I “dati” rappresentano spesso uno dei beni più preziosi posseduti da un’impresa,

sia essa di grandi o piccole dimensioni. Possono essere di tipo commerciale,

rappresentare il portafoglio degli attuali clienti o di quelli futuri, raccontare l’organizzazione interna.

Le potenzialità economiche dei dati sono direttamente proporzionali alla liceità

del loro trattamento, raccogliendoli e trattandoli nel rispetto della privacy. È bene,

tra l’altro, che la leadership di un’azienda sia ben consapevole della differenza esistente tra i vari tipi di dati.

Alcuni infatti possono essere utilizzati senza particolari problemi, altri necessitano di apposite garanzie e protezioni.

o identificabile, anche indirettamente (mediante riferimento a qualsiasi altra informazione), incluso l’eventuale

numero di identificazione personale.

Dati personali sono, ad esempio, un indirizzo e-mail o l’immagine fotografica di una persona, il codice fiscale o

un numero telefonico, un indirizzo IP o una targa automobilistica.

Non sono più considerati come dati personali, e quindi, almeno in linea generale,non sono più tutelati dalla

normativa sulla privacy, i dati riferibili alle persone giuridiche, ovvero a imprese, enti e associazioni.

l’origine razziale ed etnica di una persona, le sue convinzioni religiose, filosofiche o di altro genere.

Lo sono anche quelli che indicano l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere

religioso, filosofico, politico o sindacale. Oppure i dati idonei a rivelare lo stato di salute e la vita sessuale.

In un’azienda la ripartizione dei compiti e delle responsabilità è definita con

chiarezza. La struttura organizzativa può essere complessa, ma è opportuno che

emerga “chi fa cosa” e con quali scadenze.

Il Codice della privacy evidenzia questa necessità e impone di definire bene quali

figure hanno la possibilità di trattare dati personali.

del tutto autonomo, sulle finalità e sulle modalità del trattamento. Può essere

sia una persona fisica (l’imprenditore individuale) sia una persona giuridica (ad

esempio, una società a responsabilità limitata) che tratta i dati (con la raccolta, la

registrazione, la comunicazione degli stessi o la loro diffusione).

Il titolare del trattamento, se lo ritiene utile in base all’organizzazione aziendale,

tenuto a vigilare sulla puntuale osservanza delle istruzioni impartite loro.

i compiti affidati. Occorre comunque scegliere persone fisiche od organismi

forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia

di trattamento dei dati, compreso il profilo relativo alla sicurezza.

Sono molti i casi in cui l’azienda, per scelta o per necessità, fa svolgere parte

delle attività e del conseguente trattamento dei dati a soggetti esterni. Proprio

in questi casi, a seconda del tipo di contratto che definisce tale rapporto, può

essere necessario che l’azienda nomini il soggetto esterno quale responsabile del

trattamento (ad esempio quando si utilizzano servizi informatici in outsourcing

oppure quando ci si avvale dei servizi offerti da un call center o da un altro tipo di fornitori).

di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o

del responsabile se è stato nominato) secondo precise istruzioni.

Per poter svolgere queste operazioni in maniera lecita, è necessario che il

individuando puntualmente l’ambito di trattamento consentito.

Al fine di semplificare questo adempimento è però sufficiente documentare

l’inserimento di un soggetto in una determinata unità organizzativa (ad esempio

l’ufficio del personale), a condizione che risulti, per iscritto, quale sia l’ambito di

trattamento dei dati consentito agli addetti di tale unità.

Un’impresa che tratti dati personali deve spiegare agli interessati (ad esempio

caratteristiche essenziali dei trattamenti effettuati: dove sono stati presi i dati, le

finalità e le modalità del trattamento, se i dati debbano o possano essere forniti, i

soggetti o le eventuali categorie ai quali i dati personali possono essere comunicati

o che possono venirne a conoscenza, nonché il nome di almeno un responsabile

del trattamento, qualora designato.

