La privacy e il trattamento dei dati personali
Regolamento sul trattamento dei dati personali nella gestione degli esposti
La Banca d'Italia ha emanato il regolamento sul trattamento dei dati effettuato nell'ambito della gestione degli esposti dei clienti nelle relazioni con le banche e gli intermediari finanziari. Il regolamento, sul quale il Garante ha rilasciato parere favorevole, disciplina le modalità di trattamento dei dati anche attraverso l'uso di tecniche di Intelligenza Artificiale per identificare fenomeni che possono essere meritevoli di attenzione per l'attività di vigilanza; vengono in particolare previste misure appropriate a tutela dei diritti degli interessati ed escluse forme di profilazione o di decisioni automatizzate.
Il regolamento è stato pubblicato nella Gazzetta Ufficiale del 30 marzo 2022, numero 75.
Protezione dei dati personali
Il Gruppo STEF (nel prosieguo STEF), specializzato nel trasporto e nella logistica per prodotti a temperatura controllata e nel trasporto marittimo di passeggeri e merci, è consapevole dei rischi connessi alla raccolta e all’uso di dati personali per la sfera privata di ognuno e pone particolare attenzione alla protezione di tali dati e al rispetto della privacy.
La Policy generale in materia di protezione dei dati personali esplicita quindi gli impegni assunti da STEF e dalle sue Filiali e da tutti i loro dipendenti al fine di permettere una raccolta e uso responsabile dei dati personali nel quadro rigoroso delle attività del Gruppo.
1 Principi e regole applicabili alla protezione di Dati Personali
STEF e le sue Filiali raccolgono e trattano i Dati Personali in conformità alla legge e ai regolamenti e normative europee in vigore, e in particolare, al Regolamento generale sulla protezione dei dati (GDPR) e alle varie leggi e regolamenti nazionali del paesi in cui operano le Filiali del Gruppo.
Definizioni:
- Dati personali:
Ogni informazione che permetta di identificare direttamente o indirettamente una persona fisica.
- Titolare del Trattamento:
Persona, servizio o entità che determina le finalità e i mezzi del trattamento.
- Responsabile del Trattamento:
Persona fisica, persona giuridica o ente che tratta i Dati Personali per conto del Titolare del Trattamento (fornitore di servizi IT, subappaltatore per il trasporto, subappaltatore per la logistica agenzia di comunicazione, ecc.).
- Filiali:
Società incluse nel perimetro di consolidamento di STEF SA, sia in Francia sia nei paesi in cui il Gruppo opera, in particolare Spagna, Italia, Portogallo, Svizzera, Belgio e Paesi Bassi.
- Trattamento:
Ogni operazione o insieme di operazioni applicate ai Dati Personali quali la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, trasmissione.
- Interessati:
Persone fisiche i cui Dati Personali sono trattati.
1.1 Titolare del Trattamento dei dati
Il Titolare del Trattamento dei dati personali è la società STEF SA o le sue Filiali come da definizione che precede.
Può essere contattato come segue:
- Tramite il modulo di contatto disponibile sul sito o sul sito STEF del paese di riferimento, alla sezione Contatti, selezionando la voce “Desidero esercitare i miei diritti in riferimento al trattamento dei miei dati personali (GDPR)”.
- Per posta, al seguente indirizzo:
STEF SA
RGPD
93 boulevard Malesherbes
75008 Parigi
Il Titolare del Trattamento si impegna a proteggere i Dati Personali in conformità con la presente Policy generale in materia di protezione dei dati personali.
Nel caso in cui l'integrità, la riservatezza o la sicurezza dei Dati Personali degli Interessati fosse compromessa, il Titolare del Trattamento potrà informarli con qualsiasi mezzo, ove necessario e in conformità alla normativa in vigore.
1.2 Finalità del trattamento
I Dati Personali trattati da STEF sono raccolti e utilizzati per finalità, o scopi specifici di cui gli interessati sono informati.
Ogni operazione di trattamento ha le proprie finalità.
L’unico scopo di tali operazioni di trattamento è di permettere a STEF di fornire e ottimizzare i servizi di trasporto e logistica di prodotti a temperatura controllata, trasporto marittimo di passeggeri e merci e la produzione di prodotti e servizi informatici accessori alle proprie attività commerciali.
Dette operazioni di trattamento soddisfano le esigenze di reclutamento, comunicazione commerciale, informativa, consegna, tracciabilità delle merci, monitoraggio della qualità dei servizi, gestione del personale, gestione interna delle attività e dei servizi, ecc.
