KB  76,693    

    KB  00,000    

    KB  00,000    

    KB  00,000    

    KB  00,000    

    KB  81,330    

    KB  00,000    

    KB  57,667    

    KB  68,105    

    KB  00,000    

    KB  56,092    

Una lavanderia che non utilizza il computer, appunta, sugli indumenti da pulire un foglietto con nome cognome e in alcuni casi anche il numero di telefono del cliente, inoltre sul bancone tiene i blocchetti con la seconda copia dello stesso foglietto. Deve adeguarsi alla legge sulla privacy?

Si ha l'obbligo dell'adeguamento. Deve prestare particolare attenzione al fatto che oltre ai dati dei clienti, tenga anche quelli sui fornitori ed eventualmente sui dipendenti. 1) E' necessario che dia l'informativa a fornitori, clienti ecc. (per i clienti consigliamo di metterla in bella mostra sul bancone in modo da evitare di darne una copia ad ogni cliente); 2) Dia le nomine agli eventuali incaricati, e le relative istruzioni; 3) Si faccia firmare i contratti di affidamento dati esterni; 4) Osservi le misure minime di sicurezza presenti nell'allegato B - Decreto Legislativo N. 196/2003.

Sono rivenditore di una determinata marca di prodotti e li metto in esposizione nella mia vetrina, devo chiedere il consenso?

Il consenso deve essere richiesto quando facciamo dei trattamenti che non sono ne obbligo di legge ne servono per adempiere ad un contratto con il nostro committente. Se sono un rivenditore di un prodotto o se comunque debbo venderlo è possibile dire che per venderlo ho necessità di promuoverlo? Si. Quindi la promozione può sicuramente essere assimilata ad un obbligo di contratto ergo non vi è necessità di chiedere nessun consenso per poter esporre il prodotto.

Se eseguo un determinato lavoro per un mio cliente posso dire di averlo fatto senza avere il consenso?

Di solito NO, non è possibile. Fatevi sempre la domanda: e' obbligatorio per legge dire che ho fatto un lavoro per tale cliente?" NO (a meno che non trattiamo appalti pubblici) oppure: esiste nel contratto tra me e il committente la specifica che posso diffondere e comunicare i lavori eseguiti? Se esiste un contratto con queste caratteristiche allora potete farlo senza il consenso altrimenti assolutamente NO.

Ai miei clienti posso fare campagne di marketing senza avere il consenso specifico?

Di solito NO, la domanda è sempre la stessa "E' obbligatorio, per qualche legge fare campagne pubblicitarie o marketing?" NO. Vero è che, se le comunicazioni inviate ai miei clienti (e badate bene CLIENTI e non potenziali clienti) sono inerenti a prodotti o servizi che loro hanno acquistato (ad esempio comunicazione del cambio di listino, comunicazione di sostituzione del prodotto, comunicazione di cessazione di servizi o prodotti) allora è possibile far ricadere queste comunicazioni all'interno di attività non di marketing e pubblicità ma di customer care, attività che sono inserite nella gestione dei rapporti contrattuali e quindi ho il permesso di farle anche senza un consenso firmato, ricadendo nei trattamenti fatti per obblighi contrattuali.

Siamo un'associazione senza scopo di lucro e scambiamo i nomi degli associati con altre associazioni per informare gli iscritti in modo generico, senza l'invio di nuove campagne o di nuove iniziative. Devo avere il consenso firmato?

Assolutamente SI. Il consenso deve essere espresso non essendoci nessuna legge che obbliga a scambiarsi questi dati con altre associazioni.

In una azienda il caporeparto può farsi rilasciare il numero di cellulare dei dipendenti? Può usarlo? Se si per quali scopi?

E' il titolare del trattamento che decide quali dati trattare e non il caporeparto. Il caporeparto potrà farsi rilasciare il numero di cellulare solo se specificato nell'informativa, dove saranno indicate anche le finalità (gli scopi) per cui può essere usato.

