News sulla Privacy - Settembre 2011
24.09.11 La privacy non è uguale per tutti
Aziende europee e americane sottoposte a regimi normativi diversi
La possibilità offerta dalle nuove tecnologie di raccogliere e archiviare informazioni che riguardano la nostra vita privata e pubblica è un tema di stretta attualità che merita un'attenta riflessione.
Qualche numero: ogni giorno in Italia vengono effettuate ben oltre 100 milioni di telefonate in mobilità; più di 4 milioni di transazioni attraverso forme di pagamento elettronico; nelle aree metropolitane oltre un milione di telecamere registrano il passaggio di milioni di individui e veicoli.
A queste informazioni vanno aggiunte dichiarazioni dei redditi, presenza nelle strutture scolastiche, ricoveri in ospedale presenza nelle strutture alberghiere e tantissime altre.
Tutte le informazioni raccolte tramite questi canali sono sottoposte a un severo regime di tutela della privacy e a rigide regole di compliance.
Ci sono poi le informazioni raccolte da parte dei soggetti fornitori di servizi attraverso la rete Internet e attraverso i prodotti di elettronica di consumo in grado di rilevare e registrare gli spostamenti. Queste informazioni non sono sottoposte agli stessi vincoli in materia di privacy e compliance.
Il sole 24 ore - F. Bernabè
21.09.11 Curriculum coperti dalla privacy
Chiarimenti del garante sugli aspiranti amministratori di società partecipate dai comuni.
Dati sul web se c'è il regolamento o con l'ok dell'interessato
Un velo sui curriculum degli aspiranti amministratori delle società partecipate dai comuni e degli enti e delle fondazioni con partecipazione comunale.
Possono essere diffusi su internet solo se c'è una norma di legge o regolamento, che lo consente, o se gli interessati sono d'accordo.
Il garante della privacy ha cosi risposto al comune di Milano, che ha chiesto un parere sulla trasparenza dei candidati a rappresentare l'amministrazione dei consigli di amministrazione delle società ed altri enti a partecipazione dell'ente locale.
Seppure la pubblicazione non sia vietata dalla legge, ci sono alcune condizioni che bisogna rispettare per la pubblicazione online: occorre che la divulgazione sia prevista da una norma di legge o di regolamento o che sia stato acquisito il consenso degli interessati.
Italia Oggi - A. Ciccia
19.09.11 POLIZZE ASSICURATIVE E DATI PERSONALI DEI DEFUNTI
La questione
Con provvedimento del 15 giugno scorso il Garante per la protezione dei dati personali ha respinto il ricorso presentato nei confronti di una compagnia assicuratrice da un soggetto che sosteneva il mancato riscontro di una propria precedente istanza ex art. 7 e 9 del Codice Privacy.
Il ricorrente infatti, in qualità di erede legittimo della sorella defunta nel 2007 aveva presentato istanza di accesso ai dati relativi ad una polizza vita sottoscritta dal coniuge della defunta, a sua volta deceduto nel 2008, al fine di poter esercitare eventuali azioni successorie sulle quote versate, in virtù del regime di comunione legale dei beni vigente tra i coniugi.
Nota legale sintetica
La compagnia assicuratrice comunicava all’istante i dati relativi alla sorella defunta, ma negava l’accesso ai dati relativi alla polizza vita intestata al coniuge della stessa, ed in particolare dei dati relativi al beneficiario della stessa e l’importo ad esso corrisposto.
Sosteneva infatti la compagnia che il ricorrente non risulta essere erede del contraente della polizza e non ha pertanto interesse e legittimazione a conoscerne i dati, così come non è legittimato a conoscere i dati del beneficiario che è un soggetto terzo rispetto al rapporto e che peraltro aveva già espresso una sua volontà in senso contrario alla divulgazione dei propri dati.
In base all’art. 7 del Codice della Privacy l'interessato ha, innanzitutto, diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. Secondo quanto previsto dall’art. 8 (“Esercizio dei diritti”), i diritti di cui sopra sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile del trattamento, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.
Nota sull'impatto organizzativo
L’art. 9 (“Modalità di esercizio”) del Codice prevede che la richiesta rivolta al titolare o al responsabile, di cui si è appena detto, possa essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica.
