Approfondimenti Utili - La Privacy Europea

Vai ai contenuti
Argomenti
Registrare di nascosto quello che dice una persona è reato?
La registrazione di conversazione tra presenti, compiuta di propria iniziativa da uno degli interlocutori, anche come spettatore, non richiede l’autorizzazione del giudice e può essere usata in processo.
La registrazione di una conversazione all’insaputa dei presenti, fatta con lo smartphone o con qualsiasi altro strumento, non è solo lecita, ma non richiede neanche la previa autorizzazione da parte di un giudice o dalla polizia: si tratta, infatti, di un’attività che non lede la privacy dei presenti e può essere fatta in piena autonomia da chiunque partecipi alla conversazione attivamente o come terzo spettatore. Lo ha chiarito la Cassazione con una sentenza di due giorni fa [1].
L’interpretazione ormai costantemente sposata dalla giurisprudenza, in linea con quanto affermato in passato dalle Sezioni Unite della Suprema Corte, è di ritenere che chiunque sia presente a una conversazione intrattenuta da terzi (anche solo in funzione di spettatore) possa registrare le voci dei partecipanti all’insaputa di questi. Chi parla innanzi ad altre persone, infatti, accetta il rischio di essere registrato e, quindi, non può lamentare alcuna lesione dei propri diritti.

Registrare la conversazione tra presenti è lecito
La Cassazione ricorda che le registrazioni di conversazioni tra presenti, compiute di propria iniziativa da uno degli interlocutori, non necessitano dell’autorizzazione del giudice per le indagini preliminari, in quanto non rientrano nel concetto di intercettazione ambientali in senso tecnico. A differenza delle intercettazioni – che sono quelle indagini, tipicamente effettuate, con “cimici” e microspie, da parte dellapolizia giudiziaria, previa autorizzazione del giudice, al fine di accertare i presupposti di un reato – la registrazione spontanea fatta invece da uno dei presenti alla conversazione è una forma di autotutela da parte di quest’ultimo, necessaria a procurarsi la documentazione da esibire in causa, innanzi al giudice. L’ingresso di detta documentazione in processo non è soggetto alle limitazioni e formalità tipiche invece per le intercettazioni[2].
Al riguardo le Sezioni Unite hanno evidenziato che la registrazione di un colloquio ad opera di una della persona che vi partecipi attivamente oppure che sia, comunque, ammessa ad assistervi, non lede il diritto alla riservatezza e segretezza della comunicazione, il cui contenuto viene legittimamente appreso soltanto da chi palesemente vi partecipa o vi assiste.
Pertanto, il file con la registrazione audio non è altro che una documentazione del colloquio, che può costituire una prova da utilizzare nel processo penale: una prova che, in caso contrario, non potrebbe mai essere raggiunta e può rappresentare una forma di autotutela e garanzia per la propria difesa. Si pensi ad esempio al reato di estorsione: la prova del crimine, in quanto spesso consumato alla presenza della sola vittima o di poche altre persone, può, in questo modo, essere raggiunta e portata sul banco del giudice.
Anche in pregresse sentenze, la Corte di Cassazione ha rammentato che sia in caso di una conversazione che di una telefonata, non è possibile invocare neppure la violazione delle disposizioni contenute nel Testo Unico Privacy.
Diversa è l’ipotesi di registrazione di conversazione eseguita da un privato su indicazione della polizia giudiziaria ed avvalendosi di strumenti predisposti da quest’ultima. In tali casi siamo in presenza delle cosiddette intercettazioni ambientali che necessitano, per il rispetto della privacy dei presenti, della previa autorizzazione del giudice per le indagini preliminari.

