DATA PRIVACY D. Lgs. 196/2003

Transcript

1 DATA PRIVACY D. Lgs. 196/2003 TUTELA DELLE PERSONE RISPETTO AL TRATTAMENTO DEI DATI PERSONALI (aspetti riguardanti la comunicazione commerciale delle aziende) Aggiornato a Ottobre 2013

2 GLI ELEMENTI ESSENZIALI DEL CODICE DELLA PRIVACY Il c.d. Codice della privacy (D. Lgs. 30 giugno 2003 n.196), in vigore dall 1 gennaio 2004, contiene l intera disciplina della materia, tenendo conto anche di quanto dispone la direttiva UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche. Il Codice è diviso in tre parti: la prima (artt.1-45) è dedicata alle disposizioni generali, organizzate in modo da disciplinare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato; la seconda (artt ) contiene le disposizioni relative a specifici settori, tra cui quello delle comunicazioni elettroniche (artt ) e quello del direct marketing (art. 140); la terza parte (artt ) affronta la materia delle tutele amministrative e giurisdizionali in materia di privacy (artt ) e contiene disposizioni modificative e abrogative di norme già in vigore. In sintesi, il codice prevede che: 1. I dati personali che le aziende utilizzano e trattano (per azioni di direct marketing e altre forme di comunicazioni) sono nella esclusiva disponibilità del soggetto cui si riferiscono e possono essere usati dalle aziende solo col previo consenso espresso da parte del soggetto interessato (art. 23). Questo consenso deve essere libero, consapevole, espresso in forma specifica, e documentato in forma scritta; il consenso deve invece essere manifestato in forma scritta quando il trattamento riguarda dati sensibili (art. 23). 2. Il consenso non è valido se l interessato non è stato preventivamente informato circa i diritti riconosciutigli dall art. 7 e circa le finalità e le modalità del trattamento, l identità del titolare ed eventualmente del responsabile, se designato, ed altri elementi (artt. 7 e 13). 3. I dati possono essere usati dalle aziende solo per lo scopo per cui sono stati raccolti (art. 11). 4. L azienda che vuole procedere al trattamento di dati personali deve effettuare la notifica preventiva al Garante solo nei casi specificamente previsti dall art. 37. La notifica, ove necessaria, deve essere effettuata solo per via telematica, utilizzando il modello predisposto dal Garante e seguendo le indicazioni impartite dallo stesso (artt. 37 e 38). 5. Il titolare deve adottare le misure minime di sicurezza che garantiscano dai rischi di distorsione o perdita e di accesso non autorizzato o trattamento non consentito o non conforme alla finalità della raccolta (art. 31). 6. L interessato può richiedere al titolare o al responsabile del trattamento, ricorrendo in caso di rifiuto al Garante, le informazioni sui dati che lo riguardano e anche opporsi al trattamento dei propri dati (art. 7). 7. Vige il divieto di comunicare o comunque diffondere i dati personali dei quali è stata ordinata la cancellazione come pure di comunicarli e diffonderli per finalità diverse da quelle indicate nella notifica del trattamento, ove obbligatoria (art. 25). 8. Il Codice disciplina il trattamento di dati personali, anche detenuti all estero, effettuato da chiunque sia stabilito in territorio italiano. Esso si applica anche al trattamento di dati 2

3 effettuati da soggetti residenti in paesi non appartenenti all Unione Europea ma che utilizzano, per il trattamento, strumenti - anche non elettronici - situati in Italia. In questo caso, il titolare del trattamento deve designare un proprio rappresentante stabilito in Italia (art. 5). I DATI PERSONALI (art.4, co.1, lett. b; art.26) Il Codice della privacy definisce dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (art. 4, co.1, lett. b),. I dati personali, come si è già detto, possono essere utilizzati per il solo scopo dichiarato per il quale sono stati raccolti. I dati sensibili sono informazioni relative a: convinzioni religiose, filosofiche; opinioni politiche; origine razziale ed etnica; stato di salute e vita sessuale; adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale Il loro trattamento è possibile solo con il consenso scritto dell interessato e a seguito di autorizzazione del Garante. In caso di mancata risposta da parte degli uffici del Garante vige il principio del silenzio-rifiuto. Infatti, decorsi 45 giorni dalla richiesta l autorizzazione si intende negata e il trattamento non potrà essere effettuato. Secondo quanto disposto dall art. 26, per il trattamento dei dati sensibili non occorre il consenso dell interessato, ma unicamente l autorizzazione del Garante nei seguenti casi: quando il trattamento dei dati sensibili è effettuato da associazioni ed enti senza scopo di lucro a carattere filosofico, politico, religioso o sindacale per il perseguimento degli scopi previsti nell atto costitutivo; quando il trattamento è necessario per la salvaguardia della vita o dell incolumità fisica di un terzo; per il corretto svolgimento di attività difensive ed investigazioni; per il corretto adempimento di specifici obblighi previsti dalla legge in materia di igiene e sicurezza del lavoro. In ogni caso, i dati idonei a rivelare lo stato di salute non possono essere diffusi. Il Garante ha rinnovato in data 13 dicembre 2012 le cinque autorizzazioni per categoria, originariamente concesse nel giugno 2004 e tutte valide fino al 31 dicembre 2013, relative rispettivamente al trattamento dei dati sensibili nei rapporti di lavoro (Aut. 1/2012), al trattamento da parte di determinati soggetti dei dati idonei a rivelare lo stato di salute e la vita sessuale (Aut. 2/2012), al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni (Aut. 3/2012), da parte dei liberi professionisti (Aut. 4/2012) e da parte di diverse categorie di titolari, specificamente individuate (Aut. 5/2012). Si aggiungano le seguenti ulteriori autorizzazioni generali di recente emanazione, tutte valide sino al 31 dicembre 2013, relative rispettivamente al trattamento dei dati sensibili da parte di 3

