le novità della normativa privacy per i liberi professionisti · le novità della normativa...
TRANSCRIPT
le novità della normativa privacy per i liberi professionisti
Avv. Giuseppe TedeschiAssociazione Legali Italiani
Ordine dei Consulenti del Lavoro di Perugia26 novembre 2010
D. Lgs. 196/03 - natura dei dati e dei soggetti
DATI PERSONALI● Comuni● Sensibili● Giudiziari
SOGGETTI● Titolare del trattamento● Responsabile del trattamento● Incaricato del trattamento
Informativa
● Cosa: dati personali● Quando: conferimento incarico● Chi: all'interessato e al terzo “fonte”● Forma: libera● Contenuto: finalità, modalità, obbligatorietà,
conseguenze, soggetti e diffusione, titolare, responsabile, diritti dell’interessato
● Se raccolti presso terzi: informativa alla registrazione o comunicazione
Diritti dell'interessato
● Richiedere al titolare del trattamento la cancellazione, aggiornamento, rettificazione, trasformazione, il blocco se trattati illecitamente
● Opporsi al trattamento per motivi legittimi● Il titolare: risponde entro 15 giorni (30 giorni
con motivazione)● TUTELA: segnalazione al Garante, Tribunale
Dati raccolti presso terzi
ECCEZIONI ALL'OBBLIGO INFORMATIVA● Obbligo di legge● Indagini difensive● Far valere diritto in giudizio● Impiego mezzi sproporzionato
consenso
PER I DATI COMUNI● Previa informativa● Documentabile per iscritto
PER I DATI SENSIBILI● Forma scritta
AUTORIZZAZIONI GENERALI AUTORITA'● Provv. n. 02/2009 per i rapporti di lavoro● Provv. n. 04/2009 per i liberi professionisti● Scadenza: 30 giugno 2011
Consenso dati comuni
Trattamento senza consenso:
● Obbligo di legge● Adempimento obbligo contrattuale● Dati da pubblici registri● Svolgimento attività economiche● A salvaguardia vita e incolumità● Indagini difensive, diritto in giudizio
Consenso dati sensibili
Trattamento senza consenso:
● salvaguardia vita o incolumità del terzo● Svolgimento indagini difensive● diritto in giudizio (bilanciamento)● Adempimento di legge per rapporti di lavoro
e sicurezza sul lavoro
notifica
● Il Consulente non ha, di norma, obblighi di notifica all'Autorità Garante;
● Le p.m.i., di norma, non hanno obblighi di notifica:
“In linea di principio i trattamenti ordinari svolti presso piccole realtà produttive non vanno notificati: si pensi ai trattamenti di dati relativi ai dipendenti, ai fornitori o alla clientela. In particolare, non devono essere notificati i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa (Guida pratica Autorità Garante per le piccole e medie imprese).
Notifica - obbligo
● Dati genetici, biometrici● Dati geograficamente identificativi● Stato di salute per procreazione assistita● Profili, analisi sui consumi● Selezione personale● Gestione banche-dati su rischio insolvibilità
Il Consulente del Lavoro
INFORMATIVA E CONSENSO...● Dati relativi a fornitori di beni e servizi – SI'● Dati relativi a propri dipendenti – SI'● Dati relativi ai propri clienti – SI'● Dati relativi a terzi nel rapporto
Consulente / Cliente – NO !
Il cliente – datore di lavoro
INFORMATIVA E CONSENSOSONO DATI SENSIBILI
● Orientamento sindacale● Stato di salute● Dati biometrici
ATTENZIONE A:● Identificazione del dipendente● Comunicazioni e consenso (bacheche - intranet)
Misure di sicurezza
● Documento Programmatico Sicurezza: aggiornamento ogni 31 marzo;
● Per chi tratta dati comuni, o stati di malattia senza indicazione diagnostiche = AUTOCERTIFICAZIONE (!)
● Art. 31 “conoscenze acquisite in base al progresso tecnico...” art. 2050 c.c.
