatamente pubblicizzata (art. 7 St.Lav.) e deve essere sottoposta a periodico aggiornamento
I lavoratori devono essere resi edotti IL P. DI CORRETTEZZA/2 necessità di una revisione dell’INFORMATIVA (art.13 D.Lgs. 196/03) I lavoratori devono essere resi edotti di ogni trattamento che li può riguardare, specie in relazione ad attività di controllo Vanno perciò esplicitati, secondo il principio del “clare loqui”: gli aspetti essenziali dei trattamenti posti in essere; i soggetti cui i dipendenti possono rivolgersi per esercitare i propri diritti in punto privacy
IL P. DI NECESSITA’ (art.3 D.Lgs. 196/03) Il sistema informativo aziendale deve essere configurato riducendo al minimo l’impiego di dati personali Tra le altre, si valutino misure Si consideri il posizionamento delle macchine e l’impatto di esse sui diritti dei singoli ORGANIZZATIVE In tale contesto, vi sono soluzioni specifiche per e-mail e navigazione web TECNOLOGICHE
IL P. DI PROPORZIONALITA’ (art.11 D.Lgs.196/03) La liceità dell’attività di controllo è subordinata al rispetto dei pr. di pertinenza e di non eccedenza In concreto, vige un dovere di graduazione dei c. Per quanto possibile, deve essere preferito un controllo preliminare su dati aggregati, riferiti alla struttura o ad aree. Il c.anonimo può concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti, con l’invito ad un rigoroso rispetto delle regole di condotta
ALCUNI ELEMENTI DELLA POLICY REGOLE DI UTILIZZO DEL SISTEMA INFORMATICO 1.1 Personal computer 1.2 Posta elettronica 1.3 Navigazione Internet 1.4 Programmi informatici specifici o particolari modalità di fruizione di talune risorse (es. ASP) 2. FACOLTA’ DI ACCESSO AI DATI PERSONALI UTENTE 2.1 Files di lavoro 2.2 Indirizzi email (assenza programmata o improvvisa) 2.3 Manutenzione del sistema 2.4 Amministratore di sistema 3. CONTROLLI, E CONSEGUENZE 3.1 Proxy server 3.2 Posta elettonica 3.3 Navigazione Internet
COME REDIGERE IL DISCIPLINARE IL DOCUMENTO “STEP BY STEP” Stesura di una bozza di partenza; Verifica da parte delle figure a ciò preposte; Eventuali interventi di modifica; Stesura del testo definitivo; Approvazione del testo da parte del vertice aziendale; Incontro dell’Azienda col Sindacato; Eventuali revisioni a seguito dell’incontro di cui al punto che precede; Modifiche e/o integrazioni al documento; Approvazione del testo emendato e/o integrato; Accordo tra l’Azienda e il Sindacato; Comunicazione del documento ai lavoratori; Attività di formazione interna (management, responsabili pr., altri) Revisioni periodiche del disciplinare.
“SEMPLIFICAZIONI” DEL GARANTE Alcuni snodi della semplificazione sono frutto dell’esperienza applicativa e del dover rispondere ad alcune specificità QUALE PORTATA GIURIDICO-FORMALE? mere indicazioni a carattere divulgativo (154.1.h) prescrizioni impartite con efficacia vincolante (154.1.c) (sanzione per l’inosservanza: € 30.000,00 -180.000,00, ex art. 162.2-ter) Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
Il quadro normativo, disomogeneo e di non facile decifrazione, non deve essere l’alibi per non muovere verso il rispetto delle indicazioni di legge Dal PROBLEMA alla SOLUZIONE Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
COSA FARE, IN CONCRETO? ADEGUAMENTO TRATTAMENTI “ORDINARI” TRATTAMENTI “PARTICOLARI” Tra gli altri: marketing, on-line e cartaceo profilazione cliente fidelizzazione cliente videosorveglianza biometria trasferimento dati all’estero web amministratore di sistema N.B.: Il trattamento dei dati nei diversi soggetti non è mai uguale l’uno all’altro, perché si deve tener conto delle specificità proprie dei titolari. modulistica policy varie ed eventuali
DISCLAIMER - REGIME DI UTILIZZO DELLE SLIDES Le presenti slides vanno considerate quale mera esemplificazione delle materie trattate. Il materiale è, pertanto, propedeutico all’attività di consulenza e/o di assistenza legale fornita dallo Studio al Cliente. Nessuna responsabilità legata ad una decisione assunta sulla base delle informazioni qui contenute potrà, quindi, essere attribuita al professionista o allo Studio. © Studio Legale Giacopuzzi - 2010 DIRITTO D’IMPRESA Studio Legale Giacopuzzi – Diritto d'Impresa – www.studiogiacopuzzi.it
Studio Legale Giacopuzzi – DIRITTO d’IMPRESA – www.studiogiacopuzzi.it PER APPROFONDIMENTI: D I R I T T O d’ I M P R E S A CIVILE, COMMERCIALE & NUOVE TECNOLOGIE 37121 Verona, Stradone San Fermo n.21 Tel.: 045.8011287 Fax: 045.8039787 Numero verde: 800-148791 www.studiogiacopuzzi.it studio@studiogiacopuzzi.it Studio Legale Giacopuzzi – DIRITTO d’IMPRESA – www.studiogiacopuzzi.it 69