4 investigatori privati (Aut. 6/2012), al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici (Aut. 7/2012), al trattamento dei dati genetici (Aut. 8/2012), e infine al trattamento di dati personali per scopi di ricerca scientifica (Aut. 9/2012). Di particolare interesse per le imprese, relativamente al settore che coinvolge la comunicazione aziendale e i rapporti con la clientela, è l autorizzazione n. 2/2012 (trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale), la quale all articolo 1.2 lettera e) precisa che l autorizzazione è rilasciata alle imprese, qualunque sia l oggetto della loro attività, limitatamente ai dati e alle operazioni indispensabili per adempiere agli obblighi anche precontrattuali derivanti da un rapporto di fornitura all interessato di beni, prestazioni o di servizi. TRATTAMENTO (art. 4, co. 1, lett. a; art. 11) Si definisce trattamento qualunque operazione, o complesso di operazioni, automatizzata o meno, che riguardi la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca di dati, intendendosi con questa ultima espressione qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti (art. 4, lett. p). I dati personali devono essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi determinati, espliciti e legittimi, utilizzati in modo compatibile con tali scopi e conservati in una forma che consenta l identificazione dell interessato per un periodo di tempo non superiore a quello necessario per gli scopi per cui sono stati raccolti. I dati inoltre devono essere esatti e se necessario aggiornati, pertinenti, completi e non eccedenti rispetto alle finalità per cui sono stati raccolti o successivamente trattati (art. 11). NOTIFICA (artt. 37 e 38) Secondo quanto disposto dal Codice, la notifica, ossia l atto con cui l azienda segnala al Garante della privacy i trattamenti di dati che intende effettuare, è obbligatoria solo in ipotesi determinate, elencate nel primo comma dell art. 37. Fra queste va ricordata l ipotesi - che specificamente interessa le Aziende associate UPA del trattamento effettuato con l ausilio di strumenti elettronici volto alla profilazione del consumatore, ovvero a definirne la personalità, le abitudini o scelte di consumo; va pure ricordata l ipotesi del trattamento di dati sensibili a fini di selezione del personale per conto terzi, oppure a fini di sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. Peraltro il Garante può, con proprio provvedimento, identificare altri casi ancora di notifica obbligatoria in relazione a trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell interessato, in ragione delle relative modalità o della natura dei dati personali, come pure sottrarre all obbligo di notifica alcuni dei trattamenti elencati nell art. 37 co. 1, cosa che è avvenuta con la delibera n. 1/2004, nonché recentemente in relazione al trattamento di 4

5 dati genetici effettuato da organismi di mediazione (delibera n. 259/2011). La notifica, che deve obbligatoriamente precedere l inizio del trattamento, va effettuata per via telematica, utilizzando il modello predisposto dal Garante (semplificato con delibera del ) e osservando le prescrizioni da questo impartite, anche per quanto riguarda l utilizzo della firma digitale e la conferma del ricevimento della notificazione (art. 38). Il Garante inserisce le notifiche ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità di consultazione gratuita per via telematica; le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali. E possibile riunire in una sola notifica l insieme delle attività di raccolta, a prescindere dal numero e dal tipo delle operazioni, nonché dalla durata del trattamento. La notifica è effettuata in un unico atto anche quando il trattamento comporta il trasferimento dei dati all estero. Essa conserva validità fino al momento in cui non muta qualcuno degli elementi oggetto della stessa, nel qual caso occorre effettuare una nuova notifica relativa agli elementi interessati dal cambiamento. Nel caso di cambiamento del responsabile valgono regole particolari (si veda sotto la voce responsabile ). La cessazione del trattamento deve del pari essere notificata (art. 38). COMUNICAZIONE (art. 39) La comunicazione è l atto con il quale il titolare del trattamento segnala previamente al Garante il trattamento di dati idonei a rivelare lo stato di salute finalizzato a scopi di ricerca scientifica oppure la comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico al di fuori dei casi previsti dalla legge. I trattamenti oggetto di comunicazione possono essere iniziati decorsi 45 giorni dal ricevimento della stessa, salvo diversa determinazione del Garante. Anche la comunicazione, al pari della notifica, deve essere effettuata sulla base di un modello predisposto dal Garante, che va trasmesso a quest ultimo per via telematica, osservando le prescrizioni in materia di firma digitale, oppure per telefax o lettera raccomandata (a differenza della notifica, che può essere effettuata solo per via telematica). TITOLARE DEL TRATTAMENTO (art. 4, co.1, lett. f; art. 28) Titolare del trattamento è la persona fisica o giuridica cui competono le decisioni in ordine alle finalità e alle modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza. Il titolare è il soggetto che deve fare la notifica al Garante, ove quest ultima sia obbligatoria, che formula l informativa al consumatore, che raccoglie il consenso del consumatore, che nomina i responsabili. Il titolare è il soggetto in capo al quale sussistono le responsabilità previste dalla legge (responsabilità penale, artt. 167 e ss.; responsabilità amministrativa, artt. 161 e ss.; responsabilità civile per il caso in cui l attività di trattamento produca danni, art. 15). Qualora il trattamento sia effettuato da una persona giuridica (ad esempio una società) il 5

6 titolare, cioè il soggetto al quale competono le scelte di fondo sulla raccolta e utilizzazione dei dati, è la struttura nel suo complesso (quindi la società stessa) e non le persone fisiche che l amministrano o la rappresentano (ad esempio, il direttore generale, o il legale rappresentante). Siccome però la persona giuridica non è suscettibile come tale di sanzioni penali, la responsabilità penale fa capo al legale rappresentante della società, in mancanza di delega specifica ad altro soggetto, che ovviamente avrà efficacia in quanto sia accettata da quest ultimo. Nel caso la società sia articolata in più direzioni o sedi, e la singola direzione o sede eserciti un potere decisionale autonomo sul trattamento, titolare sarà la direzione o la sede medesima, e la responsabilità penale farà capo al responsabile della direzione o sede interessata. RESPONSABILI DEL TRATTAMENTO (art. 29) Il titolare ha la facoltà di nominare uno o più responsabili del trattamento. Il responsabile del trattamento è il soggetto (persona fisica o giuridica) preposto dal titolare al trattamento dei dati, sulla base di istruzioni impartite dal titolare stesso. Questa figura può essere individuata all'interno della società oppure all esterno della stessa, mediante il conferimento ad un terzo dell incarico di responsabile; in ogni caso, il responsabile è individuato tra i soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento dei dati, ivi compreso il profilo relativo alla sicurezza (art. 29). I suoi compiti sono dettagliatamente specificati per iscritto dal titolare. Nel caso siano designati più responsabili, l elenco di questi ultimi deve essere tenuto costantemente aggiornato da parte dell azienda, e sulla prima notificazione devono essere indicati il sito web o comunque le modalità attraverso le quali è conoscibile l elenco aggiornato dei responsabili; non è tuttavia necessario effettuare una notifica al Garante in caso di cambiamento o aggiunta di uno dei responsabili già indicati. Tale notifica andrà invece effettuata se viene designato per la prima volta un responsabile, oppure se cambia il responsabile designato per il riscontro agli interessati, in caso di esercizio dei diritti previsti dall art. 7 del codice. Si segnala che il Garante con provv. 15 giugno 2011 ha stabilito che le società titolari del trattamento che producono o vendono beni ed erogano servizi oggetto di campagne promozionali (c.d. preponenti ) avvalendosi di agenti in outsourcing per tali attività promozionali debbano designare questi ultimi quali responsabili del trattamento ai sensi dell art. 29, entro 60 gg. dalla pubblicazione in G.U. del provvedimento in questione (ossia entro il 2 settembre 2011). INCARICATO (art. 30) Incaricato è la persona fisica (normalmente dipendente dell'azienda) che ha ricevuto dal titolare o dal responsabile l'incarico di effettuare materialmente una o più operazioni di trattamento. E' sufficiente che tale incarico risulti per iscritto dal mansionario, dagli ordini di 6