Le finalità possibili includono, in via meramente esemplificativa, quanto segue:
- L'uso dei nostri siti web e degli strumenti informatici,
- La fornitura delle informazioni o dei servizi richiesti (in particolare: l'invio di newsletter, offerte commerciali, studi, campagne di email marketing, ecc.),
- La raccolta di informazioni che ci permettono di migliorare i nostri prodotti e servizi,
- La comunicazione di vari eventi legati a STEF, ivi compresi gli aggiornamenti dei servizi, prodotti e supporto clienti,
- La comunicazione attraverso i social network soltanto per esigenze legate alle attività del Gruppo,
- La trasmissione di fatture e documentazione relativa alla realizzazione della nostra attività, con qualunque mezzo (forma scritta, digitale, elettronica, ecc.),
- La gestione delle assunzioni, gestione amministrativa del personale (gestione degli orari di lavoro, pianificazione, trasferte, congedi, assenze, ecc.), redazione di dichiarazioni e conformità agli obblighi legali e di normativa locale in materia, segnatamente, di prelievo degli oneri di previdenza sociale, gestione del database, gestione dei libri paga, gestione di eventuali regimi di previdenza sociale, di pensione complementare, formazione e gestione della carriera, valutazione professionale, controllo dell'attività dei dipendenti e il rispetto delle regole applicabili all’interno dell'azienda, indagini interne e procedimenti disciplinari, gestione della procedura di cessazione del contratto di lavoro, gestione della telecomunicazioni, gestione dell'uso di veicoli di servizio o aziendali, gestione della directory interna e della rete Intranet aziendale.
- La raccolta, la comunicazione, lo scambio, la trasmissione di tutta la documentazione commerciale, finanziaria, contrattuale, legale, sociale, normativa,
- La realizzazione di studi di marketing solo per uso interno,
- La messa in sicurezza di tutti i nostri siti e veicoli, strumenti e mezzi tecnici operando in conformità alle norme di sicurezza e protezione, o secondo quanto richiesto ai sensi di legge.
- La gestione, il controllo e l'ottimizzazione dei servizi di trasporto e logistica prestati dal Gruppo e dalle sue Filiali,
- E tutti gli altri usi necessari per il funzionamento delle nostre attività come descritto in precedenza.
I Dati Personali raccolti sono utilizzati solo per le finalità sopra indicate e non possono essere usati per finalità diverse da quelle stabilite per ogni trattamento.
1.3 Liceità del trattamento (basi giuridiche)
Il Trattamento dei Dati Personali degli Interessati da parte di STEF è giustificato dalle seguenti basi giuridiche:
- esecuzione di un contratto che lega gli Interessati a STEF; oppure
- esecuzione di misure precontrattuali prese su richiesta degli Interessati; oppure
- rispetto di obbligo legale; oppure
- perseguimento dei legittimi interessi di STEF.
1.4 Consenso
In assenza di almeno una delle basi giuridiche indicate al punto 1.3, è richiesto il consenso specifico ed esplicito, comprensibile e chiaro degli Interessati prima di ogni operazione di trattamento.
I consensi richiesti sono raccolti e gestiti in conformità alla procedura di gestione dei consensi del gruppo.
1.5 Categorie di dati
Le categorie di Dati Personali raccolti variano in funzione di ciascuna operazione di trattamento.
Tuttavia, indipendentemente dal trattamento effettuato, STEF non raccoglie i seguenti dati: informazioni su origine razziale, opinioni politiche, credo religioso, filosofico o razziale, orientamento sessuale, dati genetici.
Ove siano trattati uno o più dei dati summenzionati, gli stessi saranno trattati solo su base occasionale da STEF e nel rigoroso rispetto dei requisiti stabiliti nel Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 6 gennaio 2016 (GDPR).
1.6 Limitazione dei dati raccolti (proporzione e rilevanza)
Sono raccolti solo i Dati Personali strettamente necessari per le finalità specificate.
STEF si adopera per minimizzare e limitare i dati così raccolti e per mantenerli aggiornati.
1.7 Termini di conservazione e cancellazione
I termini di conservazione sono determinati secondo i seguenti criteri:
- Esigenze operative: periodo durante il quale i dati sono necessari per assicurare la prestazione completa dei servizi forniti da STEF,
- Requisiti legali e regolamentari: periodo durante il quale STEF è tenuta a conservare considerando i propri obblighi legali e regolamentari.