SENTENZA
Corte di Cassazione, sez. II Penale, sentenza 2 marzo – 10 giugno 2016, n. 24288
Presidente Gentile – Relatore Verga
Motivi della decisione
Con sentenza in data 16 gennaio 2014 la Corte d’appello di Palermo, in parziale riforma della sentenza del locale Tribunale che in data 24 giugno 2010 aveva condannato S.C. per concorso in estorsione in danno di P.E., dichiarava la nullità della sentenza limitatamente alla condotta posta in essere dall’imputata nel luglio 2008 disponendo che dei presente provvedimento fosse data notizia al Pubblico Ministero in sede per le sue determinazioni, confermava nel resto la sentenza impugnata.
In sede di appello la S. aveva eccepita la nullità della sentenza per avere il primo giudice pronunciato condanna anche in relazione all’episodio estorsivo commesso nel luglio 2008 nonostante nel capo di imputazione fossero contestati soli fatti di estorsione commessi nel mese di agosto e settembre del 2008.
Ricorre per cassazione imputata deducendo che la sentenza impugnata è incorsa in:
1. violazione di legge in relazione all’articolo 522 codice procedura penale in relazione all’articolo 604 comma uno codice di procedura penale. Rileva la ricorrente che la sentenza impugnata ha dichiarato la nullità della sentenza di primo grado
limitatamente alla condotta posta in essere nel luglio 2008 disponendo che dei provvedimento fosse data notizia al PM in sede per le sue determinazioni e confermando le statuizione inerenti la pena inflitta in primo grado. Secondo la ricorrente tale modus operandi si palesa illegittimo per violazione dell’articolo 522 codice di procedura penale. Ritiene non condivisibile l’affermazione secondo la quale il capo di imputazione eliminato costituirebbe un’ipotesi di reato concorrente, costituendo al più un altro fatto di reato consumato nel luglio 2008, fatto ben diverso rispetto a quello delle presunte estorsioni poste in essere in agosto e settembre 2008. Si tratterebbe perciò non di reato concorrente, ma di altro fatto di reato che secondo la disposizione dell’articolo 604 comma uno codice procedura penale dovrebbe comportare la nullità dell’intera sentenza. Gli atti andavano trasmessi non al pubblico ministero, ma al giudice di primo grado. Si sarebbe così anche evitato di legittimare il giudice di secondo grado ad erogare una sanzione che non è di sua competenza.
2. violazione di legge in relazione alle dichiarazioni rese dalla persona offesa all’udienza dei 7 maggio 2009. Contesta il giudizio di credibilità della parte offesa rilevando che la sentenza di secondo grado ha fatto proprie le argomentazioni della sentenza di primogrado che però aveva ritenuto le dichiarazioni della parte offesa imprecise, disordinate cronologicamente e non aveva escluso che nella vicenda si potessero ravvisare profili di risentimento personale. Evidenzia che l’episodio dell’agosto 2008, si fonda esclusivamente sulle dichiarazioni della parte offesa;
3. violazione di legge in relazione all’articolo 271 codice di procedura penale in riferimento all’utilizzo della registrazione fonografica di un colloquio svoltosi tra presenti ad opera della parte offesa su sollecitazione dei carabinieri che, in quel contesto procedettero all’arresto della donna. Lamenta la mancanza di provvedimento autoritativo e sostiene che la dedotta inutilizzabilità coinvolge i risultati captativi che riscontrerebbero le dichiarazioni della persona offesa
4. violazione di legge in relazione alla determinazione dei trattamento sanzionatorio. Lamenta la mancata riduzione della pena per effetto delle concesse attenuanti generiche nel massimo consentito.
II primo motivo di ricorso è manifestamente infondato. Correttamente i giudici di appello hanno applicato il terzo comma dell’art. 604 c.p.p. nell’accogliere l’eccezione di nullità della sentenza sollevata dal ricorrente con i motivi di gravame per avere il primo giudice pronunciato condanna anche in relazione all’episodioestorsivo commesso nel luglio 2008, nonostante nel capo di imputazione fossero contestati solo fatti di estorsione commessi nel mese di agosto e settembre del 2008. Del tutto irrilevante è la dedotta questione se trattasi di reato concorrente o fatto nuovo considerato che il terzo comma dell’art. 604 c.p.p. prevede che ” quando vi è stata condanna per un reato concorrente o per un fatto nuovo, il giudice di appello dichiara nullo il relativo capo della sentenza ed elimina la pena corrispondente, disponendo che del provvedimento sia data notizia al pubblico ministero per le sue determinazioni”, decidendo sul resto .
La seconda doglianza è formulata in modo assolutamente generico. Sono manifestamente insussistenti, del resto, i vizi di motivazione pur genericamente denunciati, perché la Corte territoriale ha compiutamente esaminato le doglianze difensive ed ha dato conto del proprio convincimento sulla base di tutti gli elementi a sua disposizione, esaurientemente argomentando circa la pronuncia di responsabilità. Nell’esame operato dai giudici del merito le acquisizioni probatorie risultano interpretate nel pieno rispetto dei canoni legali di valutazione e risultano applicate con esattezza le regole della logica nella valutazione dell’attendibilità della persona offesa le cui dichiarazioni risultano confermate da ulteriori risultanzeprobatorie (pag. 3 sentenza impugnata)
Il terzo motivo di ricorso è infondato.
Deve premettersi che la giurisprudenza di questa Corte è costante nel ritenere che le registrazioni di conversazioni tra presenti, compiute di propria iniziativa da uno degli interlocutori, non necessitano dell’autorizzazione del giudice per le indagini preliminari, ai sensi dell’art. 267 c.p.p., in quanto non rientrano nel concetto di intercettazione in senso tecnico, ma si risolvono in una particolare forma di documentazione, che non è sottoposta alle limitazioni ed alle formalità proprie delle intercettazioni.
Al riguardo le Sezioni Unite hanno evidenziato che, in caso di registrazione di un colloquio ad opera di una delle persone che vi partecipi attivamente o che sia comunque ammessa ad assistervi, difettano la compromissione del diritto alla segretezza della comunicazione, il cui contenuto viene legittimamente appreso soltanto da chi palesemente vi partecipa o vi assiste, e la “terzietà” del captante. L’acquisizione al processo della registrazione dei colloquio può legittimamente avvenire attraverso il meccanismo di cui all’art. 234 c.p.p., comma 1, che qualifica documento tutto ciò che rappresenta fatti, persone o cose mediante la fotografia, la cinematografia, la fonografia o qualsiasi altro mezzo; il nastro contenente laregistrazione non è altro che la documentazione fonografica dei colloquio, la quale può integrare quella prova che diversamente potrebbe non essere raggiunta e può rappresentare (si pensi alla vittima di un’estorsione) una forma di autotutela e garanzia per la propria difesa, con l’effetto che una simile pratica finisce col ricevere una legittimazione costituzionale” (Cass. Sez. Un. 28-5-2003 n. 36747).
Diversa è l’ipotesi di registrazione eseguita da un privato, su indicazione della polizia giudiziaria ed avvalendosi dì strumenti da questa predisposti.
Dette registrazioni secondo la giurisprudenza di questa Corte ( N. 23742 del 2010 Rv. 247384, N. 42939 dei 2012 Rv. 253819 N. 7035 del 2014 Rv. 258551), alla quale il collegio aderisce, essendo effettuate col pieno consenso di uno dei partecipi alla conversazione, implicano un minor grado di intrusione nella sfera privata; sicché, ai fini della tutela dell’art. 15 Cost., è sufficiente un livello di garanzia minore, rappresentato da un provvedimento motivato dell’autorità giudiziaria, che può essere costituito anche da un decreto del pubblico ministero. Tale provvedimento, infatti, rappresenta il “livello minimo di garanzie” richiamato in varie pronunce della Corte Costituzionale (sentenze n. 81 del 1993 e n. 281 del 1998) e al quale la giurisprudenza dilegittimità ha fatto riferimento, in mancanza di una specifica normativa, sia in materia di acquisizione dei tabulati contenenti i dati identificativi delle comunicazioni telefoniche (Sez. Un. 23-2-2000 n. 6), sia in tema di videoriprese eseguite in luoghi non riconducibili al concetto di domicilio, ma meritevoli di tutela ai sensi dell’art. 2 Cost., per la riservatezza delle attività che vi si compiono (Cass. Sez. Un. 28-3-2006 n. 26795).
Nel caso di specie,come indicato nella sentenza impugnata e non disatteso in fatto dal ricorrente che si limita a ventilare la verosimiglianza di un accordo con le forse dell’ordine, la registrazione è stata effettuata dal P., su sua iniziativa e senza l’ausilio di strumentazione fornita dalla polizia giudiziaria, correttamente pertanto l’acquisizione al processo della registrazione del colloquio è avvenuta attraverso il meccanismo di cui all’art. 234 c.p.p., comma 1.
Fondata è la doglianza in punto pena considerato che non è stato calcolata correttamente la diminuzione della pena per la concessione delle circostanze attenuanti generiche indicata nella massima misura consentita, ma erroneamente conteggiata in misura superiore . La sentenza va pertanto annullata senza rinvio limitatamente alla misura della pena che deve essere rideterminata in anni 3 e mesi 10 di reti. ed € 380,00 dimulta.
P.Q.M.
Annulla senza rinvio la sentenza impugnata limitatamente alla misura della pena che ridetermina in anni 3 mesi 10 di reti. ed €. 380,00 di multa; rigetta nel resto il ricorso.
chiudi
[1] Cass. sent. n. 24288/2016 del 10.06.2016.
[2] L’acquisizione al processo della registrazione del colloquio può avvenire in modo più che legittimo attraverso il meccanismo di cui all’art. 234 co. 1, cod. proc. pen. La disposizione in parola, infatti, qualifica come documento tutto ciò che rappresenta fatti, persone o cose mediante la fotografia, la cinematografia, la fonografia o qualsiasi altro mezzo.
Autore immagine: 123rf com