7 servizio, o da analogo documento interno aziendale. Il conferimento dell'incarico in forma scritta è necessario al fine di evitare che la conoscenza dei dati personali da parte dell'incaricato sia considerata "comunicazione" dei dati stessi da parte del titolare a terzi. INTERESSATO: DEFINIZIONE E DIRITTI (art. 4, co.1, lett. i; artt.7-10) E' la persona fisica a cui si riferiscono i dati trattati (art. 4, comma 1, lett. i). I diritti dell interessato sono elencati nell art. 7: l interessato ha diritto di ottenere conferma dell esistenza o meno di dati personali oggetto di trattamento, di ottenerne la comunicazione in modo intelligibile, di conoscerne l origine, di conoscere le finalità e le modalità del trattamento e la logica applicata nel caso di trattamento effettuato con l ausilio di strumenti elettronici, di conoscere il nome del titolare, dei responsabili e dell eventuale rappresentante designato dal titolare estero, di sapere a quali soggetti i dati personali possono essere comunicati. L interessato ha diritto di ottenere l aggiornamento, la rettifica o l integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché l attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi; egli ha altresì diritto ad opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazioni commerciali, nonché di opporsi ma solo per motivi legittimi al trattamento dei dati che lo riguardano, benché il trattamento sia pertinente ai fini della raccolta (art. 7, 4 comma). Per esercitare tali diritti, l interessato - personalmente o attraverso altre persone, enti, associazioni od organismi a cui abbia conferito apposita procura - deve rivolgere la propria richiesta senza particolari formalità al titolare o al responsabile del trattamento via posta elettronica, via fax o con raccomandata (art. 9). I diritti dell interessato non si estendono alla rettifica e all integrazione di dati di tipo valutativo o relativi a giudizi, opinioni o apprezzamenti di tipo soggettivo. Affinché l interessato possa godere del pieno esercizio di tali diritti, l azienda deve adottare misure tali da agevolare e semplificare l accesso dei dati (artt. 7-10). In ogni caso, l interessato può far valere i propri diritti rivolgendosi al Garante o alla Autorità Giudiziaria, con l osservanza delle norme di procedura contenute nella terza parte del Codice (artt ). INFORMATIVA (art. 13) La legge prevede che l interessato debba ricevere determinate informazioni dal titolare al momento della raccolta dei dati che lo riguardano. L informativa deve permettere di conoscere le finalità e le modalità di raccolta dei dati e l'uso che se ne vuole fare; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l ambito di diffusione dei dati stessi; i suoi diritti, quali riconosciuti dall art. 7; il titolare e, 7

8 se designati, il rappresentante nel territorio dello Stato e il responsabile del trattamento; nel caso vi siano più responsabili, è indicato almeno uno di essi, indicando però anche il sito della rete di comunicazione attraverso la quale l interessato può consultare l elenco aggiornato dei responsabili. L informativa può essere resa sia per iscritto che oralmente; nel caso in cui i dati non siano raccolti presso l interessato ma presso terzi, essa può essere differita fino al momento della registrazione dei dati o, quando è prevista la loro comunicazione, fino al momento della prima comunicazione. Il Garante può individuare con proprio provvedimento modalità semplificate per l informativa fornita da servizi telefonici di assistenza e informazione al pubblico (call center), come avvenuto con il provvedimento del Garante in data L'informativa non corretta e l'omissione di informativa si ripercuotono sul consenso, rendendolo invalido ed esponendo quindi il titolare e il responsabile all'applicazione delle sanzioni previste per il caso di trattamento non preceduto da consenso. L'informativa è necessaria anche nei casi in cui non sia necessario il consenso. Per quanto riguarda i dati raccolti presso soggetti diversi dall'interessato, il titolare può non fornire l'informativa quando: i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; i dati sono trattati nello svolgimento di attività difensive ed investigative; l informativa comporti un impiego di mezzi che il Garante dichiari essere manifestamente sproporzionati rispetto al diritto dell'interessato di conoscere le principali caratteristiche del trattamenti, ovvero quando l informativa si rivela sempre a giudizio del garante impossibile. La sproporzione o l'impossibilità devono essere valutate in concreto, con riguardo: alle finalità perseguite dal trattamento; alla natura dei dati trattati; alla complessità delle modalità di realizzazione dell'iniziativa e ai costi relativi; al numero degli interessati; alle attività necessarie per rintracciarli; alla data di raccolta dei dati. In concreto, l'esonero dall'obbligo di informativa è stato negato dal Garante nei seguenti casi: a) trattamento di dati inerenti a clienti e fornitori dell'impresa titolare del trattamento; b) banche dati relative ad abbonati a quotidiani e periodici; c) centri di elaborazione dati gestiti da società di consulenza informatica, professionisti, associazioni e altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori e dipendenti di terzi, a fini di gestione amministrativa e contabile; d) circolazione di dati in ambito bancario, per la quale occorre il preventivo consenso dell'interessato. L informativa non è dovuta in caso di ricezione di curricula vitae spontaneamente trasmessi alle aziende dagli interessati ai fini dell eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all invio del c.v., il titolare dovrà però fornire all interessato una breve informativa, anche oralmente, contenente almeno le indicazioni relative alle finalità e modalità del trattamento, ai soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, all ambito di diffusione dei dati stessi e ai suoi diritti, quali riconosciuti dall art. 7 (art. 13, comma 5bis). CONSENSO (art ) 8

