De rerum… Privacy
La nuova frontiera della produttività aziendale è rappresentata, senza ombra di dubbio, dall’utilizzo delle nuove tecnologie e dall’investimento delle Società nelle stesse.
Le PMI italiane, in larga parte ancora poco avvezze e diffidenti verso questi nuovi mercati, vedono le New Tech come un mezzo ulteriore (e – oseremmo dire – ultimo) di vendita, da aggiungersi ad un sistema già rodato e funzionante.
La realtà è che le nuove tecnologie non sono l’ultima ruota – aggiuntiva – del carro, ma sono l’ingranaggio stesso ed in quanto tali devono essere pensate. Ciò comporta che non debbano essere usate marginalmente, ma che la struttura stessa delle PMI debba essere rivista in funzione dell’ingranaggio da cui il moto deve ripartire.
Perchè, dunque, le Aziende possano rinascere con queste nuove caratteristiche ed incastellature è, per forza di cose, necessario conoscere le basi tanto tecniche quanto legali del sistema, così da non incorrere in limitazioni alcune o, peggio, incappare in dolorosi fallimenti a favore di concorrenti meglio preparati.
Una prima digressione giuridica merita il tema della Privacy, anche in vista del quantitativo di sanzioni comminate dal Garante sul tema (ancora nel 2014), quasi tutte riguardanti violazioni per mancata adozione delle misure di sicurezza, omessa o carente informativa ed uso illecito di dati personali.
Il D.lgs 196/2003 é volto a delineare i principi generali che trovano attuazione nella materia in oggetto, lasciando il compito al Garante di dettare le norme specifiche di settore mediante i propri provvedimenti, così che si parte dal principio ormai pacifico ed inequivocabile che “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” per arrivare a declinare le sfumature che lo stesso può o deve assumere nelle singole fattispecie.
E così, nel mare magnum contenuto nel Codice della Privacy, è il caso di specificare, preliminarmente, che per dato personale si intende (ex art. 4) “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Ciò posto, come dicevamo, le sanzioni hanno interessato principalmente (in ordine squisitamente numerico) gli articoli 13, 33 (e ss.) e 167. E così, è giusto il caso di ricordare che se è vero che l’interessato o la persona presso la quale sono raccolti i dati personali debbano essere previamente informati oralmente o per iscritto circa la vasta elencazione contenuta nell’art. 13 (c.d. “consenso informato” ed alla cui lettura si rimanda), tale informativa deve rispettare anche i diritti elencati all’art. 7 del Codice stesso.
Inoltre, in tema di “e-Privacy” (v. anche D.lgs 69/2012) non si può non tener conto di quanto stabilito dal Garante in materia con il provvedimento 8 maggio 2014, così che l’informativa – a oggi e in tema di cookies di profilazione – deve soddisfare ulteriori requisiti, tra cui ricordiamo il dover essere “duplice” (una prima informativa breve contenuta in un banner con rimando mediante link ad una seconda informativa estesa e completa).
Riguardando il “right to privacy” diritti e valori tutelati tanto costituzionalmente quanto a più alti livelli, è altrettanto necessario che siano previste delle misure minime di sicurezza per il trattamento dei dati raccolti e quindi:
• qualora il trattamento avvenga mediante strumenti elettronici, queste si concretizzeranno in autenticazione informatica; in adozione di procedure di gestione delle credenziali di autenticazione; in utilizzazione di un sistema di autorizzazione; in aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; in protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; in adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; ed in adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;
• qualora avvenga senza l’ausilio di strumenti elettronici, consisteranno in un aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; nella previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; e nella previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
Infine, last but not least, anche le sanzioni per chi, agendo al fine di trarne profitto per sé od altri, utilizzi illecitamente i dati personali raccolti rispecchiano l’esigenza di forte tutela di diritti garantiti ai più alti livelli e, pertanto, hanno carattere di rilevanza. Qualora si agisca, infatti, in violazione delle espresse previsioni sul trattamento dei dati (articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129), e salvo che il fatto costituisca più grave reato, il Codice prevede la punizione della reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Quanto, poi, alla violazione di quanto disposto ex artt. 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, la pena prevista é la reclusione da uno a tre anni, se dal fatto deriva nocumento.
E così, citando il Presidente di Confindustria Digitale “bisogna superare la logica dei pacchetti e cercare soluzioni web che aiutino l’impresa a cambiare pelle, innovarsi e cercare nuovi mercati”, e per dirla alla Purassanta, “Chi non si rinnova scomparirà”.
Avv. Anna Capoluongo
Studio Legale Capoluongo