● Misure minime (art. 33) e idonee (art. 31)
Internet e posta elettronica
● Di norma, vietato il controllo● Rilevatori anomalie, controlli indiretti● Web: black list, siti correlati● E-mail: disciplinare interno, indirizzi condivisi,
indirizzi personali, indirizzi privati● Preferibile controllo su dati aggregati
(Autorità, linee guida per posta elettronica e internet, 10 marzo 2007)
Internet e posta elettronica
“...RITENUTO che l'installazione di un software con funzionalità appositamente configurate per il tracciamento (sistematico e continuativo) degli accessi ad Internet da parte dell'interessato – con la conseguente memorizzazione di tutte le pagine web visualizzate dal reclamante – risulta essere avvenuta in violazione dell'art. 4, comma 1 della legge 20 maggio 1970, n. 300... (Provv. Autorità 02 aprile 2009)”
videosorveglianza
Provvedimento Autorità del 08 aprile 2010● Informativa: “area video-sorvegliata”, anche
se attivazione saltuaria● Conservazione: 24 ore● Vietato il controllo a distanza● Accordi in sede sindacale● vd. L. 300/1970 art. 4
antiriciclaggio
● D.M. Finanze n. 141/2006: obbligo di fornire informativa
● (ex) Ufficio Italiano Cambi, provvedimento del 24 febbraio 2006: obbligo di informare sul trattamento in materia di antiriciclaggioPERO' VEDI
● D. Lgs. 196/2003 art. 8 comma 2 lett. a)
condominio
● Situazioni morosità
● Partecipazione alle assemblee
(Autorità, 08 luglio 2010, 10 settembre 2010)
Stato di salute dei dipendenti
DATI MEDICI, DATI BIOMETRICIÈ da ritenersi illecito..., il trattamento dei dati che rilevano lo stato di salute del dipendente, nella misura in cui questi vengono diffusi apponendo in busta paga la locuzione lavoratore svantaggiato. La stessa va, dunque, sostituita con altra dicitura, avvalendosi - ad esempio - di codici criptati, tale da non consentire a terzi di estrapolarne immediatamente l'informazione (Provv. Autorità del 18 giugno 2009)VIETATA DIFFUSIONE DATI SULLA SALUTE
MEDICO DEL LAVORO
toilette
● Trattamento dati sproporzionato se l'azienda richiede richiesta scritta del dipendente per recarsi alla toilette (Autorità, 07 aprile 2010)
● Tutela della dignità del lavoratore, principio di pertinenza e non eccedenza nel trattamento dei dati
Sanzioni amministrative
● Informativa: 6.000 – 36.000 €● Cessazione trattamento: 10.000 – 60.000 €● Misure minime: 10.000 – 120.000 €● Garante: 10.000 – 60.000 €● Riduzione a 2/5 per casi di minore gravità
Illeciti penali
Elemento del dolo e/o del profitto proprio o altrui● Consenso: reclusione 6 – 18 mesi● Comunicazione o diffusione: 6 – 24 mesi● Falso avanti al Garante: 6 mesi – 3 anni● Misure minime: arresto fino a 2 anni, ma con
termine per adeguamento● Inosservanza provv. Garante: 3 mesi – 2 anni
Illeciti penali
Il "nocumento" richiesto dall'art. 167 d.lgs. n. 196 del 2003 per la configurabilità del reato di trattamento di dati sensibili senza il consenso dell'interessato costituisce una condizione obiettiva di punibilità che non può ritenersi implicita per il solo fatto che detto trattamento abbia avuto luogo, occorrendo invece la dimostrazione che dal fatto sia derivato un "vulnus" significativo alla persona offesa (Cass. Pen. n. 40078/2009; Cass. Pen. n. 30134/2004).
Grazie per l'attenzione!
Associazione Legali [email protected]
Avv. Giuseppe Tedeschi
www.areaconsulenze.it