I dati riguardanti il dipendente saranno conservati per la durata del suo impiego in azienda e oltre, nei limiti dei termini di prescrizione applicabili.
In assenza di un termine di conservazione specifico, i Dati Personali raccolti sono conservati per un periodo limitato di tempo necessario per le finalità indicate, e che non può superare i 5 anni dalla fine del trattamento in oggetto.
Alla fine del periodo di conservazione specificato, i dati sono cancellati o anonimizzati.
1.8 Destinatari dei dati
I Dati Personali raccolti, in funzione del trattamento effettuato, potranno essere utilizzati per oggetto di una comunicazione ai seguenti destinatari:
- I dipartimenti/uffici interessati delle filiali del Gruppo STEF,
- Terzi che hanno stipulato un contratto con il Gruppo STEF e che operano come Responsabili del Trattamento,
- Enti pubblici e/o di regolamentazione di diritto pubblico o privato.
Oltre ai destinatari indicati sopra, non sarà trasmesso alcun dato in assenza del previo consenso esplicito degli interessati.
1.9 Sicurezza e riservatezza
STEF implementa misure di protezione dei dati adeguate alla natura dei dati trattati e alle attività del Gruppo.
Sono previste adeguate misure di sicurezza fisica, tecnica e organizzativa per garantire una riservatezza ottimale dei dati e, in particolare, per evitare qualsiasi accesso non autorizzato.
Per quanto riguarda le misure tecniche di sicurezza, queste sono oggetto di una Policy sulla sicurezza dei sistemi IT (PSSI).
STEF richiede a qualsiasi Responsabile del Trattamento di fornire le garanzie necessarie per assicurare, almeno lo stesso livello di sicurezza, protezione e riservatezza dei dati personali e il rispetto dei regolamento GDPR.
In alcuni casi, i dati possono essere trasferiti a paesi al di fuori dell’Unione Europea. STEF assicura in tal caso che siano implementati strumenti giuridici atti a garantire, conformemente alle disposizioni degli articoli 45 e 46 del GDPR, che i paesi che ricevono questi dati abbiano un livello di protezione adeguato.
1.10 Diritti degli interessati
STEF adotta i mezzi necessari affinché gli interessati possano esercitare i propri diritti sui Dati Personali raccolti in modo efficace.
Sintesi dei diritti principali:
- Diritto di accesso e comunicazione dei dati:
Gli Interessati hanno il diritto di accedere ai Dati Personali che li riguardano.
- Diritto di rettifica/cancellazione dei dati:
La legislazione autorizza gli Interessati a richiedere la rettifica, l'aggiornamento o la cancellazione dei dati che li riguardano che risultino imprecisi, errati, incompleti o obsoleti, a seconda del caso.
- Diritto di opposizione:
Gli Interessati possono opporsi all'uso dei propri dati personali, ma solo in una delle seguenti due situazioni:
1. Quando l'esercizio di tale diritto è basato su motivi legittimi,
2. Quando l'esercizio di tale diritto mira a impedire che i dati raccolti siano utilizzati per finalità di prospezione commerciale.
- Diritto alla portabilità dei dati:
Gli Interessati hanno la possibilità di recuperare i Dati Personali forniti al Titolare del Trattamento affinché siano riutilizzati.
- Diritto a non essere soggetti a una decisione basata esclusivamente su un processo automatizzato:
Gli Interessati hanno il diritto di non essere soggetti a una decisione fondata esclusivamente su un processo automatizzato se la decisione produce effetti giuridici che li riguardano o li influenzano in modo significativo.
Modalità di esercizio dei suddetti diritti:
Le modalità di contatto di STEF di cui al punto 1.1 permettono a ciascun interessato di esercitare i propri diritti sui propri dati.
Formalizzazione delle richieste:
- Se sono trasmesse a mezzo posta, devono essere inviate necessariamente per lettera raccomandata con avviso di ricevimento.
Elementi e informazioni da indicare nelle richieste:
- Copia di qualsiasi documento ufficiale che fornisca una prova incontestabile dell’identità del richiedente, e riconosciuto dalla legge come tale. Questa prova è richiesta a causa dell’obbligo di sicurezza e riservatezza nel trattamento dei dati che ricade sul Titolare del Trattamento.
- Per quanto possibile, le richieste devono includere l'identificativo e/o l'indirizzo e-mail utilizzato per accedere al sistema STEF, i Dati Personali trasmessi, il contesto in cui sono stati raccolti e/o la natura dei legami degli Interessati con STEF (dipendenti, rappresentante di un cliente, ecc.).