L’informativa deve essere per quanto possibile sintetica e comprensibile.

Occorre informare la persona interessata prima di cominciare a utilizzare i suoi

ha la possibilità di un contatto diretto o telefonico, o interagendo con l’interessato

anche mediante il sito web aziendale.

Proprio per permettere che questo importante compito non diventi un costo per

le imprese, il Garante ha consentito e suggerito forme semplificate di informativa.

Ad esempio, ferme restando le specifiche norme di tutela previste dallo

che indichino le finalità della ripresa.

Per avvisare che un veicolo aziendale è sottoposto a geolocalizzazione si può,

ad esempio, fornire una prima informativa semplificata applicando un apposito

adesivo (vetrofania) ai vetri della vettura.

In casi particolari, il singolo imprenditore o la stessa associazione di categoria

possono rivolgersi al Garante per chiedere un esonero o per definire ulteriori

procedure semplificate nel caso in cui, ad esempio, si debba contattare un numero

molto elevato di persone difficilmente raggiungibili.

L’impresa, dopo aver informato l’interessato, deve in genere chiedergli il consenso

per utilizzare i suoi dati personali (si parla infatti di consenso “informato”).

Tale consenso, affinché il trattamento dati svolto possa considerarsi legittimo,

deve essere liberamente espresso e documentato per iscritto (se è stato espresso

a voce, ad esempio, si può tenere traccia da chi, dove e quando sia stato ottenuto il consenso).

È anche necessario differenziare il consenso richiesto in base allo specifico tipo

di trattamento che si vuole effettuare, eventualmente spiegando alla persona

interessata, ad esempio un cliente, quali benefici può avere offrendo il suo assenso

al trattamento dei dati.

A tal proposito, l’utilizzo dei dati personali per finalità di marketing non può

essere reso di fatto obbligatorio, condizionando ad esempio l’accesso ai contenuti

informativi di un sito web al rilascio del consenso a trattare i dati per finalità

diverse, quali la profilazione e il marketing.

Prima di utilizzarli è infatti necessario verificare se gli interessati abbiano dato il

proprio consenso (magari con verifiche a campione sui dati acquistati) al tipo di

trattamento dati che si vuole svolgere, come quello per l’invio di offerte commerciali.

L’azienda dovrà poi ricordarsi di fornire l’informativa alle persone interessate già

al momento della registrazione o del primo utilizzo dei loro dati.

Il Codice della privacy e le ulteriori semplificazioni introdotte dal Garante prevedono

casi in cui non è richiesto il consenso delle persone interessate, siano esse clienti o

dipendenti, fornitori o semplici utenti, affinché l’impresa possa trattare i loro dati personali.

Il consenso non è necessario quando i dati vengono trattati per adempiere, prima

avviene per i dati necessari per la concessione di un mutuo.

Il consenso non occorre neppure per il trattamento dei dati necessari per

prodotto o servizio. Riguardo a quest’ultimo punto, le società non devono, ad

esempio, chiedere ai “clienti” il consenso per l’uso dei loro dati quando rilasciano

carte di fedeltà (come quelle dei supermercati o dei benzinai) al solo fine di offrire

sconti, premi, bonus, servizi accessori, facilitazioni di pagamento.

In questo caso, infatti, il trattamento di dati è necessario per eseguire gli obblighi

derivanti dal contratto di fidelizzazione sottoscritto. È invece richiesto uno specifico

consenso per usare gli stessi dati per altri fini come la profilazione, lo studio dei

comportamenti e delle scelte d’acquisto, il marketing in generale.

I consumatori hanno il diritto di non dare il consenso all’uso dei dati per tali scopi,

senza per questo dover rinunciare alla tessera di fidelizzazione.

Le imprese sono invece esonerate dall’obbligo di acquisizione del consenso per

le attività promozionali e di marketing rivolte ai propri clienti effettuate tramite la

posta elettronica o la posta cartacea.