Consulente Privacy: a chi affidarsi?
Il Consulente della Privacy: professionista certificato a cui affidarsi per non incappare in grattacapi "pericolosi"
Sabato 04 Giugno 2011 00:00 Nicola Bernardi
Malgrado il trattamento dei dati personali fosse stato classificato come "attività pericolosa" dal Codice della Privacy (rif. art. 15 del Dlgs 196/2003), sin dall'inizio molte aziende hanno preferito cercare soluzioni "low-cost", assegnando le incombenze della redazione del dps e dell'adozione delle misure di sicurezza a un consulente improvvisato, oppure a un dipendente volenteroso, ma spesso non dovutamente qualificato. Eppure le multe previste per le violazioni erano da capogiro.
E tuttora, nonostante le sanzioni per le violazioni della privacy trovino un coefficiente altissimo in proporzione alle ispezioni , (nel 2010 il Garante Privacy ha  comminato 424 procedimenti sanzionatori su 474 attività ispettive condotte), navigando in internet si trovano ancora promesse di adeguare la propria azienda con Dps online al costo di pochi spiccioli come se si trattasse di un problema da poter liquidare stampando un mucchio di fogli. E le multe sono solo una delle problematiche richiamate dalla protezione dei dati personali: ad esempio, dipendenti licenziati che se la svignano con veri e propri tesori di dati aziendali, altri che si vendicano per fare dispetto all'ex datore di lavoro, sono ormai all'ordine del giorno.
Ma l'azienda deve anche confrontarsi con un mondo che ha cambiato gli scenari tradizionali. Basti pensare alla videosorveglianza, i furti d’identità, lo spionaggio industriale, e altre nuove preoccupazioni tipiche della nostra epoca tecnologica.
L'evidenza dei fatti, obbliga quindi tanto l'imprenditore quanto la pubblica amministrazione a porsi domande delicate:
- il consulente a cui sto valutando di affidare la gestione degli adeguamenti privacy e la salvaguardia dei miei dati aziendali, possiede realmente le credenziali per adempiere a questo incarico?
- dato che svolgerà per la mia impresa un'attività "pericolosa" dalla quale scaturisce quindi una responsabilità civile che potrebbe obbligare a risarcire un danno, o a prendere una multa che potrebbe arrivare a 300.000 euro o anche oltre, se il consulente commetterà un errore, potrà garantire patrimonialmente o mediante una polizza assicurativa?
- questo consulente è iscritto a un albo professionale o gode di qualche riconoscimento ufficiale?
- sono proprio certo che l'attività del consulente privacy per la mia azienda si esaurisca annualmente alla scadenza del 31 marzo per la redazione del documento programmatico?
Consapevole di tutto ciò, e occupandosi da tempo di queste tematiche non di poco peso, Federprivacy ha portato avanti un percorso che potesse fornire idonee garanzie a tutte le parti chiamate ad occuparsi della gestione della privacy e della security aziendale, che ha visto i suoi risultati più importanti in una polizza ad hoc per i rischi nei quali incorrono i consulenti privacy nello svolgimento delle loro attività, e soprattutto realizzando la certificazione della figura professionale del Consulente della Privacy secondo i parametri della Norma Europea Iso 17024:2008, e attraverso una procedura verificata che culmina con gli esami a cui si deve sottoporre il candidato per ottenere il riconoscimento. 
Gli strumenti adesso disponibili ai consulenti che curano gli adempimenti privacy, sono quindi misurabili in modo perentorio per l'imprenditore che deve prendere decisioni che potranno influire sulla gestione aziendale, e l'orizzonte si fa decisamente più chiaro rispetto al passato recente, premiando i professionisti diligenti che fanno della protezione dei dati la loro attività principale in modo diligente e credibile. D'altra parte, continuare a cercare le soluzioni più economiche per questioni di importanza così rilevante illudendosi di "essere già in regola" , potrebbe portare a un brusco risveglio alla realtà nel caso in cui arrivi una sanzione a 4 o 5 zeri, o più semplicemente qualcuno più furbo  di noi penetri fraudolentemente nelle falle presenti nei propri sistemi di gestione dei dati, o approfitti di un pretesto di una nostra mancanza per chiederci un risarcimento. E in quel caso sarebbero solo rimpianti.
Videosorveglianza e Normative: principali adempimenti e le sanzioni previste
Fonte: blog.setik.biz
La normativa riguardante i sistemi di videosorveglianza è contenuta nel “Provvedimento in materia di videosorveglianza“, emanato in data 8 Aprile 2010 dal Garante della Privacy. Il nuovo Provvedimento Generale sostituisce quello emanato nel 2004, in virtù dell’aumento massiccio dell’utilizzo di tali sistemi da parte di soggetti pubblici e privati. Le immagini riprese avvalendosi di impianti di videosorveglianza rientrano nella categoria dei dati personali; chi fa uso di questi sistemi, deve pertanto attenersi al “Codice in Materia dei Dati Personali“, nel quale sono altre sì riportate le eventuali sanzioni a carico dei trasgressori.
Il primo principio è che chiunque installi un sistema di videosorveglianza debba provvedere a segnalarne la presenza, facendo sì che qualunque soggetto acceda all’area interessata dalle riprese sia avvisato della presenza di telecamere già prima di entrare nel loro raggio di azione.
La segnalazione deve essere effettuata tramite appositi cartelli, collocati a ridosso dell’area interessata, ed in modo tale che risultino chiaramente visibili. Nel caso in cui i sistemi siano attivi durante le ore notturne, i cartelli devono essere opportunamente illuminati. Essi devono inoltre contenere un simbolo o un’immagine stilizzata di semplice comprensione che rimandi all’uso di telecamere, il nominativo dei soggetti che hanno accesso alle strumentazioni e alla visualizzazione delle immagini riprese, ed un riferimento all’informativa completa (ovvero all’Art. 13 del “Codice in Materia dei Dati Personali”).
Le riprese effettuate per fini di sicurezza e tutela dell’ordine pubblico, con particolare riferimento alla prevenzione di reati o atti di vandalismo e alla sicurezza sul lavoro, costituiscono un’eccezione, e non necessitano dell’obbligo di segnalazione.
Normalmente, per installare un sistema di videosorveglianza, non è necessario l’assenso da parte del Garante della privacy; fanno però eccezione tutti i casi in cui sussiste il rischio di ledere i diritti e le libertà fondamentali o la dignità degli individui ripresi.
Necessitano ad esempio di verifica preliminare i sistemi che fanno uso di tecnologie in grado di rilevare dati biometrici, di individuare determinati eventi o comportamenti anomali, o di riconoscere automaticamente una persona sulla base delle immagini riprese.
Allo stesso modo non è prevista, di norma, la notifica al Garante. Essa va effettuata solo nei casi elencati nell’Art. 37 del “Codice in Materia dei Dati Personali” che si applicano alla videosorveglianza, ovvero quelli in cui si rilevano dati biometrici degli individui ripresi o la loro localizzazione geografica.
La conservazione delle immagini deve avere una durata prestabilita e non eccedente le 24 ore; in situazioni particolari, nelle quali sussiste un elevato fattore di rischio (ad esempio banche), la durata massima si estende ad una settimana; se si necessita di una conservazione dei dati più lunga sarà invece necessaria la verifica preliminare del Garante.
Come previsto dal “Codice in Materia dei Dati Personali”, il titolare ha l’obbligo di prendere le misure di sicurezza minime onde evitare la distruzione, la perdita, l’accesso abusivo alle immagini, nonché il loro utilizzo per scopi incoerenti con le finalità previste. In particolare, nel caso di videosorveglianza, il Garante prescrive che il titolare si preoccupi di controllare l’attività svolta dal personale che ha accesso ai dati acquisiti, per impedirne la duplicazione o distruzione.
È inoltre obbligatorio predisporre la cancellazione delle registrazioni effettuate, anche con sistemi automatici, entro il termine del periodo di conservazione. Nel caso in cui gli impianti fossero collegati a sistemi informatici, o prevedessero il trasferimento dei dati in modalità wireless, è necessario proteggere le connessioni servendosi delle comuni tecniche di crittografia, per impedire l’accesso da parte di soggetti non autorizzati.
Il “Codice in Materia dei Dati Personali” prevede, in caso di inosservanza della normativa, il blocco dell’attività di ripresa e l’inutilizzabilità dei dati raccolti, oltre alle sanzioni amministrative e penali, trattate negli articoli 161 e successivi, che possono essere aumentate in misura fino a quattro volte maggiore a seconda delle possibilità economiche del contravventore.
In particolare, la sanzione prevista per l’omissione del cartello informativo va da 6.000€ a 36.000€ (Art.161). L’omessa o errata notificazione al Garante, laddove prevista, comporta una sanzione tra i 20.000€ ed i 120.000€ (Art. 163). La cessione illecita dei dati raccolti è punita con una sanzione da 10.000€ a 60.000€ (Art. 162).
I danni (anche non patrimoniali) causati dall’inosservanza delle norme sono punibili con la reclusione da 6 a 24 mesi, e devono comunque essere risarciti (Art. 167).
La dichiarazione di falsità al Garante, anche in fase di accertamenti, è invece punita con la reclusione da 6 mesi a 3 anni (Art. 168).
Videosorveglianza: tempi stretti per adeguarsi
Scritto da Lo Staff di Federprivacy   Lunedì 18 Aprile 2011 13:16
Si avvicina la scadenza  per adeguare gli impianti di videosorveglianza già installati prima del 29 aprile 2010 alle prescrizioni del Garante della Privacy (Provvedimento 08.04.2010).Il termine scade infatti il 29 aprile 2011, entro quando si deve provvedere a rendere visibili anche di notte i cartelli con le informative e si deve dotare il sistema delle misure di sicurezza previste dal provvedimento generale del Garante.
 