- L'oggetto del diritto esercitato deve essere selezionato direttamente nel modulo di contatto tra le opzioni proposte.
- Nell'interesse della sicurezza dei dati, ogni richiesta sarà oggetto di una conferma di ricezione all'indirizzo e-mail o postale del richiedente sulla base delle informazioni esistente. Si procederà poi alla conferma dell’identità dell’Interessato che presenta la richiesta tramite un link link nell’e-mail inviata o a mezzo posta.
Tempi di risposta:
- Il Titolare del Trattamento si impegna a rispondere a tutte le richieste debitamente formalizzate e documentate entro un termine ragionevole, che non può superare i 2 mesi a decorrere dal ricevimento della richiesta.
- La data di ricevimento considerata per il calcolo del termine che precede corrisponde alla data di invio del modulo o alla data di consegna della raccomandata con avviso di ricevimento se la richiesta è trasmessa via posta.
2 Monitoraggio della Policy generale in materia di protezione dei dati personali e pratiche
La presente Policy generale in materia di protezione dei dati personali di STEF è accessibile a tutti sui vari siti di STEF, in particolare sul sito
Inoltre, per quanto riguarda il trasporto marittimo di merci e passeggeri, la Policy generale in materia di protezione dei dati personali della Filiale incaricata di detta attività è disponibile all’indirizzo
La Policy è regolarmente aggiornata per dar conto delle modifiche legislative e regolamentari in materia di protezione dei dati così come dell’evoluzione del Gruppo nella propria organizzazione e attività.
Di conseguenza, gli Interessati sono invitati a consultare regolarmente la presente Policy generale in materia di protezione dei dati personali per informarsi sulle ultime modifiche eventualmente apportate.
Il trattamento dei Dati Personali raccolti da STEF è regolato dalla presente Policy, integrata dalla Policy sulla sicurezza dei sistemi IT (PSSI), dalle policy sulla privacy specifiche per ogni sito web del Gruppo e da tutte le procedure e regole interne relative ai principi di cui al presente documento.
I principi di “privacy by design”, ossia il principio che impone di considerare la sicurezza dei Dati Personali dalla progettazione, e di “privacy by default”, ossia il principio di limitazione dei Dati Personali, sono integrati nelle procedure di sviluppo e implementazione dei nuovi sistemi IT di STEF.
Monitoraggio della conformità ed evoluzione delle pratiche:
La conformità dei sistemi alle norme nazionali ed europee per la gestione e la sicurezza dei dati personali è soggetta a regolare verifica da parte delle funzioni interne di STEF.
Sono introdotti regolarmente miglioramenti nel funzionamento dei sistemi e nell’organizzazione dei
Dati Personali sulla base delle evoluzioni regolamentari, giuridiche e tecniche nonché delle richieste di esercizio dei diritti al fine di garantire la massima sicurezza possibile dei Dati Personali raccolti e trattati così come l’efficacia dell’esercizio dei diritti degli Interessati.
Policy generale in materia di protezione dei dati personali aggiornata il 01/12/2018
La privacy e il trattamento dei dati personali
Cos’è la Privacy? Cosa sono i dati personali e come possono essere trattati? Introduzione e stato dell’arte della materia con il nuovo Regolamento Europeo alle porte
Privacy: di cosa stiamo parlando
“Lei sta violando la mia Privacy”, quante volte lo avremo detto? Per chi non fosse a conoscenza di questo termine, esso può essere tradotto come quel diritto volto alla riservatezza delle informazioni personali e della vita privata. Attraverso questa espressione, in sostanza, intimiamo qualcuno a non intromettersi nella nostra vita.
Nonostante già nel 1890 era presente, negli USA, una concezione di Privacy[1], individuata come diritto ad esser lasciato solo, nel nostro paese inizia a radicarsi a partire dagli anni ’60. L’evoluzione tecnologica e l’implementazione della comunicazione elettronica portano questo diritto ad un livello più evoluto, tanto è vero che oggi si parla di Privacy soprattutto in chiave negativa: Protezione dei dati personali, dunque un vero e proprio diritto negativo volto a impedire che informazioni sulla nostra persona vengano rivelate.
