13 giugno 2016

Gianfranco Sapia: «#Privacy & Impresa: istruzioni per l'uso»

Questa settimana abbiamo intervistato Gianfranco Sapia, avvocato di Aosta, sul tema della privacy all'interno delle imprese.

Prima di tutto cosa è la privacy? Di cui tanto si parla ma, forse, poco si sa...
Innanzitutto la parola privacy è di origine inglese e può tradursi, in italiano, con il termine "riservatezza” ; il c.d. diritto alla privacy è comunemente inteso come il diritto ad essere lasciati in pace.  In realtà nel nostro ordinamento il concetto di privacy assume un significato che è ancora più ampio e si spinge fino ad includere anche il diritto al corretto utilizzo e controllo della circolazione dei propri dati personali.
Il diritto alla protezione dei dati personali è un diritto fondamentale delle persone ed è previsto anche dalla Carta dei diritti fondamentali dell'Unione Europea.
Al centro della tutela quindi ci sono ovviamente i dati personali delle persone, cioé tutte le informazioni relative a una persona fisica, identificata o che può essere identificabile, anche indirettamente. Quindi dati personali sono non soltanto il nome e cognome della persona, ma tutti quegli altri dati, come ad esempio un indirizzo e-mail, un codice fiscale,  un numero telefonico, persino un indirizzo IP che consentono indirettamente l’identificazione della persona. Tra i dati personali si distinguono i dati sensibili e di dati giudiziari. Quelli sensibili sono  quei particolari dati che possono rivelare l’origine razziale ed etnica di una persona ad esempio, le sue convinzioni religiose, filosofiche, i dati che indicano l’adesione a partiti, sindacati, associazioni a carattere religioso, filosofico, politico o sindacale o quelli che possono rivelare lo stato di salute o la vita sessuale di una persona. I dati giudiziari invece quelli che possono includere tra l’altro le informazioni contenute nel casellario giudiziale e quelle connesse alla posizione di imputato o indagato in un procedimento penale. Nel codice il trattamento dei dati sensibili e giudiziari, consentito soltanto in alcuni casi e da parte di determinati titolari, ed è sottoposto ad un’attenta disciplina e all’obbligo di rispettare scrupolosi adempimenti.

Quali sono le ricadute della privacy in un’azienda?
La nostra società, nell’era di internet, è anche definita da alcuni sociologi come società dell’informazione.
Nel 2000 "La Carta europea per le piccole imprese" ha sollecitato gli Stati membri a sostenere le piccole e medie imprese in alcuni settori ritenuti fondamentali l'E-business, l'accesso on-line e le competenze informatiche per citare alcuni settori. I dati costituiscono oggi uno dei beni più preziosi che possiede un’azienda e fanno parte quindi del suo patrimonio. Non bisogna dimenticare, però, che l’utilizzo dei dati deve sempre avvenire nel rispetto dei diritti della persona e quindi in modo conforme alla normativa: è necessario quindi che vengano correttamente raccolti e correttamente trattati.
Una buona policy privacy aziendale ed il rispetto delle norme crea valore per l’azienda facendo guadagnare all’azienda la fiducia dei clienti e del pubblico ed aumentando la sua immagine di affidabilità e modernità. Il patrimonio informativo di un’azienda quindi, nell’era digitale e dell’informazione, è quindi un valore che deve essere tutelato e con il quale si può promuovere la capacità di un’azienda di diventare maggiormente competitiva. Rispetto della legge e competitività, quindi…

Anticipiamo qualche adempimento di cui possiamo parlare …
Gli adempimenti in materia di privacy sono veramente numerosi ed articolati ed è difficile  in questa sede darne un’esposizione esaustiva. Sinteticamente possiamo assumere alcuni aspetti più importanti.
Innanzitutto l’azienda sapere individuare le figure che si occupano di trattamento di dati personali.
Innanzitutto c’è il titolare del trattamento che che esercita il potere decisionale sulle finalità e sulle modalità del trattamento. Il titolare del trattamento può nominare il responsabile del trattamento che è scelto tra quei  soggetti, all’interno dell’azienda o eventualmente all’esterno, di comprovata esperienza e capacità anche in materia di privacy.
Infine ci sono gli  incaricati del trattamento che sono le persone fisiche che effettuano materialmente le operazioni di trattamento dei dati personali; operano sotto la diretta autorità del titolare o del responsabile secondo precise istruzioni che hanno ricevuto.
E’ importante ricordare che le nomine a responsabile ed incaricato del trattamento devono risultare per iscritto e devono essere dettagliate le modalità e limiti del trattamento dei dati.
Il trattamento dei dati poi deve  essere lecito e per essere lecito deve essere effettuato sulla base del consenso ricevuto dall’interessato, vale a dire dal proprietario di questi dati; tranne in alcuni casi espressamente disciplinati dal codice il consenso che deve essere "documentato" in forma scritta e e se il trattamento riguarda dati "sensibili", non è sufficiente la mera documentazione in forma scritta ma l’interessato, quindi il Cliente, l’utente il fornitore, il dipendente per esempio, deve espressamente rilasciare il consenso per iscritto. All’interessato poi deve essere data la informativa privacy – cioé quel documento che ci viene spesso chiesto di firmare negli gli uffici o quando visitiamo un sito internet, facendo un acquisto o richiedendo un servizio, vale a dire un documento con il quale deve essere spiegato agli interessati, i propri clienti i dipendenti o i fornitori,  quali sono le caratteristiche essenziali dei trattamenti, tutte quelle informazioni insomma che non sto ad elencare ma che sono dettagliatamente previste  nell’art. 13 del codice della privacy.