9 La regola generale è che il trattamento dei dati da parte di privati o di enti pubblici economici può essere effettuato solo col consenso dell interessato; in particolare, il consenso dell interessato è necessario qualora il trattamento sia effettuato per finalità di direct marketing o promozionali. Il consenso è valido solo se è informato, ossia preceduto dall informativa di cui all art. 13 (salvo i casi di esonero, come evidenziati nel paragrafo che precede); espresso liberamente e specificamente, con riferimento ad un trattamento chiaramente individuato. A quest ultimo proposito, il Garante ha precisato che non è libero, né specifico, il consenso che venga richiesto congiuntamente per il trattamento finalizzato all esecuzione delle obbligazioni contrattuali e per il trattamento finalizzato all invio di comunicazioni commerciali: non è libero perché l interessato si trova in condizioni di non poter negare il consenso al secondo tipo di trattamento, se non vuole automaticamente precludersi la possibilità di ricevere l esecuzione del contratto; e non è specifico, perché il principio di specificità richiede che il consenso sia richiesto disgiuntamente per ciascun tipo di trattamento (provvedimenti Garante 12 ottobre 2005; 3 novembre 2005; 10 maggio 2006; 22 febbraio 2007). Il consenso deve essere altresì esplicito: è necessaria cioè un esplicita manifestazione di volontà dell interessato per rendere lecito il trattamento (sistema c.d. optin). La forma scritta è necessaria per la validità del consenso solo nel caso in cui il trattamento riguardi dati sensibili. Si tenga tuttavia presente che in relazione ai dati sullo stato di salute dell interessato il Garante Privacy con provv. n. 182 del 5 maggio 2011 ha stabilito che il consenso è validamente manifestato on line attraverso l apposizione di un flag su apposite caselle poste accanto all informativa purché vengano adottate misure idonee ad identificare in modo univoco l interessato medesimo. Negli altri casi non è necessario che il consenso sia prestato per iscritto, essendo sufficiente che sia documentato per iscritto, ad esempio attraverso una dichiarazione resa da chi lo abbia prestato in forma orale. Nel caso di consenso prestato via internet, le varie opzioni concesse all interessato non devono essere preselezionate, ma lasciate alla libera scelta dell utente, il quale deve avere la possibilità di esprimere un consenso differenziato in relazione alle varie finalità del trattamento, eventualmente accordandolo per alcune e negandolo per altre (provv. Garante 12 ottobre 2005). Il consenso inoltre è strettamente personale: tranne che nei casi di rappresentanza legale (genitori nei confronti dei figli minori), non può essere prestato per il trattamento di dati relativi ad altri soggetti, anche se familiari, i quali devono esprimere il loro consenso personalmente. Il Codice prevede alcuni casi in cui il consenso non è necessario (art. 24, comma 1). Fra questi ricordiamo i casi in cui il trattamento è necessario per adempiere ad un obbligo imposto dalla legge, da un regolamento o dalla normativa comunitaria (lett. a), oppure è necessario per eseguire gli obblighi derivanti da un contratto del quale è parte l interessato o per adempiere a specifiche richieste di quest ultimo in fase precontrattuale (lett. b), oppure ancora riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della disciplina in materia di segreto aziendale e industriale (lett. c: in quest ultima ipotesi rientra anche la comunicazione business to business, ossia la comunicazione rivolta da un impresa ad altre imprese), oppure è necessario, nei casi individuati dal Garante sulla base di principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo 9

10 destinatario dei dati, qualora non debbano essere considerati prevalenti i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell interessato (lett. g). Ricordiamo anche i casi riferiti a trattamenti specifici: trattamento dei dati relativi a soci e aderenti effettuato da associazioni no-profit (lett. h); trattamento riguardante dati contenuti nei curricula per il quale si rimanda al paragrafo che precede (art. 24, lett. i-bis); comunicazione di dati per le finalità amministrativo contabili definite nell art. 34, comma 1-ter, ed esplicate nell informativa di cui all art. 13, tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell art c.c. ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti. Un ipotesi di trattamento senza consenso che ha formato oggetto di successive puntualizzazioni in senso restrittivo da parte del Garante è quella relativa ai dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (lett. c). Al riguardo occorre tenere presente che: - non sono assimilabili ai dati provenienti da pubblici registri - e quindi non ne è permesso il trattamento senza consenso - gli indirizzi di posta elettronica: con provvedimento del 29 maggio 2003, il Garante ha precisato che il dato deve considerarsi pubblico solo quando una specifica disciplina ne impone la conoscibilità indifferenziata da parte del pubblico, non già quando è conoscibile da chiunque per semplici circostanze di fatto. Ai sensi dell art. 130, comma 2, l invio via di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito solo con il consenso dell interessato (opt-in) (cfr. provv. Garante 14 giugno 2007, secondo cui tale disciplina non può essere elusa inviando una prima che, nel chiedere un consenso, abbia comunque un contenuto promozionale oppure pubblicitario; conformemente v. provv. Garante 13 maggio 2008), salvo che l indirizzo sia stato già fornito dal destinatario nel contesto di servizi analoghi; in questo caso l interessato ha sempre il diritto di rifiutare l utilizzo delle proprie coordinate di posta elettronica per tali fini al momento del primo contatto o in occasione di successive comunicazioni. In ogni caso, resta l obbligo per l Azienda di fornire preventivamente all interessato l informativa sul trattamento dei dati personali di cui all art. 13 (provv. Garante 26 ottobre 2011); - i dati provenienti da liste elettorali possono essere utilizzati, senza il preventivo consenso degli interessati, solo per attività di propaganda elettorale o collegate ad un referendum o alla selezione di canditati alle elezioni, ma non per finalità promozionali, commerciali e pubblicitarie: queste sono infatti finalità non conformi agli scopi per cui i dati sono stati raccolti e sono resi pubblici (provv. Garante 7 settembre 2005); - le previsioni contenute nel provvedimento del Garante 15 luglio 2004 che prevedevano l utilizzabilità dei dati degli abbonati i cui numeri telefonici fossero affiancati dal simbolo grafico attestante il consenso per la ricezione di chiamate telefoniche a carattere promozionale risultano superate dalle modifiche introdotte all art. 130 e dall istituzione del Registro pubblico delle opposizioni ex D.P.R. n. 10