In particolare, una società non deve richiedere il consenso per inviare comunicazioni

promozionali che riguardino prodotti e servizi alla persona che ha già acquistato,

Naturalmente il cliente deve essere adeguatamente informato anche riguardo

alla possibilità di opporsi in qualunque momento all’uso dei propri dati, in

maniera agevole e gratuita, anche a voce o con l’invio di una e-mail, ottenendo un

tempestivo riscontro dall’impresa che confermi l’interruzione delle comunicazioni commerciali.

e industriale, compiute dall’interessato (ad esempio i dati relativi allo stato di

insolvenza o alla correttezza commerciale di una impresa individuale).

Non è necessario il consenso degli interessati neppure per utilizzare i dati

Il fatto che un dato sia conoscibile da chiunque non significa, però, che possa

essere utilizzato per qualunque attività.

In particolare, va rispettato il vincolo di finalità è cioè che i dati disponibili al

pubblico possono essere utilizzati solo se il trattamento svolto (come l’invio di

comunicazioni informative) risulta strettamente attinente alla specifica attività

svolta dall’interessato e che è posta alla base della pubblicazione di quei medesimi dati.

Ad esempio, i dati del Pubblico Registro Automobilistico si possono usare senza

consenso per finalità attinenti la sicurezza stradale (ad esempio per ricordare

l’obbligo di revisione periodica dell’autoveicolo) ma non per l’invio di pubblicità.

E’ inoltre previsto che non sia richiesto il consenso per alcune attività svolte

all’interno di gruppi di imprese come nel caso in cui sia necessario comunicare

i dati per finalità meramente amministrativo-contabili. Infine, non è necessario

ottenere il consenso dell’interessato quando il trattamento dei dati è necessario

ai fini dello svolgimento di investigazioni difensive o comunque per far valere un

diritto in sede giudiziaria.

persona interessata e l’autorizzazione del Garante.

Anche in questo caso, per agevolare la normale attività imprenditoriale, l’Autorità

di trattamento, al fine di definire le regole per gli utilizzi più comuni ed evitare la

richiesta di autorizzazioni ad hoc.

Ne rappresenta un esempio l’autorizzazione generale per il trattamento dei dati

sensibili o giudiziari nell’ambito del rapporto di lavoro o per il trattamento effettuato

da liberi professionisti o da organismi di tipo associativo o dalle fondazioni.

In specifici casi, al fine di facilitare l’uso dei dati, non è previsto neppure il consenso

dell’interessato, come per l’adempimento degli specifici obblighi e compiti previsti

Anche nel processo di selezione del personale vi è un’attività di trattamento di dati

Il rispetto della privacy, però, non pone limiti all’incontro della domanda di lavoro

con la disponibilità dei posti offerti dalle imprese. A tal proposito, in base alle

disposizioni del Codice della privacy, è superfluo richiedere al candidato il consenso

al trattamento dei dati personali contenuti nel curriculum, per finalità di selezione

del personale, a meno che non abbiano natura sensibile (come l’appartenenza a

categorie protette) o non siano destinati alla comunicazione a terzi.

L’impresa che avvia una selezione del personale deve però fornire al candidato,

dei dati personali. Sono presenti inoltre norme che agevolano le procedure che

l’impresa deve adottare quando è l’interessato stesso a far pervenire di sua

iniziativa il curriculum (autocandidatura).

In questo specifico caso, l’azienda che riceve i curriculum inviati spontaneamente

non ha l’obbligo di offrire l’informativa o di chiedere al candidato il consenso

per il trattamento dei dati personali (inclusi quelli sensibili) contenuti nella documentazione pervenuta.