Si tratta dell'ultima tappa di un percorso che ha visto scadere il 29 ottobre 2010 altri due adempimenti: la richiesta di verifica preliminare per i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali degli interessati; l'adeguamento dei sistemi integrati di videosorveglianza alle cautele specifiche previste dal provvedimento. Naturalmente le scadenze hanno riguardato e riguardano chi aveva un impianto di videosorveglianza già operativo alla data di entrata in vigore del nuovo provvedimento del Garante (29 aprile 2010). Chi deve installare un impianto nuovo, invece, deve realizzare tutti gli adempimenti prima di rendere operativo il sistema.
Ecco in rassegna tutti i passaggi da seguire per evitare sanzioni. Trattandosi di un sistema che realizza un trattamento inconsapevole di dati (per chi è ripreso), la normativa impone una informativa specifica tramite un cartello sintetico (per la videosorveglianza in luoghi aperti), possibilmente accompagnata da una informativa analitica (completa di tutti i contenuti previsti dall'articolo 13 del codice della privacy) messa a disposizione su internet, o comunque facilmente accessibile. Novità del provvedimento del 2010 è l'obbligo della visibilità del cartello anche in orario notturno. Il cartello deve essere collocato prima del raggio di azione della telecamera, anche se non a ridosso della macchina (per evitare atti vandalici).
Se, poi, sussistono particolari situazioni bisogna prima passare dal Garante e far validare il progetto con la richiesta di verifica preliminare. I casi previsti sono i seguenti: associazione dell'immagine a dati biometrici, possibilità di individuazione delle persone mediante associazione delle immagini a data base con altri dati (campionatura individui, altro), sistemi intelligenti (motion detection) tarati per attivarsi in caso di condotte anomale, superamento termini massimi di conservazione, sistemi con caratteristiche eccedenti rispetto agli standard riconosciuti dal provvedimento generale del garante e, comunque, in tutti i casi in cui si riscontrano esigenze di particolare esigenza di cautela dei diritti delle persone. Il Garante potrà rilasciare provvedimenti generali di verifica preliminare validi per categorie di trattamenti o di titolari di trattamento: chi si ritroverà nelle medesime condizioni sarà autorizzato dal provvedimento generale senza dovere inviare una richiesta specifica.
Si apre, poi, il capitolo sicurezza. Chi vuole fare videosorveglianza deve realizzare misure organizzative e tecniche per proteggere i dati raccolti da manipolazioni o accessi indebiti o semplicemente per evitarne la perdita accidentale.
Sotto il profilo organizzativo si segnalano la stesura di appositi incarichi di trattamento e la divisione dei compiti (distinguendo chi ha solo il potere di visionare le immagini da chi può intervenire sulle stesse) e la nomina di eventuali collaboratori esterni come responsabili del trattamento e ancora l'obbligo di contraddittorio in caso di interventi di manutenzione (il tecnico deve essere assistito da un incaricato abilitato alla visone delle immagini). Quanto agli aspetti tecnici si segnalano l'obbligo di dotarsi di programmi intrusione e di sistemi crittografici nel caso in cui si facciano viaggiare le immagini attraverso la rete pubblica. Anche in tal caso, il 29 aprile 2011 è il termine per mettersi in regola.
 