11 178/2010, operativo dal 1 febbraio 2011). - In proposito, il Garante con provv. 19 gennaio 2011 ha chiarito che: a) le società che operano nel settore del telemarketing non potranno più contattare i numeri degli abbonati (che la legge definisce ora contraenti ex art. 129 del Codice Privacy; ai sensi dell art. 4 comma 2, lettera f), per contraente si intende qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di servizi, o comunque destinatario di tali servizi tramite schede prepagate ) che si sono iscritti nel Registro; b) se un abbonato ha chiesto ad una determinata azienda di non essere più disturbato, quell azienda dovrà rispettare la sua volontà anche se l abbonato non è iscritto nel Registro; c) la singola azienda che abbia ricevuto in passato il consenso documentato per iscritto dell abbonato a ricevere telefonate promozionali potrà contattarlo, anche se questi è iscritto al Registro; l abbonato potrà tuttavia ritirare il consenso in ogni momento. - Il provvedimento contiene anche disposizioni relative ai numeri telefonici provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (ad esempio, gli albi professionali), stabilendo che gli stessi possono essere utilizzati solo se le telefonate promozionali sono direttamente funzionali all attività svolta dall interessato, e sempre che l interessato non si sia opposto al trattamento; e disposizioni relative ai numeri telefonici contenuti in banche dati comunque formate, che non possono essere utilizzate senza avere prima acquisito un consenso specifico ed informato. - La tenuta e la gestione del Registro è stata affidata alla Fondazione Ugo Bordoni, ente di ricerca sottoposto alla vigilanza del Ministero dello Sviluppo Economico. - Il funzionamento del Registro è illustrato sul sito internet Le imprese che intendono avviare operazioni di telemarketing devono necessariamente registrarsi nel sistema e comunicare preventivamente alla Fondazione i numeri da contattare. La Fondazione, confrontando i numeri iscritti nel Registro, escluderà dall elenco tutti i numeri iscritti nel Registro e restituirà all operatore la lista depurata entro 24 ore. La lista così ottenuta sarà valida per 15 giorni. La procedura dovrà essere ripetuta, per tenere conto dei numeri successivamente iscritti nel Registro. L iscrizione dell abbonato nel Registro è gratuita, a tempo indeterminato e cessa solo in caso di revoca da parte dell interessato o di decadenza automatica, che interviene in caso di cambio o cessazione dell utenza telefonica. Le tariffe di accesso al servizio per gli operatori di telemarketing valide per il 2013 sono regolate dal D.M e sono riportate sul sito internet del registro delle opposizioni. Con riferimento agli SMS e MMS promozionali il Garante ha precisato che è possibile inviarli da parte delle imprese (non solo telefoniche) solo con il consenso dell interessato (v. provv. 10 giugno 2003; in senso conforme v. provv. 23 gennaio 2008 e provv. 10 giugno 2011). Con provvedimento 24 febbraio 2005 (in tempi più recenti v. in senso conforme anche provv. 9 marzo 2006 e provv. 22 luglio 2010), il Garante ha dettato regole precise per 11

12 quanto riguarda informativa e consenso relativamente ad alcune tipiche attività di marketing, ossia la fidelizzazione, realizzata attraverso l emissione di carte fedeltà che attribuiscono vantaggi al consumatore, la profilazione, effettuata attraverso l analisi delle abitudini e scelte di consumo; e il marketing diretto propriamente detto. In particolare, il Garante ha stabilito che: - per quanto riguarda la fidelizzazione, l informativa al cliente relativamente al trattamento dei dati deve essere adeguatamente evidenziata e collocata in modo autonomo ed unitario in un apposito riquadro all interno dei moduli di sottoscrizione, in modo da essere agevolmente rilevabile rispetto alle altre clausole del regolamento. In particolare, deve essere posto in rilievo l eventuale utilizzo dei dati a fini di profilazione o di marketing, come pure l intenzione di cedere i dati a terzi specificamente individuati, sottolineando che per queste attività il conferimento dei dati è libero e facoltativo. L adesione al programma di fidelizzazione non può essere condizionata al consenso anche per attività di profilazione e di marketing. In ogni caso, per lo svolgimento di programmi di fidelizzazione l uso di dati personali deve essere ridotto al minimo, e i sistemi informativi e i relativi programmi devono essere configurati in modo da ridurre al minimo l utilizzo di informazioni relative a clienti identificabili. Non è necessario acquisire il consenso dell interessato per il trattamento dei dati finalizzato all attribuzione dei vantaggi connessi all uso della carta, trattandosi di trattamento necessario per eseguire gli obblighi derivanti dal contratto sulla base del quale è stata rilasciata la carta, concluso fra il titolare del trattamento e l interessato; - ogni altra finalità del trattamento (profilazione, ricerche di mercato, marketing), qualora comporti l identificabilità dell interessato, richiede il consenso dello stesso. Il consenso deve essere informato, specifico e distinto per ciascuna attività: non è consentito raccogliere un consenso generale ed omnicomprensivo per tutte le finalità predette, ricorrendo ad una dichiarazione generica che comprenda anche casi in cui il consenso non è necessario; - per quanto riguarda la profilazione, occorre il consenso dell interessato per il trattamento delle informazioni relative agli acquisti interessati. Se l attività di profilazione può essere svolta sulla base di dati anonimi o non identificativi, non è consentito utilizzare dati personali o identificativi. In nessun caso è consentito utilizzare a fini di profilazione dati sensibili, con particolare riguardo a quelli riguardanti lo stato di salute e la vita sessuale. Le banche di dati usate per l attività di profilazione non devono essere interconnesse con quelle utilizzate per la fidelizzazione in senso stretto. Il consenso prestato per l attività di profilazione è considerato valido per un anno, dopo di che deve essere rinnovato oppure deve cessare il trattamento; - per quanto riguarda il marketing diretto, valgono i principi generali (il consenso deve essere specifico, informato, e prestato direttamente dall interessato, e non da un suo familiare). Anche a questi riguardi il consenso è sottoposto a scadenza, ed è valido solo per due anni. I principi generali che regolano il trattamento dei dati personali pe finalità promozionali, 12

13 anche attraverso la posta elettronica, sono stati di recente riassunti nel provvedimento generale del Garante 4 luglio 2013, Linee guida in materia di attività promozionale e contrasto allo spam. Per tutti i trattamenti di cui si è detto sopra, il consenso deve essere espresso, e espresso in forma positiva, attraverso cioè il positivo esercizio di una scelta fra due possibilità (AUTORIZZA / NON AUTORIZZA, SI /NO) che devono essere ugualmente prospettate all'interessato. Allo stato attuale, l'upa ritiene quindi di dover suggerire i seguenti testi, relativi specificamente al trattamento per finalità di direct marketing e al trattamento per finalità di profilazione. Formula da utilizzare per il trattamento a fini di direct marketing Autorizzo..(nome ed indirizzo dell Azienda), titolare del trattamento, al trattamento dei miei dati sopra indicati, anche con sistema informatizzato 1, per l invio di materiale informativo, pubblicitario o promozionale relativo ai suoi prodotti. Sono consapevole che il conferimento dei dati è facoltativo. In ogni momento, a norma dell art. 7 D. Lgs. 196/03, potrò ottenere, previa richiesta scritta da inviare all indirizzo del titolare del trattamento (o del responsabile del trattamento, se nominato), la conferma dell esistenza di un trattamento di dati che mi riguardano e la loro comunicazione in forma intelligibile, l indicazione dell origine di tali dati, nonché: 1) l aggiornamento, la rettificazione, l integrazione dei dati; 2) la cancellazione, la trasformazione in forma anonima o il blocco di dati trattati in violazione di legge. Avrò inoltre il diritto ad oppormi, in tutto o in parte, all ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a..(nome ed indirizzo dell Azienda) titolare del trattamento, Attenzione: se è stato designato un responsabile, la frase precedente verrà sostituita dalla seguente: Avrò inoltre il diritto ad oppormi, in tutto o in parte, all ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a (nome ed indirizzo responsabile), responsabile del trattamento. SI ٱ NO ٱ Il consenso dovrà ritenersi validamente espresso solo nel caso in cui sia crocettato il quadratino accanto al SI. Formula da utilizzare per il trattamento a fini di profilazione: Autorizzo..(nome ed indirizzo dell Azienda), titolare del trattamento, al trattamento - anche con sistema informatizzato¹- dei miei dati sopra indicati, nonché delle informazioni relative agli acquisti da me effettuati, per lo svolgimento di attività di profilazione mediante l analisi delle mie abitudini e scelte di consumo. Sono consapevole che il conferimento dei dati è facoltativo. In ogni momento, a norma dell art. 7 D. Lgs. 196/03, potrò ottenere, previa richiesta scritta 1 Ovviamente tale precisazione sarà necessaria solo se il trattamento verrà effettuato con modalità informatizzate. 13