L’evoluzione normativa che ha portato alla cristallizzazione del diritto alla Privacy trova le sue radici in sistemi legislativi sovra-nazionali. Il primo atto che protegge la propria sfera personale è la Carta Europea dei Diritti dell’Uomo, che stabilisce come non sia possibile ingerire nel diritto alla libertà individuale se non per motivi di sicurezza nazionale, difesa dell’ordine e per la prevenzione di reati.
L’Unione Europea disciplina questo diritto nella sua Carta Fondamentale dei Diritti, l’art. 8 provvede a garantire ad ogni individuo il potere di proteggere i dati di carattere personale che lo riguardano. L’eventuale trattamento deve prevedere una specifica finalità e il consenso da parte di chi fornisce tali informazioni. Infine, la possibilità di rettifica nel caso in cui i dati dovessero variare.
In Italia, la Costituzione non trova una specifica norma sulla Privacy, ma tra i 139 articoli si può latu sensu intravedere qualche riferimento: innanzitutto l’articolo 2 che sancisce come la Repubblica garantisce i diritti inviolabili dell’uomo […] e poi gli artt. 14, 15 e 21. Successivamente all’emanazione della direttiva comunitaria 95/46/CE del Parlamento europeo e del Consiglio, viene promulgata la legge 675 del 1996 e poi, in sua sostituzione, il Codice in materia di trattamento dei dati personali – D.lgs. 196/2003 – considerato come normativa più completa a livello europeo. Dal prossimo 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo 2016/679 “Pacchetto protezione dati” [2].
Il trattamento e la protezione dei dati personali
Il Codice è uno strumento qualificabile come completo. In effetti, dopo aver schematizzato gli elementi necessari, crea una vera procedura di trattamento dando anche idonee garanzie nel caso di violazioni[3].
È doverosa una premessa a carattere tecnico per capire i presupposti dell’importanza che viene data al trattamento dei dati personali. Innanzitutto, per dato personale si intende “qualunque informazione relativa a persona fisica, identificata od identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. I dati personali si dividono in quattro categorie:
Dati sensibili : quelli idonei a rivelare “l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” di una persona;
: quelli idonei a rivelare “l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” di una persona; Dati semi-sensibili : nella quale rientrano dati personali il cui trattamento può arrecare danni al titolare, come i dati relativi alle liste di sospettati di frode, i nominativi inseriti nelle centrali rischi, i dati relativi alla situazione finanziaria;
: nella quale rientrano dati personali il cui trattamento può arrecare danni al titolare, come i dati relativi alle liste di sospettati di frode, i nominativi inseriti nelle centrali rischi, i dati relativi alla situazione finanziaria; Dati comuni : sono tutte quelle informazioni, come nome, cognome, partita I.V.A., codice fiscale, indirizzo (compreso quello di posta elettronica), numeri di telefono, numero patente, che consentono di individuare una persona fisica o giuridica, sia essa anche un ente od associazione;
: sono tutte quelle informazioni, come nome, cognome, partita I.V.A., codice fiscale, indirizzo (compreso quello di posta elettronica), numeri di telefono, numero patente, che consentono di individuare una persona fisica o giuridica, sia essa anche un ente od associazione; Dati giudiziari: sono quelle informazioni idonee a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reati o carichi pendenti.
Con una tipologia di questi dati, direttamente o indirettamente, è possibile indentificare un soggetto.
Le persone coinvolte nel trattamento dei dati sono quattro:
L’ Interessato , persona fisica, cioè colui al quale si riferiscono i dati stessi e che può esercitare i diritti di cui all’articolo 7 del D.lgs. 196/2003;
, persona fisica, cioè colui al quale si riferiscono i dati stessi e che può esercitare i diritti di cui all’articolo 7 del D.lgs. 196/2003; Il Titolare , colui che da inizio al trattamento, può essere una persona fisica o giuridica a cui spettano le decisioni in merito alla finalità e alle modalità del trattamento dei dati;
, colui che da inizio al trattamento, può essere una persona fisica o giuridica a cui spettano le decisioni in merito alla finalità e alle modalità del trattamento dei dati; Il Responsabile , persona fisica o giuridica, preposto al trattamento dei dati su potere del Titolare. La figura è facoltativa;
, persona fisica o giuridica, preposto al trattamento dei dati su potere del Titolare. La figura è facoltativa; L’Incaricato, la persona fisica che è autorizzata dal titolare o dal responsabile a compiere materialmente il trattamento.
Quando ci accingiamo a fornire a qualcuno i dati personali, dobbiamo dare lui il consenso al trattamento. Il Titolare o chi per lui deve quindi eseguire una serie di adempimenti che, se non rispettati, possono determinare un illecito amministrativo o penale.
