Guida pratica alla privacy per le imprese: torna tutto?

25/06/2007
di Valentina Frediani

È stata pubblicata sul sito dell’Autorità Garante in materia di protezione dei dati personali, la Guida pratica contenente le misure di semplificazione per le piccole e medie imprese. In sostanza dall’Ufficio del Garante hanno riassunto quelli che sono gli aspetti più salienti della normativa in materia di privacy andando a specificare taluni punti inerenti gli adempimenti obbligatori ai sensi del decreto legislativo n. 196/2003

Anzitutto nella Guida il Garante precisa che la figura del responsabile è una figura facoltativa, non obbligatoria, alla quale il titolare può derogare poteri/doveri in materia di privacy. Unici requisiti di idoneità richiesti sono esperienza, capacità e ed affidabilità affinché sussista una effettiva garanzia del rispetto di quella che la normativa privacy. L’esigenza di questo chiarimento nasce probabilmente dalla non comprensione da parte delle imprese di quella che è la figura del responsabile: spesso viene designato senza che vi sia una presa di coscienza in merito agli obblighi corrispondenti, oppure non è raro che il titolare si faccia una auto-nomina a responsabile, aspetti entrambi ovviamente non corrispondenti allo spirito della normativa.

PrivacyAltro contenuto importante affrontato nella Guida è quello relativo alle famigerate informative: l’informativa si ribadisce dover essere un documento estremamente chiaro, reso in modo sintetico e prima delle operazioni di trattamento. L’Autorità ci ricorda che nei rapporti clienti e fornitori non occorre rendere ad ogni contratto l’informativa, essendo necessaria solo all’atto di avvio del rapporto. Personalmente avrei sottolineato alcune modalità pratiche di rilascio dell’informativa: allegandole agli ordini in caso di rapporti con i Fornitori, o alle offerte in caso di potenziali Clienti. Difatti la maggior difficoltà per le imprese non è tanto la redazione della informativa, quanto le procedure di rilascio. Anche perché benché il Garante sottolinei la possibilità del rilascio di una informativa in forma sintetica, tralascia un aspetto fondamentale, cioè che comunque il legislatore sposta sul titolare l’onere di provare di aver adeguatamente informato l’interessato, ovvero il soggetto di cui si tratta i dati. Con la forma orale di rilascio, male si concilia il poter provare successivamente di aver adempiuto all’obbligo normativo. Ecco perché a mio parere l’informativa comunque converrebbe  sempre rilasciarla per iscritto: per e-mail, per fax, nei contratti, nel retro-fattura, purché si possa sempre documentare o provare attraverso il personale che ne gestisce la distribuzione nell’impresa.

Certo è che ancora una volta emerge chiaramente come non possa costituire informativa la classica dizione che si legge troppo spesso nei documenti di raccolta dati, ovvero “I Suoi dati saranno trattati nel rispetto della normativa vigente e secondo correttezza.” Questa frase  non è una informativa, non è per niente rilevante in materia di rilascio di informativa e qualora non sia accompagnata da quanto previsto dal legislatore a livello di informazioni, comporta certamente una punibilità per mancata o inidonea informativa (si può arrivare a 90.000 euro in caso di dati sensibili!!!!).

Un aspetto assai rilevante è quello poi relativo alla gestione dei consensi: stop nelle imprese a tutte queste informative che circolano in cerca di consenso!!! La nuova legge ormai in vigore dal primo gennaio 2004 prevede che in caso di accordi contrattuali tra le parti, obblighi di legge al rilascio dei dati e dati provenienti da registri pubblici, non sussista assolutamente l’obbligo di richiedere il consenso al trattamento. Pertanto l’informativa che ci arriva da cliente/fornitore richiedendo il consenso al trattamento non deve assolutamente essere restituita firmata: è solo tempo buttato!!!!

Una delle asserzioni contenute nella Guida del Garante è poi a mio parere, discutibile. In merito al documento programmatico di sicurezza da aggiornarsi annualmente al 31 marzo, l’Autorità parla di redazione obbligatoria in caso di trattamento di dati sensibili: in realtà il Codice privacy all’art. 34 dispone l’obbligo di tenuta di un aggiornato documento programmatico di sicurezza per i trattamenti effettuati con strumenti elettronici; non ha senso quindi restringere l’obbligo di tenuta del dps solo ai dati sensibili; semmai essendo che nell’Allegato B sono previste determinate misure per i dati sensibili, qualora questi sussistano si indicheranno gli ulteriori elementi previsti nell’Allegato B. A mio modo di vedere il testo di legge è chiaro, e comunque sarebbe illogico prevedere le misure di sicurezza obbligatorie per tutti i trattamenti ed il dps – che è nell’elenco delle misure di sicurezza – obbligatorio solo per i dati sensibili.

Ultimo aspetto saliente è quello relativo al riscontro a seguito di istanza dell’interessato: molti tralasciano l’obbligo di dare riscontro all’interessato entro 15 giorni decorrenti dalla ricezione dell’istanza. Ed in questo senso fa bene il Garante a ricordare che il silenzio da parte del titolare sull’istanza ricevuta, può generare nell’interessato il diritto a ricorrere all’Autorità Garante stessa o all’Autorità giudiziaria.

Insomma, la privacy evidentemente ha necessità di essere ancora “digerita” nelle imprese, spesso a seguito anche di favole metropolitane che vanno diffondendosi per creare panico e genere costi nell’impresa stessa, quando in realtà con accorgimenti logistici e procedure interne semplificate, si potrebbe evitare di incorrere in sanzioni amministrative o illeciti penali. Suggeriamo un ripassino per tutti!

Riproduzione riservata ©

ALTRE NEWS

Firma digitale e firma digitalizzata

La diffusione della casella di posta elettronica certificata (pec) pone continue interazioni con l´altra innovazione che imponendosi e che talvolta necessariamente le si accompagna: la… Leggi Tutto

Intercettazioni, Whatsapp & Privacy: commento alla sentenza

Intercettazioni dei messaggi scambiati tramite la piattaforma whatsapp: il recente intervento della Suprema Corte nella Sentenza n°32146/17 ad opera della IV Sezione Penale, ridefinisce i… Leggi Tutto

Ransomware, quali rischi per l’Internet of Things

È del 20 ottobre scorso la notizia del ransomware S.I.A.E., rivendicato dal gruppo Everest Ransom Team che avrebbe richiesto 3 milioni per non divulgare i… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.