14 da inviare all indirizzo del titolare del trattamento (o del responsabile del trattamento, se nominato), la conferma dell esistenza di un trattamento di dati che mi riguardano e la loro comunicazione in forma intelligibile, l indicazione dell origine di tali dati, nonché: 3) l aggiornamento, la rettificazione, l integrazione dei dati; 4) la cancellazione, la trasformazione in forma anonima o il blocco di dati trattati in violazione di legge. Avrò inoltre il diritto ad oppormi, in tutto o in parte, all ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a..(nome ed indirizzo dell Azienda) titolare del trattamento, Attenzione: se è stato designato un responsabile, la frase precedente verrà sostituita dalla seguente: Avrò inoltre il diritto ad oppormi, in tutto o in parte, all ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a (nome ed indirizzo responsabile), responsabile del trattamento. SI ٱ NO ٱ Il consenso dovrà ritenersi validamente espresso solo nel caso in cui sia crocettato il quadratino accanto al SI. Per quanto riguarda l utilizzazione dei dati nell ambito di un attività di fidelizzazione, e per le sole finalità di fidelizzazione, non sarà necessario il consenso dell interessato, ma solo l inserimento dell informativa nell ambito del modulo contrattuale con il quale il cliente richiede l emissione della carta fedeltà: La informiamo che i Suoi dati personali, quali sopra indicati, saranno trattati a mezzo di un sistema informatico - da...(nome ed indirizzo dell Azienda), titolare del trattamento, per l adempimento degli obblighi conseguenti all emanazione della carta fedeltà da Lei richiesta. Il conferimento dei dati è obbligatorio, in quanto in caso di mancato conferimento... (nome dell Azienda) potrà trovarsi nell impossibilità di far fronte a tutti o ad alcuni di tali obblighi. In ogni momento, a norma dell art. 7 D. Lgs. 196/03, Lei potrà ottenere, previa richiesta scritta, la conferma dell esistenza di un trattamento di dati che la riguardano e la loro comunicazione in forma intelligibile, l indicazione dell origine di tali dati, nonché: 5) l aggiornamento, la rettificazione, l integrazione dei dati; 6) la cancellazione, la trasformazione in forma anonima o il blocco di dati trattati in violazione di legge. Lei avrà inoltre il diritto di opporsi, in tutto o in parte, per motivi legittimi, all ulteriore utilizzo dei suoi dati per le finalità di cui sopra, scrivendo a..(nome ed indirizzo dell Azienda) titolare del trattamento, Attenzione: se è stato designato un responsabile, la frase precedente verrà sostituita dalla seguente: Lei avrà inoltre il diritto di opporsi, in tutto o in parte, per motivi legittimi, all ulteriore utilizzo dei miei dati per le finalità di cui sopra, scrivendo a (nome ed indirizzo responsabile), responsabile del trattamento. In nessuna delle formule sopra riportate compare l autorizzazione alla comunicazione e 14

15 diffusione dei dati, perché tali operazioni sono solitamente prive di interesse per le Aziende UPA. In caso di contitolarità del trattamento, il consenso può essere richiesto da un primo titolare anche per utilizzo da parte di altri e successivi titolari, purché questi siano indicati specificamente a priori all'interessato e purché sia stata data l'informativa relativa al trattamento praticato da questi ulteriori titolari. Nel caso invece il titolare del trattamento voglia utilizzare i dati anche per l invio di materiale pubblicitario relativo ad altre società, questo andrà esplicitato nell informativa ("a fini di informazione e promozione di prodotti o servizi della società o di terzi"), ma i dati non potranno essere comunicati a tali società.. E' invece ormai acquisito che iniziative sviluppate dalla stessa impresa per sue marche anche diverse o linee di prodotto diverse rientrino in un unico trattamento dati e quindi necessitino di unico consenso e informativa. MISURE DI SICUREZZA (artt ; Allegato B) Il titolare del trattamento deve adottare le misure minime di sicurezza di natura tecnica, informatica, organizzativa, logistica volte ad assicurare un livello minimo di protezione dei dati personali; in particolare, si tratta di misure di custodia e di controllo dei dati che prevengono i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Nell individuare queste misure che devono essere adottate dall Azienda per il trattamento dei dati personali, il Codice distingue tra trattamento dei dati effettuato con strumenti elettronici (Art. 34; All. B, punti da 1 a 25) e trattamento effettuato con strumenti diversi da quelli elettronici (Art. 35; All. B, punti da 27 a 29). l) MISURE DI SICUREZZA IN CASO DI TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI O COMUNQUE AUTOMATIZZATI (art. 34; Allegato B) Per strumenti elettronici devono intendersi gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento (art 4, terzo comma, lettera b). Il trattamento di dati personali effettuato con tali strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell allegato B del Codice, alcune misure minime, tra le quali: l autenticazione informatica (cioè l insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell identità di colui che accede ai dati, quali codici identificativi dell incaricato e parole chiave, da modificare periodicamente sei mesi in caso di dati personali/tre mesi in caso di dati sensibili o giudiziari - per maggior segretezza), l utilizzazione di un sistema di autorizzazione (cioè l insieme degli strumenti e delle procedure che abilitano l incaricato all accesso ai dati ed alle modalità di trattamento degli stessi), la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti dei dati stessi, mediante l attivazione di 15