L’iter che permette il trattamento dei dati inizia con la sottoposizione all’interessato dell’Informativa, con essa si informa colui che fornisce i dati che essi verranno trattati. Cosa si intende per trattamento?
Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
L’informativa risulta essere una comunicazione, essa è dovuta anche nel caso in cui non sia richiesto alcun consenso o all’opposto quando è necessario fornire tali dati in quanto sussiste un obbligo di legge. Nel momento in cui è presente tale comunicazione, che sia scritta o orale, essa deve contenere un contenuto minimo. Secondo l’art. 13 del D.lgs. 196/2003 sono necessari:
Finalità e modalità di trattamento
Natura obbligatoria o facoltativa del conferimento dei dati
I soggetti e le categorie di soggetti ai quali i dati possono essere comunicati
I diritti dell’interessato
I dati di coloro che effettueranno il trattamento
Cessione dei dati a terzi (eventuale)
Soffermandoci su questi punti è doveroso aprire una parentesi di carattere pratica.
Molto spesso, quando siamo invitati a compilare un form con i nostri dati, ad esempio per ottenere una fidelity card al supermercato a al negozio che vende indumenti, non facciamo mai caso a quello che è scritto in basso, con un carattere molto piccolo. Siamo in queste occasioni un po’ negligenti per i più svariati motivi. Solitamente questa disattenzione è portatrice di chiamate telefoniche indesiderate da parte di call center o la ricezione di e-mail spam che intendono offrirci prodotti o servizi o ancor più grave, truffarci. Questo avviene in quanto, certamente, abbiamo consentito sia il trattamento dei dati per la finalità principale, ossia ottenere la fidelity card, ma soprattutto abbiamo acconsentito alla cessione dei dati a terzi. Anche per questo motivo è quindi importante leggere o chiedere esattamente cosa comporta rilasciare e sottoscrivere una informativa per il trattamento dei dati personali.
I diritti dell’interessato e il Garante per la protezione dei dati personali
L’interessato deve essere messo nella condizione di far valere le proprie pretese. I diritti che andremo ad elencare possono essere richiesti al Titolare o al Responsabile, personalmente o per mezzo di delegato:
Diritto di esprimere il consenso al trattamento dei dati;
Diritto ad essere informato sull’identità del titolare del trattamento e del responsabile del trattamento dei dati, nonché sulle modalità e finalità del trattamento;
Diritto ad ottenere informazioni e modifiche sui dati, in particolare: conferma dell’esistenza di dati che lo riguardano, comunicazione degli stessi, della loro origine e della finalità del loro trattamento, cancellazione o trasformazione n forma anonima o blocco dei dati trattati illegittimamente, aggiornamento, rettifica e integrazione dei dati;
Diritto al risarcimento del danno in caso di trattamento illecito;
Diritto ad opporsi al trattamento anche se conforme alla finalità dichiarate;
Diritto ad opporsi al trattamento dei dati personali effettuato per finalità commerciali, pubblicitarie, di vendita o ricerca di mercato;
Diritto ad opporsi al trattamento dei dati personali volto a delineare il profilo o la personalità dell’interessato, salvo le eccezioni di legge.
Il Titolare o il responsabile ha il diritto di chiedere all’interessato di identificarsi, in caso negativo potrà far valere il suo diritto di non portare a compimento la richiesta. Al contrario, se l’identificazione è positiva avrà l’onere di finalizzare la richiesta dell’interessato.
Il Legislatore, al fine di garantire la corretta applicazione della normativa in materia di trattamento dei dati personali, ha creato un organo indipendente che opera un controllo preventivo e successivo sulle attività di trattamento dei dati personali: Il Garante per la protezione dei dati personali, anche conosciuto come “Garante Privacy”.
Il Garante ha poteri istruttivi, consultivi e sanzionatori e principalmente controlla se i trattamenti sono effettuati a norma di legge. Il compito non è tanto autorizzare i trattamenti, ma piuttosto verificare la loro legittimità.
Autonomamente o attraverso altri organi dello Stato, il Garante può chiedere ai soggetti coinvolti nel trattamento dei dati personali l’accesso alle banche dati e/o le ispezioni nei luoghi dove avviene il trattamento dei dati e nel caso di illeciti amministrativi o penali irroga direttamente le sanzioni. La principale sanzione è prevista dall’art. 2050 del codice civile “Responsabilità per l’esercizio di attività pericolose” e prevede il risarcimento del danno provocato all’interessato. In questa fattispecie sarà onere del Titolare del trattamento dimostrare di aver adottato tutte le misure necessarie ad evitare il danno.