Fonte: Italia Oggi del 18/4/2011
Videosorveglianza dei lavoratori: valore probatorio delle registrazioni dell’impianto audiovisivo
Scritto da Valentina Frediani  Lunedì 11 Aprile 2011 08:14
Nella sentenza 2117/2011, la Corte di Cassazione, in merito al tema della videosorveglianza dei lavoratori, ha rilevato che “l’efficacia probatoria delle riproduzioni meccanografiche di cui all’art. 2712 cc è subordinata all’esclusiva volontà della parte contro la quale esse sono prodotte in giudizio, concretandosi nella non contestazione che i fatti, che tali riproduzioni tendono a provare siano realmente accaduti con le modalità risultanti alle medesime.
Il relativo disconoscimento – che fa perdere alle riproduzioni stesse la loro qualità di prova e che va distinto dal mancato riconoscimento, diretto o indiretto, il quale , invece non esclude che il giudice possa liberamente apprezzare le riproduzioni legittimamente acquisite – pur non essendo soggetto ai limiti e alle modalità di cui all’art. 214 cpc, deve tuttavia essere chiaro, circostanziato ed esplicito dovendo concretizzarsi nell´allegazione di elementi attestanti la non corrispondenza tra realtà fattuale e realtà riprodotta e deve avvenire nella prima udienza o nella prima risposta
successiva alla rituale acquisizione delle suddette riproduzioni” .
Per visualizzare la sentenza integrale, cliccare qui.
Decalogo dei giudici per chi usa Facebook in ufficio (e non rischiare di perdere il posto)
di Aldo Bottini 28 marzo 2011
Le interferenze tra social network e rapporto di lavoro sono sempre più frequenti. Alle aziende conviene perciò adeguare le proprie policy, dettando regole chiare per l'utilizzo di Facebook – che è il più diffuso – e degli altri social network. 
Un primo gruppo di questioni riguarda l'accesso durante l'orario e sul posto di lavoro. Si tratta di tempo impiegato in un'attività extralavorativa durante l'orario di lavoro e quindi sottratto alla prestazione contrattualmente dovuta al datore di lavoro. È stata coniata al riguardo l'espressione "assenteismo virtuale".
Siamo certamente nel campo dell'inadempimento, che potrà avere conseguenze disciplinari più o meno gravi a seconda della quantità di tempo sottratto al lavoro, della sistematicità del comportamento e delle concrete circostanze del caso. Quasi sempre, poi, gli accessi dal posto di lavoro avvengono utilizzando strumenti aziendali (pc, server e connessione internet), il che può porre problemi di sicurezza del sistema.
 