Cosa sono i LOG di navigazione?

I LOG file di navigazione interessati dalla normativa privacy sono i LOG registrati da sistemi che agganciano gli utenti mentre navigano in internet (sistemi PROXI o salvataggi dei siti visitati da parte dei Browser). Di default Windows, (ma anche altri sistemi operativi) salva dei LOG di navigazione relativi all'utente che si è autenticato. Si devono quindi considerare anche questi come dati personali potenzialmente sensibili.

Un computer aziendale con sistema operativo Windows 95/98/ME è a norma privacy?

I computer che contengono dati personali come ad esempio posta elettronica, fogli formato Word o Excel contenenti dati di clienti e /o fornitori ecc. con sistemi operativi Windows 95/98/ME non sono a norma perché non è garantita l'autenticazione e i profili di autorizzazione richiesti dalla legge 196/2003 allegato B punti dal N. 1 al N. 11 e neanche la password generata dal BIOS del PC non è a norma privacy sempre per lo stesso motivo. Inoltre, si ricorda che la legge in oggetto, prevede l'aggiornamento (supporto) da parte del produttore dei sistemi operativi (Microsoft, Linux, Solaris, Unix, ecc.) con cadenza almeno semestrale.

Cosa è nello specifico il custode copie credenziali?

Nel caso in cui un incaricato sia impossibilitato a svolgere i propri incarichi attraverso il computer (esempio: malattia, incidente, ecc.) è necessario che altri incaricati possano continuare il lavoro. Se non si ha a disposizione un sistema centralizzato per la gestione delle credenziali di autenticazione, con un amministratore che possa forzare le password degli incaricati (che deve comunque essere avvisato prima possibile di tale cambio password forzato), è necessario che ogni incaricato scriva in busta sigillata la propria password, e la consegni periodicamente al "CUSTODE COPIE CREDENZIALI". In questo caso e solamente in caso di bisogno, è possibile scoprire le password e accedere all'elaboratore dopo aver avviato una procedura di violazione password e aver redatto il relativo verbale.  L'incaricato di cui è stata usata la password deve essere avvertito dell'operazione prima possibile.

Nella nostra azienda talvolta arrivano per e-mail, per posta ordinaria e per FAX dei curriculum di potenziali candidati all'assunzione. Questi curriculum vengono cancellati, cestinati o comunque distrutti. Sono sufficienti tali operazioni per essere in regola ai fini Privacy?

NO! Dovete stampare, consegnare o spedire la relativa informativa ai potenziali candidati  prima possibile, perché anche la cancellazione è un trattamento. Il fatto di cancellare dei curriculum non implica non trattarli. Se quindi li cancellate ricordatevi sempre di comunicare di averli cancellati. Ricordate che i dati in generale comprese le e-mail, possono, con appositi software, essere visualizzati anche dopo la cancellazione e addirittura anche dopo la formattazione del disco fisso del Computer.

Inviate i vostri quesiti a : user@fullpoint.com, quelli di interesse generale saranno pubblicati.

SANZIONI AMMINISTRATIVE

Omessa o non idonea informativa per trattamenti che non contengono dati sensibili:

da 3.000,00 a 18.000,00 Euro.

Tale somma può essere triplicata se , in ragione delle condizioni economiche del contravventore, risulta inefficace. Può essere applicata la sanzione accessoria della pubblicazione dell'ordinanza ingiunzione su uno o più giornali indicati nel provvedimento sanzionatorio.

Omessa o non idonea informativa per trattamenti che contengono dati sensibili:

da 5.000,00 a 30.000,00 Euro.

Tale somma può essere triplicata se, in ragione delle condizioni economiche del contravventore, risulta inefficace. Può essere applicata la sanzione accessoria della pubblicazione dell'ordinanza ingiunzione su uno o più giornali indicati nel provvedimento sanzionatorio.

Illegittima cessione di dati:

da 5.000,00 a 30.000,00 Euro.