Solo nel momento in cui l’azienda decida di prendere in considerazione il

curriculum e di contattare il candidato, dovrà fornire all’interessato, anche a voce,

una informativa breve con l’indicazione delle finalità e modalità del trattamento

dei dati, i soggetti o le categorie di soggetti ai quali i dati personali possono

essere comunicati, e l’ambito di diffusione dei dati medesimi, nonché gli estremi

identificativi del titolare e di almeno un responsabile, se designato Trattamenti

L’imprenditore deve valutare con attenzione quali strumenti adottare al fine

esigenze organizzative e produttive, per consentire, ad esempio, di intervenire

immediatamente nel caso in cui si verifichino situazioni di rischio (come negli

ambienti dove si effettuano lavorazioni pericolose).

Ma se tale raccolta di immagini può consentire anche il controllo a distanza e la

verifica dell’attività dei lavoratori, occorre tenere in considerazione non solo le

norme previste dal Codice della privacy, ma anche quelle indicate nello Statuto dei lavoratori.

che, al fine di migliorare le prestazioni della rete internet aziendale, potrebbero

però consentire il monitoraggio della navigazione o della posta elettronica dei dipendenti.

Occorre definire bene anche l’utilizzo di tecnologie che consentono la precisa

localizzazione del lavoratore come, ad esempio, il Gps dell’autoveicolo o dello

documento di riconoscimento. Ciò non significa che non si possa ricorrere alla

geolocalizzazione, ma che devono essere valutate tutte le circostanze del caso e la

proporzionalità del suo utilizzo.

I dati raccolti da un’impresa rappresentano un asset fondamentale per il suo

successo sul mercato. Questa necessità aziendale si trasforma in un obbligo di

legge quando ad essere raccolti, conservati o trattati in qualunque modalità sono dati personali.

da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati

stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

nonché definire le regole a cui devono sottostare le persone che hanno la “chiave” per accedervi e per trattarli.

Se invece sono in formato digitale, come quelli trattati attraverso computer, tablet

o smartphone, è necessario applicare misure più complesse e adeguate al tipo di rischio.

Il Codice prevede che per il trattamento dei dati è necessario che i titolari adottino

identificativi personalizzati, password sicure), l’adozione di un apposito sistema

di autorizzazione che consenta attività predefinite, l’utilizzo di strumenti (come

leggibili in caso di accessi illeciti.

È parimenti importante, per la sicurezza dell’azienda e per la protezione dei

elenchi le misure adottate.

Le imprese potranno comunque trarre beneficio da un monitoraggio frequente

della propria privacy policy e delle misure adottate per proteggere i dati,

mantenendo così sotto controllo la situazione.

A volte, in base alla complessità tecnologica dell’azienda e al livello di rischio a cui

si è sottoposti, l’adozione delle misure minime di sicurezza potrebbe risultare non sufficiente.

L’imprenditore (il titolare e i responsabili del trattamento), nel caso in cui a seguito

e dovrà essere in grado di dimostrare di aver adottato tutte le misure idonee atte

a ridurre i rischi connessi al non corretto utilizzo dei dati.

Particolare attenzione deve essere prestata alla modalità con cui si adottano

eventuali opportunità di efficienza e risparmio non si trasformino in un rischio per

la sicurezza dei dati dell’impresa.

All’interno delle grandi imprese, in genere, esiste una figura particolare che si

Considerato che può avere accesso ai dati più riservati di un’azienda, il Garante ha

prescritto che anche il suo operato sia trasparente e posto sotto il controllo del titolare del trattamento.

Occorre innanzitutto valutare con attenzione l’esperienza, la capacità, e l’affidabilità

delle persone chiamate a ricoprire tale ruolo, conservando poi elenco con i loro

tremi identificativi e con l’indicazione delle funzioni ad essi attribuite.

Devono essere utilizzati sistemi di controllo (presenti in tutti i moderni sistemi

operativi oggi in uso) che consentano la tracciabilità degli accessi effettuati dagli

amministratori di sistema agli archivi elettronici e ai sistemi di elaborazione, e la

registrazione dei relativi dati per un tempo non inferiore ai sei.