Alcuni datori di lavoro affrontano il problema "razionando" i tempi di accesso o limitandoli alla pausa pranzo; altri, rischiando l'impopolarità, lo risolvono bloccando a monte, con un intervento sul sistema, la possibilità di accedere a Facebook e agli altri social network. Si tratta in entrambi i casi di provvedimenti legittimi. Anzi, il blocco preventivo è considerato dal Garante della Privacy, nelle sue Linee Guida per posta elettronica e internet del 1° marzo 2007, preferibile all'effettuazione di controlli successivi, dai quali può derivare un trattamento di dati personali del lavoratore, anche sensibili.
Non va dimenticato, infatti, che i controlli sugli accessi a internet (e quindi anche a Facebook) dal posto di lavoro sono ben possibili, a condizione che il datore di lavoro si doti di una policy sull'utilizzo degli strumenti informatici che disciplini (anche) tempi e modalità dei controlli medesimi, meglio se "validata" da un accordo sindacale o da un'autorizzazione dell'Ispettorato del Lavoro.
Una seconda questione riguarda le possibili conseguenze per il lavoratore – fino al licenziamento – della diffusione di commenti negativi sul proprio datore di lavoro o di informazioni riservate sull'attività aziendale. Facebook, per i suoi stessi meccanismi, è un ambiente pubblico o quantomeno semi-pubblico. Quindi, per i commenti e le opinioni espresse dal lavoratore sul proprio datore di lavoro, si pone lo stesso problema di bilanciamento tra diritto di critica e dovere di fedeltà e riservatezza più volte affrontato dalla giurisprudenza con riferimento a dichiarazioni diffuse tramite giornali, televisioni e altri mezzi di manifestazione del pensiero. La Cassazione, al riguardo, ha più volte affermato che il diritto di critica del lavoratore è sottoposto a peculiari limiti in considerazione degli obblighi di collaborazione e fedeltà che gravano sul dipendente.
E così potranno essere disciplinarmente sanzionabili anche i commenti denigratori che possano recare danno all'impresa, tanto più se arbitrari e gratuiti, così come la diffusione di notizie e informazioni riservate. Naturalmente, spetterà al giudice valutare in concreto la gravità del fatto e, quindi, la proporzionalità della sanzione eventualmente irrogata dal datore di lavoro al dipendente, tenendo conto del contenuto delle dichiarazioni, dell'ambito di pubblicità e della finalità delle medesime, dell'intenzionalità della condotta.
Un'ultima questione riguarda l'abitudine, ormai piuttosto frequente, di utilizzare Facebook per attingere informazioni sui candidati all'assunzione. Questo comportamento viene sovente giustificato con il fatto che si tratta di informazioni personali che lo stesso soggetto sceglie di rendere in qualche modo pubbliche, quantomeno in ambiti particolari ("amici" o "amici degli amici"). Ma il problema è un altro.
L'articolo 8 dello Statuto dei Lavoratori, richiamato anche dal Codice della Privacy, vieta qualsiasi indagine, anche pre-assuntiva, non solo sulle opinioni del lavoratore, ma anche su qualsiasi fatto che non sia rilevante ai fini della valutazione dell'attitudine professionale. La ricerca di informazioni personali sul candidato tramite Facebook è quindi da considerarsi illecita, ma è anche pericolosa per chi la effettua, dal momento che la violazione dell'articolo 8 dello Statuto dei lavoratori è sanzionata penalmente.
Garante Privacy: gli operatori di telemarketing devono informare gli abbonati.
Scritto da Lo Staff di Federprivacy   Venerdì 11 Marzo 2011 00:00
Le società telefoniche dovranno informare i nuovi e i vecchi abbonati sulle nuove modalità da utilizzare per non ricevere telefonate pubblicitarie. Lo ha stabilito il Garante per la privacy con un provvedimento, in corso di pubblicazione sulla Gazzetta Ufficiale.
 
La nuova normativa sul telemarketing prevede, infatti, che gli abbonati che non desiderano ricevere telefonate promozionali debbano iscrivere la loro utenza telefonica nel Registro delle opposizioni, entrato in funzione il 1 febbraio scorso e gestito dalla Fondazione Bordoni.
E' dunque necessario che gli operatori informino gli utenti della nuova modalità da attivare per non essere disturbati. A tale scopo il Garante ha messo a punto i due modelli di informativa che le società dovranno utilizzare e nei quali vengono specificati i cinque modi per potersi iscrivere al Registro (per posta, tramite numero verde, via mail, via fax, direttamente sul sito web della Fondazione Bordoni.
Il primo modello riguarda i nuovi abbonati alla telefonia, fissa e mobile, e coloro che cambiano operatore richiedendo la cosiddetta "portabilità del numero". Il modulo dovrà essere fornito al momento della stipula del contratto, oltre che inserito nei siti web degli operatori telefonici. Consentirà‚ anche di decidere se comparire negli elenchi telefonici ed eventualmente con quali dati (ad. es. solo con il cognome e l'iniziale del nome).
Il secondo modello é relativo ai vecchi abbonati e dovrà essere inviato alla prima occasione utile di contatto (rendiconti, fatture, altre comunicazioni di servizio) oltre che essere inserito nei siti web degli operatori. Il modello dovrà specificare che l'abbonato ha sempre diritto di cancellarsi in ogni momento dagli elenchi telefonici.
Rispetto a quelli attuali, i prossimi elenchi telefonici dunque non recheranno piú il simbolo grafico della cornetta con il quale venivano individuati gli abbonati che avevano acconsentito a far utilizzare la loro utenza per chiamate commerciali. D'ora in poi, infatti, non dipenderà dal simbolo la possibilità per le aziende di usare i numeri telefonici per fare marketing telefonico, ma dalla iscrizione o meno delle utenze al Registro delle opposizioni.
Il mancato rispetto delle prescrizioni del Garante comporta sanzioni da un minimo di 30mila ad un massimo di 180mila euro, che potranno raggiungere, nei casi piú gravi, i 300mila euro.
 
Fonte: Comunicato Stampa Garante Privacy del 11.03.2011

Telemarketing: le regole del Garante Privacy per l'uso dei dati degli abbonati
Scritto da Lo Staff di Federprivacy   Venerdì 28 Gennaio 2011 00:00
In concomitanza con l'entrata in funzione del Registro pubblico delle opposizioni, introdotto dalla recente normativa che ha modificato le regole del telemarketing, il Garante privacy ha fissato (con un provvedimento pubblicato nella Gazzetta ufficiale di oggi) i limiti entro i quali gli operatori del settore potranno utilizzare i dati personali degli abbonati presenti negli elenchi telefonici per effettuare chiamate con operatore ai fini di invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali.
 
A partire da oggi, infatti, gli abbonati che non desiderano ricevere telefonate pubblicitarie dovranno iscriversi al Registro, gestito dalla Fondazione Ugo Bordoni. E proprio per assicurare che la volontà dei cittadini venga effettivamente rispettata, il Garante ha imposto alle imprese una serie di obblighi.
 
• Le società che operano nel settore del telemarketing non potranno più contattare i numeri degli abbonati che si sono iscritti nel Registro.
• Se un abbonato ha chiesto a una determinata azienda di non essere più disturbato, quell'azienda dovrà rispettare la sua volontà anche se l'abbonato non si è iscritto al Registro.
• La singola azienda che abbia invece ricevuto in passato il consenso dell'abbonato a ricevere telefonate promozionali, potrà contattarlo, anche se questi è iscritto nel Registro. Tale consenso, che dovrà essere documentabile per iscritto al Garante, potrà comunque essere ritirato in qualunque momento.
 
