vincenzo colarocco_la riservatezza nell'organizzazione e nella gestione aziendale
DESCRIPTION
Relazione nel convegno formativo "Diritto e Tecnologie digitali" in merito al diritto-dovere di riservatezza in azienda, con particolare riferimento all'utilizzo delle nuove tecnologie in dotazione al dipendente e alla legittimità dei controlli difensiviTRANSCRIPT
Diritto e tecnologie digitali27 maggio 2011
Ordine Forense di Sulmona
“RISERVATEZZA NELL’ORGANIZZAZIONE E NELLA GESTIONE AZIENDALE”
Vincenzo Colarocco
DOTT. VINCENZO COLAROCCO
Patrocinatore legale del Foro di Bologna
Cultore d’Informatica Giuridica Facoltà di Giurisprudenza dell’Università di Bologna
Membro del Circolo dei Giuristi Telematici
Le nuove tecnologie hanno mutato “gli arnesi” del mestiere
e il nostro modo di lavoraree hanno posto in primo piano il problema della disciplina dell’uso e del controllo
nella loro applicazione.
Vincenzo Colarocco
IL DIRITTO –DOVERE ALLA RISERVATEZZA
Dal RIGHT TO BE ALONE al d.lgs 196/03
Art.2105 c.c.
Art.2106 c.c.
Art.2598.3 c.c
Art.2125 c.c
Artt.621-623 c.p.
Art.98.1 d.lgs 30/05
Art.99 d.lgs 30/05
Vincenzo Colarocco
Quali dati possiede l’azienda?
DATI AZIENDALI
Vincenzo Colarocco
DATI DEI LAVORATORI
Il PATRIMONIO AZIENDALE delle informazioni
Business-plan
Informazioni Privilegiate
Know-how
Marchi e brevetti
Strategie commerciali
Banche dati
Vincenzo Colarocco
Il Know-how L’art. 98 Cpi, precisa ora l’oggetto della tutela:
“1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni: a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore; b) abbiano valore economico in quanto segrete; c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete”.
Inoltre l’art. 99 a proposito della tutela prevede che:“Salva la disciplina della concorrenza sleale, è vietato rivelare a terzi oppure acquisire od utilizzare le informazioni e le esperienze aziendali di cui all'articolo 98.”
Vincenzo Colarocco
Le banche dati
L’art.2.9 l.633/41, così come modificato dal d.lgs169/99 (Dir 96/9/CE), definisce le banche dati come
“raccolte di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti e individualmente accessibili grazie a mezzi elettronici o in altro modo”
Vincenzo Colarocco
Il d.lgs 169/99 ha introdotto all’art.1 della l.d.a “nonché le banche di dati che per la scelta o la disposizione del materiale costituiscono una creazione intellettuale dell'autore".
Vincenzo Colarocco
BANCHE DATI SELETTIVE BANCHE DATI NON SELETTIVE
Tutela sui generis ex art 102 bis l.d.a
I DATI dei lavoratori
DATI PERSONALIArt.4.1 lett. b) D.Lgs 196/03
Vincenzo Colarocco
DATI SENSIBILIArt.4.1 lett. d) D.Lgs 196/03
Dati personali in azienda
Dati identificativi
Dati relativi all’attività economica, commerciale, finanziaria
Dati relativi alla gestione del rapporto di lavoro
di dipendenti, di collaboratori, consulenti, agenti e rappresentanti società, enti, soci: nome,cognome, indirizzo, sede, data di nascita,tel., fax, e-mail, P. IVA, ecc.
occupazione attuale e precedente,retribuzioni, note di qualifica, ecc.
dati contabili, ordini, spedizioni, contratti,dati bancari, dati finanziari (redditi,investimenti, mutui, ipoteche, ecc.).