Quando riguarda l’esercizio dei diritti di cui all'art. 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell’incaricato o del responsabile. Ai sensi dell’art. 9, comma 3, i diritti di cui all'articolo 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione.
Nel caso esaminato dal Garante l’istanza di accesso ed il successivo ricorso hanno ad oggetto dati relativi ad un contratto (la polizza assicurativa) stipulata dal coniuge della parente defunta del ricorrente, soggetto rispetto al quale il ricorrente non risulta erede e non risulta poter vantare alcuna pretesa per altri titoli; infatti il contraente aveva individuato quale beneficiario della polizza un altro soggetto terzo, i cui dati personali non possono essere lecitamente divulgati.
Il Garante ha pertanto respinto il ricorso, rilevando la carenza di interesse meritevole di tutela.
Resta ovviamente salva la possibilità di agire davanti all’autorità giudiziaria ordinaria per rivendicare eventuali diritti successori ritenuti violati che, se accertati, daranno allora titolo per ottenere l’accesso ai dati relativi alla polizza.
Nota sull'impatto organizzativo a cura di Stefania Algerio
Consulente di organizzazione Aziendale
Nota legale a cura dell'Avv.ssa Francesca Corvi
Consulente legale
19.09.11 LOCALIZZAZIONE DEI VEICOLI AZIENDALI PROVVEDIMENTO DEL 7 LUGLIO
La questione
Il provvedimento n. 285 del 7 luglio scorso è stato emanato dal Garante ai sensi dell’art. 17 del Codice, in base al quale “Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti.
Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare”
Nota legale sintetica
Il Garante risponde ad una richiesta di verifica preliminare presentata da una società di trasporto che intende effettuare un trattamento di dati personali mediante un sistema di localizzazione satellitare da istallare a bordo dei veicoli aziendali, con il fine di localizzare i veicoli e elaborare un rapporto di guida contenente informazioni relative a tempi di percorrenza, velocità media, distanze e consumi di carburante.
La società spiega altresì che il sistema di localizzazione sarebbe fornito e gestito da un’altra società fornitrice del servizio, mentre la conservazione dei dati rilevati sarà effettuata sul server di un’ulteriore società terza.
Viene in primo luogo in rilievo come la società che chiede la verifica preliminare comunichi di aver già ottenuto provvedimento autorizzativo dal competente ufficio della direzione provinciale del lavoro, ai sensi dell’art. 4 L. 300/1970, il quale prevede che gli impianti e le apparecchiature di controllo dai quali possa derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori, quando resi necessari da esigenze organizzative o produttive, ovvero richiesti per la sicurezza del lavoro, possono essere istallati solo previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, richiedendo una specifica autorizzazione alla Direzione Provinciale del Lavoro competente, con la quale vengono definite le corrette modalità per l’uso dell’impianto.
In particolare l’autorizzazione ottenuta dalla società vieta l’uso del sistema al fine di controllo delle attività lavorative dei dipendenti e l’uso dei dati raccolti per contestare illeciti disciplinari, disponendo altresì che la registrazione dei dati non ecceda le necessità della disposizione logistica, della telecomunicazione di servizio e dei rapporti di viaggio.
Il Garante riconosce la liceità delle finalità del trattamento dichiarate dalla società, riconducibili ad esigenze organizzative e produttive, per il perseguimento delle quali dovranno però essere trattati solo dati idonei la posizione del veicolo, quando necessario, e le informazioni indispensabili per la compilazione dei rapporti di guida, quali la distanza percorsa e il consumo di carburante.
Non potranno invece essere trattati dati ulteriori che possano comportare un controllo sulla condotta di guida dei lavoratori conducenti (ad esempio quelli relativi alla velocità).
Viene pertanto in rilievo il disposto dell’art. 3 del Codice della Privacy che impone adozione di adeguate soluzioni tecnologiche affinché non vengano trattati dati non necessari alle finalità perseguite e autorizzate. In base, invece, all’art. 11 del Codice i dati personali trattati non potranno essere conservati per un tempo superiore a quello necessario al conseguimento delle finalità legittimamente perseguite.
Pertanto, nel caso in esame, la società potrà conservare i dati relativi alle presenze dei lavoratori e ai tempi di lavoro degli stessi per il periodo di 5 anni, prescritto dalle norme sulle modalità di tenuta e di conservazione del libro unico del lavoro nel quale quei dati devono essere annotati.