Con l'entrata in funzione del Registro viene meno anche la possibilità di utilizzare le numerazioni telefoniche contenute in banche dati comunque formate (comprese quelle costituite utilizzando i dati estratti dagli elenchi telefonici prima del 1° agosto 2005), senza aver prima acquisito un consenso ad hoc.
Per quanto riguarda le numerazioni presenti in pubblici registri, elenchi, atti o documenti conoscibili da chiunque (ad es. albi professionali) esse potranno essere utilizzate solo se le telefonate promozionali risultino direttamente funzionali all'attività svolta dall'interessato (sempre che questi non si sia opposto) o se il telemarketing sia previsto dalla normativa di riferimento.
L'avvio del Registro non modifica le regole finora usate  per la pubblicità  via posta o effettuata con strumenti diversi dal telefono (ad es. posta elettronica, telefax, messaggi del tipo Mms o Sms, chiamate automatizzate senza operatore) che prevedono sempre e comunque la richiesta di un consenso preventivo e informato dell'utente.
Il mancato rispetto delle prescrizioni dell'Autorità comporta l'applicazione di una sanzione da 30mila a 180mila euro, che potrà raggiungere, nei casi più gravi, i 300mila euro.
 
Fonte: Comunicato Garante del 31 gennaio 2011
Cosa dice la normativa italiana sull'utilizzo di dati biometrici? Quadro giuridico a cura dell'Avv.Luca Giacopuzzi
Scritto da Lo Staff di Federprivacy   Venerdì 11 Marzo 2011 00:00
Per dati biometrici, (dal greco bìos = "vita" e metros =  "misura"), si intendono quelle informazioni derivate dalla misurazione di variabili fisiologiche o comportamentali tipiche degli organismi, attraverso metodologie matematiche e statistiche. 
Le variabili più frequentemente prese in esame per quanto riguarda l’essere umano sono: le impronte digitali, la geometria della mano e del volto, la conformazione della retina o dell’iride, il timbro e tonalità di voce.
L’adozione di tecniche biometriche di identificazione, è in grado di  rendere sicuri ed univoci con estrema precisione gli accessi a luoghi ed informazioni, in sostituzione di sistemi tradizionali come nome utente/parola chiave, o di dispositivi elettronici o meccanici aventi funzione di chiave. Tuttavia, chiunque avesse intenzione di installare un sistema che utilizzi dati biometrici, deve preventivamente considerare cosa prescrive la normativa attuale in Italia, per questo, l'Avv. Luca Giacopuzzi, legale esperto di diritto delle nuove tecnologie, ha elaborato un apposito quadro giuridico a beneficio di tutti gli utenti del sito Federprivacy. 
 
Per quanto riguarda invece lo specifico utilizzo dei dati biometrici di lavoratori, se pure rientra tra le legittime facoltà del datore di lavoro sovrintendere all'esecuzione della prestazione lavorativa, (Art. 2094 Codice Civile) verificando le presenze dei dipendenti e il rispetto dell'orario di lavoro anche ai fini del calcolo della retribuzione, chi volesse utilizzare un sistema di rilevazione biometrica all’interno di una organizzazione aziendale, dovrebbe necessariamente tener conto di quanto prevede la normativa vigente in materia di trattamento dei dati personali, finora perentoria nel circoscriverne l’adozione  a limitati casi e a determinate condizioni.
Nella fattispecie, con il Provvedimento del 21 luglio 2005, l'Autorità Garante per la protezione dei dati personali ha vietato l'utilizzo di dati biometrici per la registrazione delle presenze dei dipendenti presso la sede di lavoro. Infatti, il Garante ha affermato che l’attività di rilevamento delle presenze può essere svolta in modo efficiente ed affidabile utilizzando strumenti di registrazione tradizionali, giudicando l’acquisizione di dati biometrici sproporzionata per la salvaguardia del diritto alla privacy dell'individuo, rispetto alle finalità gestionali dell'iniziativa, ammettendo eccezioni a questa regola, con precise limitazioni, solo nei casi in cui il diritto alla pubblica sicurezza prevalga sul diritto individuale alla privacy, come per finalità di controllo antiterroristico, o per il controllo degli accessi all'interno d'impianti produttivi operanti su materiale altamente pericoloso. Anche nei casi ove sussistano le circostanze per ritenere ammissibile l’utilizzo di dati biometrici per consentire l’accesso a particolari aree aziendali critiche, occorre sempre e comunque ottenere l’autorizzazione del Garante, attraverso una verifica preliminare del trattamento come prescritto dall’Art.7 del Dlgs 196/2003, che per compiutezza si riporta integralmente: 1 “Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonchè per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.”
Con il Bollettino del 23 novembre 2005, in un caso in cui è stato autorizzato l’utilizzo di impronte digitali per accedere ad un'area riservata specificamente individuata, adibita alla realizzazione di un particolare programma avionico di rilevanza nazionale ed internazionale nel settore della difesa, il Garante per la Privacy ha comunque ribadito che “l'uso generalizzato e incontrollato di dati biometrici dei lavoratori non è in linea di principio lecito, in particolare quando si tratta di impronte digitali le quali, per la loro particolare natura, impongono che siano prevenuti eventuali utilizzi impropri, nonché possibili abusi.” Fra le prescrizioni che l’Autorità ha fissato nel concedere l’autorizzazione, vi è l’imposizione di non creare un archivio centralizzato di impronte digitali o di template, utilizzando invece un meccanismo basato su un efficace sistema di verifica e di identificazione, improntato sulla lettura delle impronte digitali cifrate su uno strumento disponibile al lavoratore, ad esempio una smart-card o analogo dispositivo, sul quale devono risiedere le informazioni relative ai dai biometrici.
Alla luce del fermo orientamento dell’Autorità Garante in merito all’utilizzo di dati biometrici, vietato per la rilevazione delle presenze del personale, e ammesso per l’accesso a determinate aree critiche dell’azienda, ma sempre a determinate condizioni, eventuali declaratorie di conformità al Documento di Lavoro sulla Biometria Gruppo art. 29, Direttiva n. 95/46/CE, specificamente presenti su apparecchiature o software progettati per utilizzare dati biometrici, devono essere sempre recepite come mero requisito  preliminare, necessario per poter presentare istanza di autorizzazione al Garante per la Privacy, che deve essere adeguatamente motivata, e sostenuta da una descrizione analitica dalle modalità di rispetto delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di  gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”. (Deliberazione n.53 del 23 novembre 2006)
Garante Privacy: in caso di contenzioso l'azienda può conservare i file del dipendente ma non può accedervi tenendoli a disposizione del Giudice
Scritto da Lo Staff di Federprivacy   Martedì 01 Marzo 2011 12:01
Il diritto alla privacy dei lavoratori deve essere bilanciato con la possibilità per le imprese di tutelarsi nell’ambito di eventuali procedimenti penali. Lo ha chiarito il Garante della Privacy decidendo sul ricorso di un dipendente che chiedeva al suo ex datore di lavoro di cancellare alcune cartelle personali presenti nel computer portatile restituito dopo il licenziamento, opponendosi ad ogni ulteriore uso dei suoi dati contenuti nel pc.
Nelle cartelle personali erano infatti conservate e-mail, fotografie e altra documentazione di esclusiva valenza personale. Nel corso dell’istruttoria, la società ha però affermato che proprio in quel materiale potevano essere presenti prove della concorrenza sleale posta in essere dal dipendente insieme ad altri colleghi. L’azienda intendeva quindi mettere l’hard disk del computer, senza alterazione alcuna, a disposizione dell’autorità giudiziaria al fine di far valere i propri diritti.
 