Può essere applicata la sanzione accessoria della pubblicazione dell'ordinanza ingiunzione su uno o più giornali indicati nel provvedimento sanzionatorio.

Violazione delle prescrizioni in ordine alla comunicazione di dati in ambito sanitario:

da 500,00 a 3.000,00 Euro.

E' prevista la sanzione accessoria della pubblicazione dell'ordinanza ingiunzione su uno o più giornali indicati nel provvedimento sanzionatorio.

Omessa o incompleta notificazione:

da 10.000,00 a 60.000,00 Euro.

Può essere applicata la sanzione accessoria della pubblicazione dell'ordinanza ingiunzione su uno o più giornali indicati nel provvedimento sanzionatorio.

Omessa informazione o esibizione di documenti al garante:

da 4.000,00 a 24.000,00 Euro.

Può essere applicata la sanzione accessoria della pubblicazione dell'ordinanza ingiunzione su uno o più giornali indicati nel provvedimento sanzionatorio.

SANZIONI PENALI

Trattamento da parte di soggetti pubblici per scopi non istituzionali:

Se il trattamento causa un danno: reclusione da 6 a 18 mesi.

Se il trattamento è effettuato in violazione delle regole in ordine alla comunicazione e alla diffusione: reclusione da 6 a 24 mesi.

Violazione da parte di un soggetto pubblico delle regole di comunicazione dei dati personali comuni:

Se il trattamento causa un danno: reclusione da 6 a 18 mesi.

Se il trattamento è effettuato in violazione delle regole in ordine alla comunicazione e alla diffusione: reclusione da 6 a 24 mesi.

Trattamento di dati senza il prescritto consenso:

Se il trattamento causa un danno: reclusione da 6 a 18 mesi.

Se il trattamento è effettuato in violazione delle regole in ordine alla comunicazione e alla diffusione: reclusione da 6 a 24 mesi.

Violazione delle regole di trattamento imposte ai gestori dei servizi di comunicazione elettronica:

Se il trattamento causa un danno: reclusione da 6 a 18 mesi.

Se il trattamento è effettuato in violazione delle regole in ordine alla comunicazione e alla diffusione: reclusione da 6 a 24 mesi.

Violazione dei divieti di comunicazione e diffusione:

Se il trattamento causa un danno: reclusione da 1 a 3 anni.

Trattamento di dati sensibili o giudiziari in violazione delle garanzie specificamente previste:

Se il trattamento causa un danno: reclusione da 1 a 3 anni.

Violazione dei divieti di trasferimento dei dati all'estero:

Reclusione da 1 a 3 anni.

False dichiarazioni e notificazioni rese al Garante:

Reclusione da 6 mesi a 3 anni.

Omessa adozione delle misure minime di sicurezza:

Reclusione fino a 2 anni o ammenda da 10.000,00 a 50.000,00 Euro.

Nel caso di violazione degli obblighi relativi all'adozione delle misure minime di sicurezza, all'autore del reato viene concesso un termine entro il quale può regolarizzare la propria posizione. Se la regolarizzazione avviene nei 60 giorni successivi alla scadenza del termine il trasgressore è ammesso a pagare una sanzione pari al quarto del massimo dell'ammenda stabilita per la violazione (12.500,00 Euro).

Inosservanza del provvedimento del Garante:

Reclusione da 3 mesi a 2 anni.

Inosservanza dello statuto dei lavoratori:

Ammenda da 51,65 Euro a 516,50 Euro o arresto da 15 giorni ad 1 anno.