Il Garante costituisce il primo grado per il ricorso amministrativo contro le eventuali violazioni della normativa e le sue decisioni, con l’applicazione del contraddittorio, sono impugnabili davanti la magistratura.
Gli illeciti amministrativi riguardano l’omessa o inidonea informativa all’interessato, la cessione dei dati in violazione delle norme, l’omessa o incompleta notificazione, l’omessa informazione o esibizione di documenti richiesti al Garante.
Gli illeciti penali[4] sono diversi: l’art. 167 disciplina il trattamento illecito di dati personali. La consumazione del reato avviene al verificarsi del danno, per cui il nocumento alla persona offesa è elemento costitutivo del fatto.
L’articolo 168 punisce la falsità nelle dichiarazioni e nelle notificazioni al Garante
L’art. 169 prevede l’omessa adozione di misure necessarie alla sicurezza dei dati. In questo caso siamo davanti ad una contravvenzione che prevede anche la possibilità di regolarizzare il trattamento nel termine di sei mesi, nel qual caso l’ammenda è diminuita.
L’art. 170 punisce l’inosservanza del provvedimento del Garante.
La privacy e il rapporto con internet
Se fin ora abbiamo parlato di casi in cui è palese la richiesta di trattamento dei dati personali, ora dobbiamo porre la nostra attenzione a forme di trattamento diverse, più sottili e che non sempre sono riconoscibili. Al di là della presenza di diverse fattispecie criminose come l’illecita diffusione dei dati personali, lo spionaggio informatico, la frode informatica ecc., esistono sul web degli strumenti capaci di veicolare i nostri click o i nostri likes e influenzare le nostre scelte o i nostri gusti.
Parliamo dei cookies
I cookies sono programmi che, installandosi nel computer durante la navigazione sul web, facilitano la navigazione in internet.
Il legislatore ha individuato tre tipologie di cookies:
cookies tecnici, quelli che non producono alcun rischio per la privacy, in quanto essi sono gli unici capaci di rendere effettivamente una navigazione migliore sul web cookies di profilazione, cioè i cookies che vengono installati dall’editore del sito, e cookies di profilazione di terze parti che vengono installati da terze parti come ad esempio i social network.
Se i primi sono utilizzati ad esempio per gli acquisti online o nei sistemi home-banking. I secondi e i terzi invece vengono utilizzati per scopi fondamentalmente pubblicitari.
Dobbiamo considerare che tali programmi rimangono installati nel nostro computer finché l’utente non decide di eliminarli o bloccarli. A causa di ciò molto spesso ci ritroviamo, durante la navigazione, la riproposizione estenuante di pubblicità e banner di prodotti che vorremmo acquistare o servizi di cui vorremmo usufruire. I cookies di terze parti hanno in più la capacità di leggere tutti i cookies che man mano si sono installati sul nostro computer, riuscendo a tracciare tutti i nostri click sul web e dunque i nostri gusti, le nostre scelte e tutto ciò che può interessare la nostra sfera sociale.
Il Garante per porre un freno a questi strumenti ha, nel 2014, emanato una legge per regolare il loro utilizzo. In presenza di cookies di profilazione è necessario che l’interessato venga informato e dia il consenso. Per adempiere a ciò, il soggetto proprietario del sito web deve creare un banner che deve comparire nel momento in cui un soggetto approda sul sito internet, il messaggio deve obbligatoriamente contenere un’informazione che avvisa la presenza di cookies di profilazione; l’eventuale presenza di cookies di profilazione di terze parti e un link che rimanda ad un’informativa più approfondita. Infine, deve indicare che procedendo alla navigazione sul sito web viene acconsentito l’uso di cookies o può essere fatto scegliere all’utente se i cookies possono essere usati o meno.
Il Garante ha individuato due strumenti per bloccare i cookies: può essere utilizzata la navigazione in incognito, fornita dalla maggior parte dei browser di navigazione oppure può essere utilizzato un apposito programma blocca cookies che evita l’intrusione di quelli più invasivi. Infine, è consigliabile cancellare i cookies periodicamente.
Il General Data Protection Regulation
Dal 25 maggio 2018 entrerà in vigore il “General Data Protection Regulation”[5]. Da tale data esso prenderà il posto di tutte le normative nazionali e dunque anche del nostro Codice Privacy di cui abbiamo fin ora parlato.