Il Garante (con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti) non ha accolto la richiesta avanzata dall’interessato di far cancellare i dati, ma ha deciso di inibire alla società l’accesso alle cartelle private poiché il trattamento dei dati personali estranei all’attività lavorativa avrebbe violato i principi di pertinenza e non eccedenza previsti dal Codice della privacy. L’Autorità ha però riconosciuto il diritto dell’impresa di conservare i file del dipendente al fine di poterli eventualmente presentare come prova nell’ambito del contenzioso penale. L’acquisizione dei dati nel procedimento dovrà comunque avvenire su precisa disposizione del giudice.
Un utile promemoria redatto da un legale Super Esperto in materia!
Il codice privacy e il disciplinare tecnico – allegato B al codice privacy prescrive alcuni termini per il compimento degli adempimenti sia per i trattamenti con strumenti elettronici sia per quelli senza l’ausilio di strumenti elettronici.
Si riporta di seguito un prospetto con gli adempimenti da eseguire e le relative scadenze.
Adempimenti periodici ogni settimana:
   salvataggio dei dati le cui istruzioni organizzative e tecniche sono fornite annualmente (art. 18 all. B).
ogni 3 mesi:
   modifica della parola chiave (password), che deve essere di almeno 8 (otto) caratteri, nell’ipotesi di trattamento di dati sensibili e giudiziari (art. 5 all. B).
ogni 6 mesi:
   modifica della parola chiave (art. 5 all. B).
   disattivare le credenziali di autenticazione non utilizzate da almeno sei mesi (art. 7 all. B).
   aggiornamento degli strumenti elettronici – software antivirus (art. 16 all B).
   aggiornamento periodico dei programmi per elaboratore nei trattamenti di dati sensibili o giudiziari (art. 17 all. B).
ogni anno:
   verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione (art. 14 all. B).
   aggiornamento periodico dell’ambito del trattamento consentito ai singoli incaricati (art. 15 all. B).
   aggiornamento periodico dei programmi per elaboratore (art. 17 all. B).
   impartire istruzioni organizzative e tecniche per il salvataggio dei dati con frequenza almeno settimanale (art. 18 all. B).
   entro il 31 marzo, aggiornamento del D.P.S. (art. 19 all. B).
   entro il 31 marzo, previsione – da indicare nel D.P.S. – degli interventi formativi degli incaricati (art. 19.6 all. B).
   Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza (art. 26 all. B).
   aggiornamento periodico dell’ambito del trattamento consentito ai singoli incaricati, nei trattamenti senza l’ausilio di strumenti elettronici (art. 27 all. B).
 
Adempimenti non periodici
prima di procedere al trattamento dei dati personali:
   il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda i dati indicati all’art. 37 codice privacy (art. 37 codice privacy).
in caso di modifica delle modalità del trattamento dei dati:
   rendere nuova informativa aggiornata ed adeguata al trattamento secondo quanto indicato nell’art. 13 (art. 13 codice privacy).
al primo utilizzo:
   modifica della parola chiave da parte dell’incaricato (art. 5 all. B).
entro il 31 marzo:
   redazione del documento programmatico sulla sicurezza D.P.S. (art. 19 all. B).
tempo non superiore a 7 (sette) giorni:
   per garantire, mediante l’adozione di misure idonee, il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici (art. 23 all. B).
al momento in cui viene effettuato l’intervento:
redazione a cura dall’installatore di una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico, qualora il titolare adotti misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura (art. 25 all. B)
Quella che precede costituisce una lista esaustiva e sintetica delle scadenze di Legge. Ci sentiamo solo di aggiungere una considerazione. La Legge riporta e norma molti aspetti di Protezione dei Dati che dovrebbero essere già in atto nelle aziende perché i dai costituiscono il vero patrimonio aziendale, difficilmente sostituibile.
Le tempistiche indicate rappresentano le scadenze massime possibili per essere nei termini di legge, non certo quelle necessarie alla miglior protezione possibile. Indichiamo per una miglior comprensione quattro aree di attenzione:
1.     Salvataggio ogni settimana. È bene salvare i dati con una maggior frequenza ed in funzione del numero di aggiornamenti eseguiti per unità di tempo.
2.     Aggiornamento antivirus. Effettuarlo non appena disponibile, i virus possono essere altamente distruttivi.
3.     Aggiornamento dei programmi. In generale valgono le considerazioni del punto precedente. Quasi sempre gli aggiornamenti correggono malfunzionamenti che possono causare la perdita dei dati.
4.     Aggiornamento dei permessi concessi agli incaricati. Anche questo deve essere effettuato in tempo reale per interni ed esterni in modo da non lasciare falle nel sistema di autorizzazioni che lo inficerebbero seriamente.
Torna ai contenuti