DANNI CAGIONATI ALL'INTERESSATO

Non è l'interessato a dover provare il danno ma colui che l'ha provocato a dover provare di aver fatto tutto il possibile per evitarlo - risarcibile il danno non patrimoniale - pagano il titolare ed il responsabile art. 15 "danni cagionati per effetto del trattamento 1) chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del Codice Civile. 2) il danno non patrimoniale è risarcibile anche in caso di violazione dell'art. 11. L'art. 2050 del Codice Civile parla di "attività pericolosa" (elevata potenzialità di danno, per la natura dell'attività o dei mezzi di lavoro utilizzati). Il trattamento dati viene dunque qualificato come esercizio di attività pericolosa. Da questa qualificazione deriva un'importante conseguenza circa l'onere della prova. Solitamente chi si ritiene danneggiato da un fatto illecito, deve provare la responsabilità di colui che ha commesso il fatto. Nell'ipotesi regolata dall'art. 2050 è sancito invece il "principio dell'inversione dell'onere della prova". Sulla base di questo principio il danneggiato deve provare solo il fatto storico, mentre colui che effettua il trattamento, e che quindi ha causato il fatto dannoso, ai fini liberatori, deve dimostrare di aver adottato tutte le misure idonee per evitarlo. La prova è particolarmente rigorosa, in quanto non è sufficiente la sola dimostrazione, in negativo, di non aver commesso alcuna violazione della legge o delle regole di comune prudenza, ma è necessaria la prova positiva di aver impiegato ogni cura o misura atta ad impedire l'evento dannoso. (N.B. E' risarcibile anche il danno non patrimoniale)

RESPONSABILITA' CIVILE E PENALE

Aspetti di responsabilità penale

Così recita l'art. 169 del TESTO UNICO PRIVACY:

Omessa adozione di misure necessarie alla sicurezza dei dati

1) Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'art. 33 è punito con l'arresto fino a 2 anni o con l'ammenda da 10.000,00 a 50.000,00 Euro.

2) All'autore del reato all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a 6 mesi. Nei 60 giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

Aspetti di responsabilità civile

art. 2050 del Codice Civile.

Il TESTO UNICO PRIVACY qualifica il trattamento dei dati come attività pericolosa, art. 2050 c.c. E' prevista pertanto una inversione dell'onere della prova nell'azione risarcitoria ex articolo 2043 c.c.: l'operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire la sicurezza dei dati detenuti. A livello pratico questo significa che l'azienda, il professionista, la Pubblica Amministrazione ecc., per evitare ogni responsabilità deve dimostrare di aver adottato "tutte le misure idonee ad evitare il danno", e quindi di aver messo in essere tutte le misure di sicurezza al meglio possibile (la miglior tecnologia disponibile). Il che non è affatto facile da dimostrare...

Art. 2049 del codice Civile.

In generale poi a carico dell'azienda risulta comunque la responsabilità, ovvero la responsabilità prevista in capo a padroni e committenti. L'art. 2049 difatti recita: "padroni e committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell'esercizio delle incombenze cui sono adibiti"

Legge n. 547 / 1993.

Crimini informatici commessi da dipendenti ed addebitabili all'azienda.

La legge 547/93 ha introdotto nel nostro ordinamento vari "crimini informatici", ovvero l'attentato a impianti informatici di pubblica utilità, falsificazione di documenti informatici, accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, violazione di corrispondenza telematica, intercettazione di e-mail, danneggiamento di sistemi informatici o telematici (...). Il datore di lavoro rischia di essere ritenuto in concorso con il dipendente a lui subordinato che ha commesso il crimine informatico, per non aver posto in essere tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati. La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi, viene considerata difatti un'agevolazione alla commissione del crimine.

CHI E' TENUTO AL RISARCIMENTO?

I soggetti tenuti al risarcimento dei danni causati dal trattamento dei dati personali, sono il "titolare" (ossia colui "cui competono le decisioni in ordine alle finalità del trattamento" e "della sicurezza") ed il "responsabile" (ossia colui che è preposto dal titolare al trattamento dei dati, avendo "esperienza, capacità ed affidabilità" tale da fornire "idonea garanzia del pieno rispetto delle disposizioni di legge in materia di trattamento, ivi compreso il profilo relativo alla sicurezza").