16 strumenti automatizzati da aggiornare con cadenza almeno semestrale. In caso di trattamento di dati sensibili o di dati giudiziari il titolare del trattamento deve adottare ulteriori misure (All. B, numeri da 20 a 24), quali l uso di supporti rimovibili per la memorizzazione dei dati al fine di evitare accessi non autorizzati e trattamenti non consentiti, nonché specifiche procedure per la custodia di copie di sicurezza. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati vanno distrutti o resi inutilizzabili; gli incaricati potrebbero riutilizzarli solo se le informazioni contenute in tali supporti non sono intellegibili o in alcun modo ricostruibili. Devono essere adottate idonee misure per garantire il ripristino dell accesso ai dati in caso di danneggiamento in tempi non superiori a sette giorni. Con il Decreto semplificazioni (D.L. n. 5/2012 convertito, con modif., dalla L. n. 35/2012) è stato soppresso per le aziende, a partire dal 10 febbraio 2012, l obbligo di tenere e aggiornare annualmente un documento programmatico per la sicurezza (DPS) ex art. 34, comma 2, lett. g), del Codice Privacy (norma ora abrogata), con la conseguenza che la tenuta del DPS è ora facoltativa. Nel DPS devono essere indicati, fra l altro, l elenco dei trattamenti dei dati personali, la distribuzione dei compiti e delle responsabilità all interno delle strutture preposte al trattamento dei dati, nonché le misure da adottare per garantire l integrità e la disponibilità dei dati stessi. 2) MISURE DI SICUREZZA IN CASO DI TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI DIVERSI DA QUELLI ELETTRONICI O COMUNQUE AUTOMATIZZATI (art. 35; Allegato B) Le misure di sicurezza richieste sono minori, e possono essere sintetizzate come segue. Il titolare (o il responsabile, ove nominato) deve: a) individuare l ambito del trattamento consentito ai singoli incaricati ed aggiornarlo periodicamente; b) adottare procedure che garantiscano un idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) apprestare procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplinare le modalità di accesso al fine di identificare gli incaricati. 3) MISURE SEMPLIFICATE (provv. Garante ) Con il provvedimento in data 27 novembre 2008 il Garante ha stabilito che i soggetti pubblici o privati a) che utilizzano dati personali non sensibili o che trattano come unici dati sensibili quelli dei propri dipendenti o collaboratori relativi allo stato di salute/malattia o all adesione ad organizzazioni sindacali o b) che trattano dati personali per correnti finalità amministrative e contabili (in particolare presso liberi professionisti, artigiani e piccole e medie imprese) possono avvalersi di misure di sicurezza semplificate, come specificate nel provvedimento in questione, tra le quali ricordiamo: i) trattamenti effettuati con strumenti elettronici: - le istruzioni in materia di misure minime di sicurezza possono essere impartite agli 16

17 incaricati anche oralmente; - si può utilizzare un qualsiasi sistema di autenticazione basato su un codice identificativo (username), associato ad una password. L username va disattivato quando l incaricato non ha più la qualità che rende legittimo l utilizzo dei dati. In caso di prolungata assenza o impedimento dell incaricato, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite. Riguardo a tali modalità, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad es., prescrivendo ai lavoratori che si assentino dall ufficio per ferie l attivazione di modalità che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile: cfr. Linee guida in materia di lavoro per posta elettronica e Internet approvate dal Garante e pubblicate nella G.U. 10 marzo 2007, n. 58); - gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici vanno effettuati almeno annualmente; se il computer non è connesso ad Internet, l aggiornamento deve essere fatto almeno ogni biennio; - i dati possono essere salvaguardati anche attraverso il loro salvataggio almeno mensile. ii) trattamenti realizzati senza l ausilio di strumenti elettronici: - le istruzioni finalizzate al controllo e alla custodia dei dati possono essere impartite agli incaricati anche oralmente; - la documentazione contenente dati sensibili o giudiziari è controllata e custodita dagli incaricati fino al termine delle operazioni loro affidate e andrà successivamente restituita. TRASFERIMENTO DI DATI ALL'ESTERO (artt ) In omaggio al principio di libera circolazione dei beni e servizi all interno dell Unione Europea, i dati possono formare oggetto di trasferimento all interno dell Unione stessa. Il trasferimento dei dati in Paesi terzi è consentito nei casi elencati nell art. 43, tra i quali segnaliamo il caso in cui l interessato abbia prestato il proprio consenso espresso (o scritto, se si tratta di dati sensibili) al trasferimento; il caso in cui il trasferimento sia necessario per l esecuzione di obblighi derivanti da un contratto del quale è parte l interessato o per adempiere, prima della conclusione del contratto, a richieste dell interessato, ovvero per la conclusione o per l esecuzione di un contratto stipulato a favore dell interessato; il caso in cui il trasferimento sia necessario per la salvaguardia di interessi pubblici rilevanti o per la vita e l incolumità di un terzo o, ancora, per il corretto svolgimento di attività difensive o investigative o comunque finalizzate alla difesa di un diritto in sede giudiziaria. Fuori da tali ipotesi, il trasferimento deve essere autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell interessato. In ogni caso, il trasferimento è vietato qualora l ordinamento dello Stato di destinazione o di transito dei dati non assicuri un livello di tutela adeguato. 17

18 ADOZIONE DEI CODICI DEONTOLOGICI (art. 12; art.140) La nuova disciplina prevede l adozione di codici deontologici e di buona condotta per una serie di trattamenti, tra cui quelli effettuati a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale. Nei casi in cui il trattamento non presuppone il consenso dell interessato, verranno previste forme semplificate per manifestare l eventuale dichiarazione di non voler ricevere determinate comunicazioni (art. 140). In ogni caso, il rispetto delle condizioni previste in tali codici costituirà condizione essenziale per la liceità del trattamento dei dati (art. 12). ACQUISTO Dl DATI DA TERZI Suggeriamo alle Aziende che non raccolgono direttamente i dati ma ne acquistano la disponibilità da terzi di garantirsi con la massima attenzione e col massimo scrupolo sulla reale effettuazione di tutti gli adempimenti di legge relativi alla raccolta e al trattamento dei dati. A tal proposito, si veda il recente provvedimento del Garante in data 11 ottobre 2012 con cui è stata accertata l illiceità del trattamento da parte di una società operante nel settore del telemarketing per aver utilizzato dati personali contenuti nel database acquisito tramite altra azienda, senza che questa società abbia rilasciato agli interessati idonea informativa ai sensi dell art. 13 e senza aver acquisito il necessario consenso, libero, specifico e documentato per iscritto degli interessati ex artt. 23, co. 3, e 130, commi 1 e 2. COOKIES I cookies sono disciplinati dall art. 122 del Codice privacy, il quale consente l archiviazione delle informazioni nell apparecchio terminale di un contraente o utente, come pure l accesso a informazioni già archiviate, solo a condizione che l interessato abbia espresso il proprio consenso, dopo aver ricevuto l informativa con modalità semplificate. Fanno eccezione i cd. cookies tecnici, per i quali non è necessario il consenso, ma solo l informativa. CENNI SULLA TUTELA GIUDIZIARIA E SULLA TUTELA AMMINISTRATIVA (Parte III, Titolo I, artt ) L interessato può far valere i diritti di cui all art. 7 o dinanzi all autorità giudiziaria ordinaria (A.G.O.), o con ricorso al Garante Tutte le controversie relative all applicazione delle disposizioni del Codice Privacy, comprese quelle inerenti alle opposizioni ai provvedimenti del Garante proposte dall interessato o dal titolare o relative alla mancata adozione dei provvedimenti del Garante, sono devolute all A.G.O. e sono disciplinate dall art. 10 del d.lgs. n. 150/2011 (cd. Decreto taglia-riti), che stabilisce, innanzitutto, che esse sono regolate dal rito del lavoro. Le norme del Decreto predetto sono entrate in vigore dal 6 ottobre 2011.L'opposizione va 18

