Privacy per le imprese: non basta l’informativa al trattamento dei dati personali

di Avv. Andrea Michinelli

Nella realtà delle attività d’impresa, quasi tutti sanno che si dovrebbe essere in regola con la privacy, o meglio con il trattamento dei dati personali ai sensi del D.Lgs. 196/2003 (di seguito Codice dei Dati Personali – “CDP”). E molti pensano sia sufficiente redigere e fornire l’informativa al trattamento agli interessati, come richiesto dall’art. 13 CDP, acquisendo il consenso se necessario. Tuttavia tale fondamentale adempimento non esaurisce affatto gli obblighi di legge: rischi piuttosto pesanti si presentano in caso di “falle” negli adempimenti.

Se quanto sotto può sembrare, a una prima lettura, eccessivo per le PMI e professionisti, in realtà risponde a esigenze di tutela garantite a favore di tutti nei confronti di tutti. E può “costare” parecchio, un domani, quanto a sanzioni ragionando sul piano prettamente economico, ben più elevate dei costi necessari per mettersi in regola. Basta una segnalazione al Garante da parte di un ex-dipendente vendicativo o di un concorrente per aprire una pratica, oppure un’ispezione della Guardia di Finanza, con un esito sanzionatorio certo se non si è rispettata la normativa. E se venisse comminata anche la sanzione accessoria della pubblicazione del provvedimento sanzionatorio del Garante (art. 165 CDP), a spese dei contravventori, si avrebbe anche un effetto negativo verso la propria reputazione d’impresa.

Facciamo degli esempi: un’impresa invia comunicazioni pubblicitarie via e-mail a vari professionisti, promuovendo le proprie attività, avendo fornito l’informativa ai destinatari già suoi clienti, in passato. Però l’informativa resa riguardava solo i servizi richiesti a suo tempo, i clienti non avevano dato l’assenso specifico per comunicazioni commerciali ulteriori e relative a servizi non richiesti, diversi da quelli passati. Si tratta di mancanza di consenso e informativa specifica al trattamento per fini di marketing, punita sia con sanzione penale (ex art. 167 CDP) della reclusione che con sanzione amministrativa (ingiunta dal Garante Privacy), con somme a partire da 10.000 euro.

Un’altra azienda, invece, subisce un attacco informatico: alcuni hacker riescono a entrare nel sistema dell’azienda, scarsamente difeso, e diffondono nel web i dati personali lì custoditi e afferenti a numerosi interessati (cioè i titolari dei dati personali). Dalle indagini successive, a seguito del ricorso al Garante della Privacy da parte degli interessati, si scopre che il titolare del trattamento (l’azienda) non aveva adottato le misure minime di sicurezza per la protezione dei dati, prescritte all’art. 33 CDP. La sanzione amministrativa all’azienda? Ben 10.000 euro come minimo, fino ad un massimo di 120.000 euro, comminati dal Garante (senza nemmeno passare dall’autorità giudiziaria, si badi) ex art. 162 c. 2-bis CDP. La sanzione penale che va a sommarsi? Ex art. 169 CDP c’è l’arresto fino a 2 anni, in sede di giudizio penale.

Oppure ancora: un’azienda di servizi tratta dati sanitari di pazienti che crede di rendere anonimi con procedure informatiche, invece tali dati risultano facilmente ricostruibili con banali accorgimenti, così da permettere la facile identificazione dell’interessato. Uno dei pazienti-interessati si accorge della realtà e segnala/reclama al Garante Privacy la violazione. Il quale accerta che si è configurato il trattamento di dati personali sensibili senza provvedere alla dovuta notificazione al Garante del trattamento (imposta ex art. 37 CDP), oltre che per omessa informativa, ecc. Bene, limitandoci alla sanzione amministrativa per l’omessa notificazione, l’azienda dovrà pagare non meno di 20.000 euro, fino a un massimale di 120.000 euro. Oltretutto, in caso di molteplici violazioni del CDP si potrà applicare l’art. 164bis che comporta, nei casi più gravi, il raddoppio delle sanzioni, oppure un aumento fino al quadruplo se sono inefficaci rispetto alle condizioni economiche del contravventore; o ancora la sanzione da 50.000 euro a 300.000 euro in caso di violazioni plurime verso banche dati di particolare rilevanza o dimensioni.

Esempi di adempimenti spesso disattesi e che comportano conseguenze gravi, sia sotto il profilo di ciò che accade ai dati personali che delle responsabilità. Come visto, essere in regola con l’informativa al trattamento non copre gli altri obblighi di legge. È così difficile mettersi in regola? Basterebbe leggere con attenzione il CDP, anzitutto, per capire che:

  1. in ogni caso, il titolare al trattamento dei dati personali deve sempre adottare delle misure minime di sicurezza al trattamento dei dati, elencate in Allegato B) (cd. “Disciplinare tecnico”) al CDP;
  2. bisogna effettuare tutti gli adempimenti imposti chiaramente per legge, senza tralasciare la scansione dei vari passaggi o rimandare adempimenti dovuti per legge nel momento in cui si effettuano o prima: ad es. effettuare le notificazioni al Garante del trattamento di dati sensibili prima del loro trattamento; richiedere una verifica preliminare al Garante circa il trattamento di dati con rischi specifici (art. 17 CDP); in caso di videosorveglianza, installare l’impianto solo quando si siano acquisite le autorizzazioni necessarie e mai prima, ecc.;
  3. bisogna aggiornarsi sui provvedimenti del Garante della Privacy, autorità che può imporre (tramite linee guida, delibere, ecc.) una serie di adempimenti ulteriori rispetto a quanto previsto dal testo del CDP (in forza dei compiti spettanti al Garante ex art. 154 c. 1 lett. c CDP); come minimo dunque si dovrebbe consultare periodicamente il sito Internet del Garante della Privacy, leggere la relativa newsletter  e avvalersi di consulenti specializzati; in particolare, ci si può avvalere spesso delle semplificazioni indicate nei provvedimenti del Garante, tra cui le Autorizzazioni Generali del Garante per i trattamenti di dati sensibili e giudiziari, annualmente aggiornate, che però vanno correttamente interpretate e applicate; una corretta applicazione risparmia i tempi e i costi di notificazioni e interpelli preventivi al Garante, magari inutili;
  4. si deve implementare una efficace procedura di accesso/opposizione da parte degli interessati ai dati personali, come garantito ex artt. 7-10 CDP; il che significa predisporre perlomeno un indirizzo e-mail ove destinare specificamente le richieste in merito, che andrà monitorato e gestito da chi sappia se e come replicare alle richieste (ad es. il responsabile interno del trattamento), fornendo celermente i dati richiesti nella misura necessaria e non oltre;
  5. si devono adottare i codici di deontologia e buona condotta, verificati dal Garante e pubblicati in Gazzetta Ufficiale, se applicabili al proprio settore; mano a mano sono ricompresi nell’Allegato A) CDP, aggiornato dal Garante;
  6. si devono effettuare verifiche periodiche e, perché no, audit esterni: il miglior sistema predisposto che venga abbandonato a sé stesso o non riceva un controllo periodico esterno ed imparziale, facilmente diventerà obsoleto e inutile.

Di quanto detto, concentriamoci  brevemente sulle misure di sicurezza, molto spesso oggetto di equivoci. Oltre che di trascuratezza nella loro implementazione, se non addirittura mai adottate…

Come già detto, le misure di sicurezza minime dell’art. 33 CDP ed elencate nell’Allegato B) CDP non sono misure facoltative: sono obbligatorie per tutti i trattamenti di dati personali, indipendentemente dalla complessità e durata dei trattamenti. Mirano a prevenire i rischi connessi agli obblighi di sicurezza (distruzione, perdita, accesso non autorizzato ai dati) e oggi paiono facilmente implementabili da chiunque abbia un minimo di competenze informatiche (es. effettuazione di back-up informatici, scansioni con software anti-virus, aggiornamento e verifica password informatiche, cifratura di contenuti, ecc.).

Non vanno confuse con le misure di sicurezza idonee, prescritte invece dall’art. 31 CDP, una categoria ben più ampia: oltre alle misure minime, comprendono anche tutte le altre che siano – allo stato del progresso tecnico – adeguate a evitare i rischi suddetti, secondo il caso concreto. Quindi si potrebbero avere delle situazioni di trattamento dei dati che rendono ad es. necessario utilizzare il cambiamento di password o l’aggiornamento degli antivirus a cadenza più frequente rispetto ai 6 mesi prescritti dall’Allegato B) CDP (misura minima di sicurezza, peraltro piuttosto discutibile, visto lo stato attuale delle debolezze informatiche, in cui nuovi virus maligni vengono sfornati quasi quotidianamente e si scoprono continuamente falle in protocolli di sicurezza e server di largo utilizzo).

L’adozione delle misure di sicurezza si lega poi alla nomina degli incaricati al trattamento (per non parlare del responsabile del trattamento, figura però facoltativa e che qui tralasciamo) e degli amministratori di sistema (qualità particolare di incaricato, assente dal CDP ma integrata normativamente tramite Delibera 27/11/2008 del Garante). Alla luce di un adeguato mansionario che tracci un intellegibile schema dei trattamenti in essere, saranno necessari incarichi scritti dei soggetti indicati, ove inserire – di prassi, in allegato o tramite un richiamo ad altri documenti, ad es. affissi in bacheca aziendale – il comportamento da adottare nel trattamento dei dati (procedure, cautele, quali misure di sicurezza adottare e come, ecc. – v. art. 30 CDP). Tutto qui?

Non basta: quanto detto è quasi privo di valore se manca la formazione di incaricati, amministratori di sistema nonchè (eventuali) responsabili al trattamento: difatti nessuna misura di sicurezza è del tutto automatica, nessun procedura, per quanto precisa e curata, può adempiersi correttamente nell’ignoranza di quanto si sta facendo. Bisogna assicurarsi che chi tratta i dati sappia: come funziona la misura di sicurezza (es. procedura di back-up) e quindi cosa stia facendo, cosa non debba assolutamente fare, quali accorgimenti deve adottare in varie situazioni, a chi rivolgersi per dubbi e operazioni straordinarie, ecc. Proprio la formazione si rivela uno degli aspetti più disattesi a livello aziendale, quando invece si tratta di una misura di sicurezza non più minima (era infatti prevista espressamente solo in relazione al Documento Programmatico sulla Sicurezza, oggi abrogato) ma certamente idonea in tutti i trattamenti, soprattutto se comportano l’adozione di tecnologie informatiche e flussi consistenti, continuativi di dati personali. Mancare un aspetto tanto rilevante può comportare di certo negligenza e colpa grave, come minimo, con relative responsabilità per la loro mancata adozione. Il che rileva anche civilmente, quanto al risarcimento dei danni, visto che il trattamento dati personali è ricondotto per legge alla responsabilità per cose pericolose a mente dell’art. 2050 c.c.: ci si può liberare solo provando di aver adottato tutte le misure idonee a evitare il danno.

Armandosi di buona volontà e paziente organizzazione, anche gli adempimenti privacy visti sopra potranno diventare “normale routine” d’impresa, al pari di quanto avviene oggi in altri Paesi d’Europa.