Gli altri dati, diversi da quelli personali o comunque resi anonimi, potranno essere trattati anche oltre detto termine quinquennale.
Viene infine in evidenza il rapporto tra la società istante e le altre società che si occupano della gestione del sistema di localizzazione e della conservazione dei dati raccolti.
E’ evidente che i soggetti che operano in outsourcing non possono essere considerati autonomi titolari del trattamento; essi infatti forniscono un servizio in base ad un apposito contratto e operano pertanto per conto e nell’interesse della società committente, dovendo rispettare le direttive operative e le istruzioni pratiche fornite dalla società in nome della quale operano.
Ai sensi dell’art. 4 comma 1 lett. f) e art. 28 del Codice, invece, titolare del trattamento è il soggetto cui compete il potere, del tutto autonomo, di decidere in ordine alle finalità, alle modalità del trattamento ed agli strumenti utilizzati per lo stesso, nel caso in oggetto, quindi, la società di trasporto.
In capo alla stessa sussiste però l’obbligo di designare formalmente come responsabili del trattamento i soggetti che operano in outsourcing, ai sensi dell’art. 4 comma 1 lett. g) e art. 29 commi 4 e 5 del Codice, e cioè, nel caso in esame, le due società fornitrici di servizi, nonché l’obbligo di impartire alle stesse le necessarie istruzioni, anche sulla base delle prescrizioni stabilite dal Garante con il provvedimento in commento.
Nota sull'impatto organizzativo a cura di Stefania Algerio
Consulente di organizzazione Aziendale
Nota legale a cura dell'Avv.ssa Francesca Corvi
Consulente legale
19.09.11 FOGLIO AVVERTENZE CARTELLE DI PAGAMENTO
La questione
Il Garante Privacy con il provvedimento n. 305 del 21 luglio scorso ha approvato il “Foglio avvertenze” contenente le informazioni che dovranno essere riportate sulle cartelle di pagamento emesse per la riscossione coattiva delle somme relative sanzioni amministrative comminate dall’Autorità stessa per le violazioni di cui agli artt. 161 e ss. del Codice della Privacy.
Nel caso infatti in cui il Garante accerta una violazione per la quale il Codice prevede l’applicazione di una sanzione amministrativa pecuniaria, viene innanzi tutto notificata la contestazione della violazione.
Nota legale sintetica
In particolare le modalità e le competenze di accertamento e irrogazione delle sanzioni sono stabilite dall’art. 16 del Regolamento n. 1/2007 del Garante, così come modificato dalla delibera del 15/10/2009.
Il testo prevede che, fuori dai casi in cui venga effettuata dal personale operante in sede di controllo, la contestazione delle violazioni amministrative è adottata con atto sottoscritto dal dirigente del Dipartimento attività ispettive e sanzioni notificato all’interessato.
Dalla data di notifica della sanzione amministrativa decorre il termine di 30 giorni per inviare al Garante eventuali memorie difensive o chiedere l’audizione, nonché quello di 60 giorni per definire il procedimento “in via breve” mediante oblazione, vale a dire pagamento di un importo pari al doppio del minimo della sanzione prevista per la violazione.
Quando non è eseguito il pagamento in misura ridotta, il dipartimento attività ispettive può disporre, in conformità alla legge, l’eventuale archiviazione degli atti a seguito di idonee deduzioni difensive.
Nei casi in cui, invece, si renda necessario procedere all’applicazione della sanzione, viene emessa un ordinanza ingiunzione, cioè il provvedimento che definisce il procedimento sanzionatorio determinando la somma dovuta per la violazione e ingiungendone il pagamento entro 30 giorni dalla notifica.
Contro l’ordinanza ingiunzione di pagamento l’interessato può proporre ricorso di fronte al giudice ordinario competente entro 30 giorni dalla notifica della stessa.
Qualora non sia proposta opposizione ma non sia neanche effettuato il pagamento, il Dipartimento attività ispettive e sanzioni effettua le necessarie comunicazioni al Dipartimento amministrazione e contabilità per l’iscrizione a ruolo dei relativi importi che l’Authority potrà richiedere tramite la cartella di pagamento per la quale oggi è stato approvato il “Foglio avvertenze” in questione.