19 proposta con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati entro trenta giorni dalla comunicazione del provvedimento o dalla data del rigetto tacito, ovvero entro 60 gg. se il ricorrente risiede all estero, pena la sua inammissibilità. L efficacia esecutiva del provvedimento del Garante può essere sospesa secondo quanto disposto dall art. 5 d.lgs. n. 150/2011, ossia: - quando ricorrano gravi e circostanziate ragioni; oppure - in caso di pericolo imminente di un danno grave e irreparabile.. La sentenza del tribunale non è soggetta ad appello, può disporre le misure necessarie che devono essere adottate, anche in relazione all eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno e la refusione delle spese di lite. L art. 10, ult. comma, del D.Lgs. n. 150/2011 diversamente dall art. 152 del Codice Privacy (ora abrogato) non prevede più che le sentenza che definisce in un unico grado (in quanto non appellabile) una controversia in materia di privacy sia ricorribile in Cassazione. Nonostante ciò è da ritenere che il ricorso per cassazione sarà ammesso qualora ricorrano le condizioni previste dall art. 360 e ss. del codice di procedura civile. SANZIONI: Il titolo terzo del Codice Privacy è dedicato alle sanzioni e si suddivide in due capi, di cui il primo riguarda gli illeciti amministrativi (artt ) e il secondo gli illeciti penali (artt ). I) VIOLAZIONI AMMINISTRATIVE (artt ) L omessa o inidonea informativa di cui all art. 13 del Codice Privacy all interessato viene sanzionata con il pagamento di una somma che va da euro ad euro (art. 161). La cessione dei dati senza rispettare la previsione dell art. 16, co.1, lett. b (i.e.: per una finalità incompatibile con il trattamento effettuato dal cedente) o in violazione di altre disposizioni di legge in materia di trattamento dei dati personali è punita con la sanzione amministrativa che va da a euro (art. 162, co. 1). Il secondo comma dell art. 162 punisce con la sanzione pecuniaria da a euro la violazione dell art. 84, comma 1, che disciplina la comunicazione all interessato di dati relativi allo stato di salute, consentendola agli organismi sanitari, solo per il tramite di un medico designato dall interessato medesimo o dal titolare. Nel caso di trattamento illecito di dati personali (ad es. perché effettuato in violazione delle misure minime di sicurezza prescritte nell art. 33 o senza l acquisizione del preventivo consenso dell interessato), oltre alle sanzioni penali previste dalle disposizioni degli artt. 167 e 169, è altresì applicata in sede amministrativa la sanzione pecuniaria da a euro (art. 162, comma 2-bis). 19

20 Nel caso di inosservanza di provvedimenti del Garante relativi all adozione di misure necessarie per rendere il trattamento conforme alle disposizioni vigenti o al divieto di trattamento illecito o al blocco dei dati, oltre alle sanzioni penali previste dall art. 170, è altresì applicata in sede amministrativa la sanzione pecuniaria da a euro (art. 162, comma 2-ter). Nel caso di violazione del diritto di opposizione si applica una sanzione amministrativa pecuniaria da a euro (art. 162, comma 2-quater) La violazione delle disposizioni relative alla durata della conservazione dei dati relativi al traffico telefonico di cui all art. 132, commi 1 e 1-bis, da parte di un fornitore di servizi di comunicazione elettronica è punita con il pagamento di una somma che va da euro ad euro (art. 162-bis). L art. 162-ter detta una serie di norme relative alle sanzioni nei confronti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico e/o dei soggetti affidatari dell erogazione dei servizi in questione. L omessa comunicazione al Garante della violazione di dati personali ex art. 32-bis, co. 1, verrà sanzionata con il pagamento di una somma che va da a euro (art. 162-ter, comma 1); mentre l omessa comunicazione di tale violazione al contraente ex art. 32-bis, comma 2, verrà punita con la sanzione da 150 euro a euro per ciascun interessato coinvolto (art. 162-ter, comma 2). Quest ultima sanzione non può essere applicata in misura superiore al 5% del volume d affari realizzato dal fornitore nell ultimo esercizio precedente alla notifica della contestazione amministrativa (art. 162-ter, comma 3). La violazione dell obbligo di tenere un aggiornato inventario delle violazioni di dati personali ex art. 32-bis, comma 7, è invece punita con la sanzione amministrativa pecuniaria che va da euro a euro. L omessa o incompleta notifica del trattamento ex artt. 37 e 38 è punita con la sanzione amministrativa pecuniaria che va da a euro (art. 163). L omessa informazione o esibizione di documenti quando richiesto dal Garante ex art. 157 nonché la mancata adozione delle misure necessarie a tutela dei diritti dell interessato prescritte dal Garante a seguito del ricorso proposto ex art. 150, comma 2, comporta l applicazione di una sanzione amministrativa pecuniaria che va da euro ad euro (art. 164). L art. 164-bis disciplina i casi di minore gravità e le ipotesi aggravate. Quanto ai primi i limiti minimi e massimi stabiliti dagli articoli da 161 a 164 sono applicati in misura pari a 2/5, avuto riguardo alla natura dell attività svolta dal trasgressore. Le circostanze aggravanti previste dalla norma predetta sono relative invece alle seguenti fattispecie: a) violazioni amministrative relative a banche dati di particolare rilevanza o dimensioni (sanzione amministrativa pecuniaria da a euro, con esclusione del pagamento in misura ridotta); b) casi di maggiore rilevanza del pregiudizio per uno o più interessati 20