Seleziona una pagina

A partire dal 19 settembre 2018 entra in vigore in Italia l’adeguamento della vecchia legge sulla privacy per armonizzarsi con il GDPR europeo. Dopo il 25 Maggio 2018 si pensava che la Legge 196/2003 venisse abrogata. In agosto correva la voce che probabilmente tale legge si armonizzasse completamente eliminando di fatto il reato penale.

 

 

Situazione privacy in Italia

Oggi, dopo la pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana, abbiamo il chiaro quadro in vigore e già operativo. Non solo sono state mantenute molte delle caratteristiche precedenti, ma sono state introdotte nuove ipotesi di reato. Per ulteriori dettagli rimandiamo alla consultazione del D.lgs. n. 101/2018.

In sintesi, viene posta grande attenzione su due punti in particolare della privacy: il trattamento su larga scala dei dati personali ed il trattamento dei dati personali in riferimento all’art. 4, comm1 e dell’art. 8 dello Statuto dei lavoratori.

 

Privacy e trattamento dei dati personali su larga scala

Anche se a prima vista il piccolo imprenditore meno attento potrebbe pensare che la questione dei dati personali trattati su larga scala non lo riguarda, il rischio maggiore sulla privacy si nasconde proprio nelle piccole imprese. Se prendiamo ad esempio un negozio con molti clienti, oppure una piccola azienda con un numero sostanzioso di contatti, possiamo avvicinarci alla larga scala non essendo specificato esattamente quanti dati personali costituiscano “larga scala”.

Abbiamo incontrato nella nostra esperienza piccole aziende con volumi di fatturato inferiori al milione di euro annuo e con migliaia di contatti nei propri archivi a rischio privacy. Pensa ad uffici di 100 mq che muovono interessi per migliaia di clienti e non solo.

Se trai profitto da questi dati personali ed arrechi danno agli interessati, violi la legge. Se poi esporti questi dati in paesi non “compliant” con il GDPR, fai proprio la frittata. Non è detto che un profitto corrisponda sempre ad un ingresso di denaro. Un profitto può essere riconducibile anche ad un risparmio. Ad esempio, se sottoscrivi un servizio gratuito in Internet che archivia i dati in un paese non a norma privacy, stai traendo beneficio da un servizio che non paghi, e stai traendo beneficio dai dati personali, perché comunque li stai trattando in relazione al business della tua impresa.

 

Un esempio concreto a rischio privacy

Ad esempio, fai una bella promozione dove metti in palio uno sconto o un regalo, o magari ancora fai uno pseudo concorso a premi per invogliare le persone a lasciare i loro dati per creare la tua newsletter con un sistema automatizzato per poi inviare loro le promo, o peggio ancora condividere con partner commerciali tali dati. Devi prestare molta attenzione a come questo possa in realtà sconfinare nell’acquisizione dei dati personali in modo fraudolento.

  • Bene hai costruito quindi la tua lista di contatti con qualche migliaio di nomi?
  • Potenzialmente se fai buona pubblicità gli iscritti possono aumentare fino a n su larga scala?
  • Dove risiedono i dati?
  • Quali garanzie offrono “i terzi” che ti mettono a disposizione il servizio di archiviazione?
  • Come quantifichi il potenziale rischio di diffusione/compromissione di quei dati?
  • Con chi condividi i dati?
  • Come vengono utilizzati?
  • In che modo ne trai profitto?
  • Le persone sono state correttamente informate, come prevede la legge sulla privacy?
  • È stata una loro libera scelta conferire i dati?
  • E molto altro…

Questo è solo un esempio di come è facile violare la legge sulla privacy e di come sia necessaria un’adeguata formazione per non incorrere in sanzioni estremamente severe. Tu per primo, come cittadino italiano ed europeo vorresti che i tuoi dati personali fossero trattati nel pieno rispetto dei tuoi diritti. Tutte le domande che hai letto poche righe sopra, sono le stesse domande che tu stesso ti poni quando compili un modulo con i tuoi dati personali.

 

Controlli a distanza e indagini sulle opinioni dei lavoratori

Resta confermato il reato in violazione dell’art. dell’art. 8 dello Statuto dei lavoratori, punito con l’art. 38 della Legge n. 300/1970. Il datore di lavoro non può raccogliere dati sulle opinioni politiche, religiose, sindacali del lavoratore e su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore. Oltre a questo, il datore di lavoro non può nemmeno installare dispositivi di sorveglianza che violano la privacy all’insaputa dei lavoratori.

Per dispositivi di sorveglianza non si intendono solo dispositivi in grado di acquisire audio e video, bensì anche dispositivi in grado di tracciare i comportamenti e la posizione dei lavoratori. Ogni misura di sicurezza deve avere uno scopo ben definito e tale da giustificare l’adozione di adeguate misure di sicurezza, allo stesso tempo i lavoratori devono essere adeguatamente informati sulla presenza e sul funzionamento di tali dispositivi. Il trattamento poi di questi dati personali deve essere gestito con la massima cura, e per il minor tempo possibile.

 

Le soluzioni per la privacy

Abbiamo volutamente semplificato il quadro normativo che disciplina in modo preciso cosa si può fare e come si può farlo. Tuttavia, le aziende che intendono dotarsi di dispositivi in grado di migliorare la sicurezza interna, dovrebbero cautelarsi con un’opportuna ed approfondita consulenza tecnica e legale. Restano poi sempre necessari gli adeguamenti tecnici per tutte le aziende che non avessero ancora provveduto a mettersi in regola con la privacy.

Provideant Informatica è disponibile per tutte le attività che riguardano privacy, GDPR, sicurezza informatica. Chiama per una prima consulenza gratuita al numero +39 051 0826 989.