Vincenzo Colarocco
Dati sensibili in azienda
Dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere
Dati idonei a rivelare le opinioni politiche, l’adesione a partiti, sindacati, associazioni a carattere politico o sindacale
fruizione di permessi e festività religiose o di servizi di mensa, manifestazione dell’obiezione di coscienza
esercizio di funzioni pubbliche o di incarichi politici per permessi aspettative riconosciute dalla legge o dai contratti;
organizzazione di iniziative pubbliche, attività o incarichi sindacali,
trattenute per il versamento delle quote sindacali o delle quote di iscrizione ad organizzazioni politiche o sindacali nelle paghe,
8 per mille
Vincenzo Colarocco
Dati idonei a rivelare lo stato di salute
Curriculum vitae
Tutti i tipi di dati sensibili
Dati sulle malattie anche professionali, invalidità, infermità, infortunio, gravidanza, puerperio, allattamento, esposizione a fattori di rischio,idoneità psico-fisica alla mansione specifica,appartenenza a categorie protette
Hobbies, preferenze, appartenenza a categorie protette, etnia, razza, religione
Log file di navigazione (Provvedimento Garante sull’utilizzo di internet e posta elettronica).
Vincenzo Colarocco
Quale TUTELA per..
Tutelare i dati riservati
Garantire la protezione del Know-How
Tutelare i dati dei dipendenti
Rendere leciti i controllo difensivi
Tutelare le banche dati
Disciplinare l’utilizzo delle nuove tecnologie
Vincenzo Colarocco
Soluzione
POLICY AZIENDALE
FORMAZIONE
CONTRATTUALIZZAZIONE
Vincenzo Colarocco
Le POLICY AZIENDALI
I regolamenti aziendali non sono un’invenzione recente dell’ordinamento:
Art. 2104, comma 2° Codice Civile;
Art. 2106 Codice Civile;
Art. 111 Codice della Privacy;
Provvedimento 1° marzo 2007 Garante n.13;
Direttiva n. 2/2009 Ministro dell’Innovazione
Vincenzo Colarocco
Un’opportunità per..
Proteggere il patrimonio aziendale;
Ottimizzare le risorse interne;
Rendere effettive norme e regole interne e “su misura” per la esecuzione delle mansioni e la disciplina;
Rendere effettiva l’osservanza delle misure minime prescritte dall’Allegato B D.Lgs. 196/03, dalla L.81/08;
Effettuare i controlli difensivi in modo legittimo
Vincenzo Colarocco
La DOUBLE ACTING della Policy
A) TUTELA DEI DATI E DEI DIRITTI DEL DIPENDENTE;
B) TUTELA DEI DIRITTI DEL DATORE DILAVORO.
Vincenzo Colarocco
Tutela del Dipendente
Garanzie di tutela dei dati personali e sensibili del dipendente (Provv. 10.01.2002; Linee Guida)
Garanzie del telecontrollo (art. 4 Statuto dei Lavoratori; Provv. del Garante del 02.02.06, Provv. del Garante del 08.04.2010)
Garanzie del tecnocontrollo (Linee Guida per il trattamento dei dati dei Lavoratori; Provv. del Garante del 1° marzo 2007);
Tutela del Datore di lavoro
- Effettività della tutela dei dati e delle informazioni aziendali;
- Effettività dell’applicazione del rispetto delle norme in materia di privacy;
- Opportunità di controlli legittimi del dipendente nell’uso delle tecnologie in dotazione;
- Risparmio delle risorse aziendali.
Tutela dell’attività aziendale, in particolare:
- del lavoro svolto al suo interno;
- del suo patrimonio (beni fisici e know-how);
- della sua clientela;
-degli altri dipendenti;
Il Garante & internet: prov. 13/07
ADOZIONE DISCIPLINARE INTERNO e MISURE ORGANIZZATIVE
NAVIGAZIONE IN INTERNET
USO MAIL
USO STRUMENTAZIONE TECNOLOGICA IN DOTAZIONE
CONTROLLI DIFENSIVI
Vincenzo Colarocco
Navigare, it’s easy?