La cartella esattoriale e' un documento emesso da un "concessionario" (agente della riscossione) per la riscossione coattiva di un tributo (tassa, imposta, sanzione, contributo, etc.) iscritto a ruolo a seguito di un inadempimento del debitore.
Il ruolo e' l'elenco dei debitori e delle somme da questi dovute a seguito del mancato pagamento di tasse, tributi, sanzioni amministrative, etc., formato dall'ufficio dell'ente creditore (in questo caso il Garante) e periodicamente inviato all'agente della riscossione competente per territorio affinché siano svolte tutte le attività di riscossione coattiva.
La cartella è l'atto che assolve la funzione di comunicazione formale al contribuente della sua posizione debitoria nei confronti dell'erario o degli altri creditori, nonché è atto di precetto, ovvero formale intimazione a provvedere al pagamento entro TOT giorni (nel caso specifico 60) con avvertenza che, in mancanza, si potrà agire tramite le classiche procedure esecutive (fermo amministrativo auto, ipoteca, pignoramento, etc.).
La cartella di pagamento e' formata di più pagine con le quali vengono comunicate al cittadino/contribuente le somme da lui dovute iscritte a ruolo. In particolare, l’ultimo modello di cartella di pagamento approvato con provvedimento dell’Agenzia delle Entrate del 10 marzo 2010, prevede che vi sia una sezione riportante indicazioni sulle modalità di ricorso in autotutela e di ricorso giudiziale.
A tal fine il Garante ha approvato con il provvedimento in commento il Foglio avvertenze le cui informazioni devono obbligatoriamente essere contenute nelle cartelle di pagamento.
Le informazioni ivi contenute riguardano, in particolare, la possibilità di ottenere informazioni sul procedimento sanzionatorio ai recapiti appositamente indicati e di presentare un’istanza per il riesame del ruolo in autotutela, cioè un riesame da parte della stessa autorità garante. Vengono altresì descritte, conformemente a quanto stabilito dall’art. 3, comma 4, della L. 241/90, le modalità di presentazione del ricorso in opposizione avverso la cartella di pagamento, specificando che se prima di ricevere la cartella di pagamento si è già ricevuta un’ordinanza ingiunzione e non la si è impugnata, è possibile presentare ricorso avverso la cartella di pagamento solo per vizi propri o di notifica.
Se invece l’ordinanza ingiunzione (atto precedente la cartella) non era stata notificato regolarmente e quindi la cartella è il primo atto con il quale il debitore viene a conoscenza della pretesa, insieme ad essa e' contestabile anche il contenuto del verbale stesso, ovvero si possono utilizzare questioni di merito riguardo alla sanzione originaria "recuperando" così il diritto alla difesa che non si e' potuto esercitare in precedenza.
Vi si chiarisce, infine, che è possibile chiedere la sospensione del pagamento nelle more del giudizio di impugnazione; in caso di rigetto saranno, però, dovuti anche gli interessi legali maturati durante il periodo di sospensione.
Nota sull'impatto organizzativo a cura di Stefania Algerio
Consulente di organizzazione Aziendale
Nota legale a cura dell'Avv.ssa Francesca Corvi
Consulente legale
05.09.11 Privacy
Mano pensante su sanzioni penali e amministrative
L'inosservanza delle norme in materia di dati personali espone la collettività a sanzioni amministrative e penali che, finora, non sono rimaste sulla carta.
Il Garante dispone, infatti, periodicamente delle ispezioni della Guardia di Finanza dirette a verificare l'osservanza di queste norme.
Questi controlli hanno la loro incidenza. Per esempio l'Authority, con ingiunzione dello scorso 13 gennaio (doc. web 1817963) ha applicato una sanzione di 6 mila euro (dopo aver constatato il mancato pagamento della sanzione in misura ridotta richiesto con verbale della Guardia di Finanza) per un sistema di videosorveglianza installato senza aver assicurato agli interessati l'informativa richiesta dalla legge.
Nel primo semestre 2011, le violazioni in materia di dati personali hanno portato all'applicazione di sanzioni amministrative per un complesso di 1 milione e 160 mila euro.
Sono state circa 230 le ispezioni effettuate e 181 i procedimenti sanzionatori, relativi in larga parte alla omessa informativa sul trattamento, al trattamento illecito dei dati, alla mancata adozione di misure di sicurezza, all'inosservanza dei provvedimenti del Garante.
Italia Oggi