Sugli adempimenti c’è ancora qualcosa da aggiungere …
Si ci sarebbe molto da aggiungere.
Forse un aspetto importante che vale la pena ricordare è anche l’obbligo di osservare le misure minime di sicurezza. Si tratta di accorgimenti che l’azienda, il titolare di ogni trattamento deve adottare per garantire, ad esempio, che i dati non vadano distrutti o persi, che solo le persone autorizzate vi possano accedere e che comunque non siano in genere effettuati trattamenti illeciti. Il codice, con i suoi allegati, stabilisce peraltro delle specifiche misure che devono essere ad esempio l’adozione di  codici identificativi, l’obbligo di accedere al computer con una password,  cambiarla ogni 3 mesi o 6 mesi a seconda che si tratti di dati sensibili o comuni, l’utilizzo di programmi antivirus, e molte altre prescrizioni stabilite direttamente dal codice.
Invito comunque gli ascoltatori che su questo argomento, che è molto vasto, volessero effettuare degli approfondimenti a consultare il sito del garante della privacy. Sul sito è disponibile un’ampia documentazione e alcune guide su temi di specifico interesse o settore, ad esempio sulla videosorveglianza, sul cloud ed altre tematiche che sono di particolare importanza ed attualità per le imprese e per tutti i titolari del trattamento.

Si è parlato di obblighi, è probabile che ci siano anche sanzioni...
Questa è una nota dolente. Il Codice privacy in materia di protezione dei dati personali prevede alcune sanzioni per il caso in cui il trattamento venga effettuato in violazione delle norme dettate del Codice stesso.
Ci sono sanzioni di natura amministrativa e sanzioni do natura penale.
Tra le sanzioni principali di natura amministrativa in cui si può incorrere ricordiamo:
• l'omessa o inidonea informativa data all’interessato;
• l’illecita  cessione dei dati;
l’illecito trattamento dei dati;
• la mancata adozione delle misure minime di sicurezza;
Si tratta di sanzioni piuttosto severe. Per parlare dell’omessa o inidonea informativa, che è una sanzione in cui spesso l’azienda o il titolare può incorrere, ad esempio è prevista una sanzione pecuniaria del pagamento di una somma tra seimila e trentaseimila euro che, nei casi di minore gravità, può essere diminuita a 2/5 ma resta comunque una sanzioni di rilevante importo.
Per alcune condotte che sono più gravi è prevista anche una sanzione penale. Si tratta ad esempio del caso in cui i dati siano in modo illecito e il trattamento sia effettuato per trarre profitto o recare danni ad altre persone, se da questo fatto dovesse derivare un nocumento. Anche la mancata adozione delle misure minime di sicurezza è previsto come illecito penale oltre che, come abbiamo visto priva, come illecito amministrativo;

Nel 2018 ci sarà una grossa novità di cosa si tratta? Cosa dobbiamo aspettarci, come possiamo prepararci?
Nel 2018 dopo circa 4 anni di dibattito nell'UE, è stato approvato il nuovo Regolamento europeo sulla protezione dei dati che è statto pubblicato in Gazzetta Ufficiale lo scorso 4 maggio che diventerà definitivamente applicabile in tutti gli Stati dell’unione il 25 maggio 2018.
Tra le novità, ma sono novità che possono essere anche  opportunità per le aziende, più significative che seguiranno all’entrata in vigore del regolamento possiamo ricordare:
La previsione di un diritto alla portabilità dei dati, cioè il diritto a “riprendersi” i propri dati da un’azienda per trasferirli ad un’altra azienda (un po’ come avviene con i numeri di telefono degli operatori di telefonia mobile);
Il diritto all’oblio, cioè il diritto ad ottenere che i propri dati dopo un certo periodo sia cancellati dai motori di ricerca o dai siti web;
Una maggiore protezione per i minori;
In generale un unico insieme di norme valide per tutta la U.E. quale che sia lo Stato in cui l’azienda operi, quindi una certa uniformità di trattamento tra tutti gli operatori all’interno delle Ue.
Un’altra nota, saranno previste sanzioni più elevate di quelle attuali, che potranno arrivare, per le grandi aziende, ad esempio per i colossi che gestiscono big data, addirittura al 4% del fatturato mondiale annuo.  Immaginate colossi che hanno fatturati di miliardi di euro, le sanzioni possono essere veramente rilevanti.

Per concludere cosa possiamo ancora aggiungere.
In Italia la privacy è vista, almeno questo è quello che talvolta  percepisco, ancora come una burocrazia inutile. Altre nazioni dell'area UE invece fanno un business con la gestione dei dati attraverso l'e-commerce.
Ad esempio Francia, Germania, e Regno Unito nel 2015 hanno prodotto, rispettivamente, circa 60 mld, 70 mld, e 120 mld di euro di fatturato.
In Italia ben 15 milioni di italiani fanno acquisti in Internet ma solo il 4% delle imprese vende i propri prodotti e servizi online e  nel 2015 il fatturato per vendita on line delle imprese italiane di circa 16 miliardi di euro, quindi circa ¼ del fatturato dei maggiori sati europei. Questo significa che gli italiani acquistano soprattutto su siti web esteri. Le aziende italiane quindi, questo è il mio consiglio, devono colmare il gap digitale che è stato accumulato in questi ultimi anni e devono affermarsi nell’uso delle tecnologie e lo devono fare nel rispetto delle regole, per non rischiare sanzioni o  richieste di risarcimenti danni da parte degli utenti ma anche per guadagnarne in termini di efficienza organizzativa, tecnologica e reputazione aziendale.

0 commenti:

 

© ImpresaVda Template by Netbe siti web