Siti correlati o non correlati con la prestazione lavorativa;
Filtri e proxy;
Il trattamento di dati in forma anonima;
L'eventuale conservazione di dati per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza;
La graduazione dei controlli
Vincenzo Colarocco
Web, Privacy e lavoro
Il caso: Dipendente della Cassa Nazionale di Previdenza dei Commercialisti
"Sospesa 15 giorni per un commento scritto su Facebook".
Assenteismo virtuale nella piazza virtuale?
Vincenzo Colarocco
La mancata definizione a priori della qualità di strumento
aziendale dell'indirizzo e-mail può comportare un illecito
comportamento del Datore altrimenti perfettamente lecito.
Utilizzo di indirizzi condivisi (info@, amministrazione@...)
Attribuzione di indirizzi privati al lavoratore;
Risponditori automatici in caso di assenza;
Delega ad un “fiduciario” per la lettura della posta in
caso assenza improvvisa, con redazione di verbale;
Disclaimer automatico nei messaggi in uscita
la graduazione dei controlli
Vincenzo Colarocco
Il datore non puòeffettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori svolti in particolare mediante:
a) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail
b) la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
d) l'analisi occulta di computer portatili affidati in uso;
Vincenzo Colarocco
Controlli difensivi
Vincenzo Colarocco
Devono essere chiaramente indicati nellapolicy aziendale.
Verifiche finalizzate a:
1) Tutelare il patrimonio aziendale;
2) Verificare la funzionalità e la sicurezza del sistema informatico aziendali;
3) Eseguire le verifiche necessarie per la
sicurezza sul lavoro.
L’esecuzione dei controlli…
Manuale-Informatica-Telematica
Organizzazione ed elaborazione dei dati
Garantita dalle Misure Minime di Sicurezza (art33 d.lgs.196/03)
Vincenzo Colarocco
•Firewall•Antivirus•Password•Dps
D.P.S.• L'elenco dei trattamenti di dati personali;
• La distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
• L'analisi dei rischi che incombono sui dati;
• Le misure da adottare per garantire l'integrità e la disponibilità dei dati, anche di natura logistica delle aree e dei locali
• Backup e piano di disaster recovery per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
• Addestramento e formazione degli incaricati
• La descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trasferimento dai all’esterno;
• Crittografia e dissociazione per i dati sensibili
Vincenzo Colarocco
Sanzioni
Art. 169. Misure di sicurezzaChiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni.
Vincenzo Colarocco
Privacy & decreto sviluppo: rivoluzione?
Il d.l.70/11 del 5.5.2011 ha portato importanti novità al
Codice della Privacy:
Vincenzo Colarocco
• Eliminazione delle informative e/o richieste di consenso, se si trattano dati personali relativi a persone giuridiche, esclusivamente per questioni amministrativo-contabili
• Introduzione del regime OPT-OUT per gli indirizzi postali, già in vigore dal 1.1.11 per l’esercizio di marketing telefonico, con l’introduzione del REGISTRO DELLLE OPPOSIZIONI
• Esonero dall’obbligo di predisposizione del DPS“Per i soggetti che trattano soltanto dati personali non
sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti”.
• “La tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione”
• Modalità semplificate di applicazione del disciplinare tecnico per trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani
Vincenzo Colarocco
FORMAZIONE
Allegato B d.lgs 196/03 art.19.6
FORMAZIONE
EFFICACE ANNUALE
Vincenzo Colarocco
CONTRATTUALIZZAZIONE
Non Disclosure Agreement
Clausole di riservatezza
Vincenzo Colarocco
Le policy aziendali: un esempio di civiltà e progresso giuridico
Restano ad oggi un suggerimento o una facoltà che promana dai diversi provvedimenti.Non essendo ad oggi adempimento tassativo da ottemperare…. spesso diventano occasioni mancate!
Grazie e buon lavoro
Vincenzo Colarocco
Vincenzo Colarocco
Patrocinatore legale del Foro di Bologna
Cultore d’Informatica Giuridica Facoltà di Giurisprudenza dell’Università di Bologna
www.novastudia.com www.studiolegalelecchi.it
www.cyberlex.it
GRAZIE PER L’ATTENZIONE