Il titolare del trattamento dovrà poi provvedere a una verifica, con cadenza almeno

annuale, sulla rispondenza dell’operato degli amministratori di sistema alle misure

organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.

normativa comunitaria prevede infatti che i dati personali possono circolare liberamente entro l’Unione europea.

Per trasferire dati al di fuori dell’Unione europea devono invece essere garantiti

standard di protezione adeguati a quelli europei: in caso contrario è vietato trasferire dati personali.

Per semplificare l’attività di ricognizione dell’imprenditore che ha necessità di

trasferire i dati, il Garante pubblica sul proprio sito internet un elenco aggiornato

degli Stati “terzi”(cioè non appartenenti all’Unione europea o allo Spazio Economico

Europeo) che sono già ritenuti affidabili a livello europeo e per i quali non è

necessario alcun “passaporto” per l’esportazione.

Se il paese scelto non è in questa lista, l’eventuale trasferimento dei dati può essere

consentito sulla base di altre garanzie adeguate.

Nel caso di imprese multinazionali, quindi operanti in più Paesi anche su diversi

continenti, che devono trasferire dati “infragruppo”, cioè all’interno della propria

complessa struttura societaria (ad esempio tra imprese collegate o controllate,

comunque facenti parte del gruppo), si può verificare se sono state adottate

essere autorizzate dalle autorità europee di protezione dati, attraverso una

specifica procedura che coinvolge anche il Garante italiano.

In tutti gli altri casi, valgono le eccezioni al divieto di trasferire dati in Paesi terzi: è

consentito, ad esempio, il trasferimento se vi è l’apposito consenso dell’interessato

(consenso scritto nel caso in cui si tratti di dati sensibili), oppure quando il

trasferimento risulta necessario per l’esecuzione di obblighi derivanti da un

contratto del quale è parte l’interessato o per adempiere, prima della conclusione

del contratto, a specifiche richieste dell’interessato.

Le richieste di informazione in merito al trattamento effettuato con i dati personali

devono essere gestite adeguatamente.

dipendente, cliente o utente) specifici diritti come quello di conoscere quali siano

i dati che lo riguardano in possesso dell’impresa e per quale motivo siano stati raccolti e come siano elaborati.

Si può richiedere l’estrapolazione e la messa a disposizione in modo intelligibile dei

dati personali, il loro aggiornamento, la rettifica o l’integrazione. In caso di violazione

di legge, si può anche esigere il blocco, la cancellazione o la trasformazione in

forma anonima di queste informazioni.

sempre, ma solo fin quando è necessario per lo scopo per il quale i dati sono stati raccolti.

Qualora non sia indicato per legge un preciso termine di conservazione, occorre

comunque prevederlo. Una risposta puntuale e completa da parte della società

è sempre un indicatore positivo di efficienza e trasparenza, oltre ad evitare un

intervento del Garante da cui possano derivare provvedimenti anche sanzionatori

per il mancato rispetto dei diritti dell’interessato.

Le imprese dovrebbero reagire con prontezza ogni volta che si verifichino

In questi casi, al di là delle conseguenze in termini di responsabilità civile e penale,

è opportuno avvisare gli interessati del problema riscontrato, anche per consentire

loro di adottare misure che limitino i possibili pregiudizi alla persona (ad esempio,

furto di identità o il danno alla reputazione).

Per garantire maggiori tutele ai consumatori, una disposizione europea, ora

adottata anche in Italia, impone alle società telefoniche e ai fornitori di servizi

di accesso a Internet un vero e proprio obbligo di comunicare al Garante della

privacy, e in certi casi anche agli utenti stessi, eventuali gravi “violazioni di dati

comportare perdita, distruzione o diffusione indebita di dati.

In caso di attacchi informatici o di eventi avversi, quali incendi o altre calamità,

l’impresa avrà così non solo l’obbligo ma anche l’opportunità di dimostrare la

propria efficienza e capacità di reazione.