La necessità di una norma simile è nata per colmare quel gap normativo che l’Unione Europea aveva nei confronti della globalizzazione e del repentino avanzamento tecnologico. Il percorso di questo Regolamento inizia nel 2012 e dopo un lungo lavoro congiunto di Parlamento, Commissione e Consiglio, nell’aprile 2016 è arrivata l’adozione del testo da parte del Consiglio Europeo e del Parlamento europeo. Il 4 maggio 2016 i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola il trattamento dei dati personali sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea.
Le novità del GDPR
Naturalmente, come ogni nuova legge, sono state introdotte novità non di poco conto, primo fra tutti il diritto all’oblio[6].
Con la locuzione “diritto all’oblio” si intende, in diritto, una particolare forma di garanzia che prevede la non diffondibilità, senza particolari motivi, di precedenti pregiudizievoli dell’onore di una persona. Nella nuova prescrizione Europea, questo potere è in realtà considerato in chiave generale, infatti l’art. 17 del Regolamento prevede i casi in cui è possibile ottenere la cancellazione dei propri dati personali da parte del titolare del trattamento “senza ingiustificato ritardo” (es. se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente). Il legislatore però ha anche avvertito l’esigenza di bilanciare le posizioni fra le parti e ha riconosciuto come in alcuni casi questi dati non possano essere eliminati: ad esempio perché il trattamento del dato ottempera a imposizioni legali o perché il diritto all’informazione è considerato giuridicamente più rilevante.
Ulteriore importante novità è il diritto alla portabilità dei propri dati personali. L’art. 20 del GDPR sancisce il diritto dell’interessato di ricevere i dati personali forniti a un titolare, in un formato di uso comune e leggibile da un dispositivo informatico, e di trasmetterli ad altro titolare del trattamento senza ostacoli. L’obiettivo di tale diritto è quello di accrescere il controllo degli interessati sui propri dati personali, facilitandone la circolazione, la copia o la trasmissione tra più ambienti informatici.
Se finora l’uso era pressoché limitato alle compagnie telefoniche, sicuramente nella nostra vita avremo cambiato operatore telefonico senza aver creato un nuovo numero telefonico proprio perché è stata effettuata la sua portabilità, ora riguarda tutti i titolari di trattamento dati, compresi i provider Internet. Un esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. Ci saranno però alcune eccezioni che non consentono l’esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.
Viene inoltre introdotta la figura del Responsabile della protezione dei dati[7](Data Protection Officer o DPO). Esso dovrà essere una persona esperta nella materia del trattamento dei dati personali, il suo principale compito sarà quello di gestire correttamente i dati personali nelle imprese e negli enti. Sarà il referente, una sorta di presidio per la privacy in ogni struttura amministrativa. Il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati.
Questa figura è designata direttamente e obbligatoriamente dal titolare e dal responsabile del trattamento in tre occasioni:
quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni); quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento. In realtà è comunque auspicabile che le imprese, al fine di garantire standard di sicurezza adeguati, nominino tali figure anche laddove ciò non sia obbligatorio per legge, possibilmente affidando tale compito a soggetti terzi ed esterni: il DPO, infatti, riferisce direttamente ai vertici aziendali e non al titolare/responsabile del trattamento pur essendo questo in posizione gerarchicamente superiore. Il DPO non è comunque considerato un “mestiere” a sé stante, il ruolo potrà essere ricoperto anche da un dipendente dell’azienda o dell’ente purché dimostri le capacità e le competenze necessarie a ricoprire l’incarico.
Conclusioni
L’argomento trattato in questo articolo non è sicuramente esaustivo, anzi ha il modesto intento di rendere noto al lettore che, nel mondo attuale, governato dai social network e dalla condivisione delle informazioni, sono presenti dei diritti e delle tutele. La facilità con cui oggi si riesce ad ottenere la risposta ad una domanda rende la nostra vita quotidiana nettamente più leggera, ma rende il lavoro molto più semplice anche a chi ha interesse a carpire informazioni per finalità che rasentano la loro liceità. Il Regolamento Europeo sicuramente porterà una ventata di Diritto uniforme su tutto il suo territorio e le sue regole ritorneranno utili per limitare l’enorme diffusione di informazioni personali che vengono estrapolate fraudolentemente. L’importante è informarsi, come sempre.