Privacy per gli operatori della vigilanza privata by Guardie Particolari Giurate

LA PRIVACY

PER GLI OPERATORI DELLA VIGILANZA PRIVATA

E.Bi.N.Vi.P. ENTE BILATERALE NAZIONALE VIGILANZA PRIVATA

L’Ente Bilaterale Nazionale Vigilanza Privata è un organismo paritetico costituito nel 2002 su iniziativa delle Associazioni dei datori di lavoro e delle Organizzazioni Sindacali dei lavoratori: A.N.I.V.P.; ASSIV; ASSVIGILANZA; UNIV; AGCI Produzione e Servizi di Lavoro; Lega Coop Servizi; CONFCOOPERATIVE e FILCAMS - CGIL; FISASCAT - CISL; UILTuCS. L’Ente ha natura giuridica di associazione non riconosciuta, non persegue finalità di lucro ed ha tra i suoi obiettivi di incentivare e promuovere studi e ricerche nel settore della Vigilanza privata con riguardo alle analisi dei fabbisogni formativi, di promuovere iniziative in materia di formazione, qualificazione e riqualificazione professionale delle Guardie Giurate, anche in collaborazione con istituzioni nazionali ed europee. In aggiunta a tali funzioni, assume particolare rilevanza il rilascio della Certificazione liberatoria, strumento di attestazione di correttezza dello svolgimento dell’attività, recepito in specifica norma di legge dall’ordinamento vigente. Inoltre rilascia il parere di conformità per i contratti di apprendistato in rapporto alle norme previste dalla contrattazione collettiva in materia. Di specifica rilevanza assumono le iniziative editoriali riguardanti particolari argomenti dei comportamenti delle Guardie Giurate nell’esercizio delle proprie funzioni. Il presente vademecum intende fornire indicazioni pratiche agli operatori della vigilanza privata in materia di privacy.

Via Gaeta, 23 - 00185 Roma Tel. 06 4820303 - Fax 06 48976060 info@ebinvip.it - www.ebinvip.it

LA PRIVACY

PER GLI OPERATORI DELLA VIGILANZA PRIVATA

E.Bi.N.Vi.P. ENTE BILATERALE NAZIONALE VIGILANZA PRIVATA

CREDITS Il presente Vademecum è stato realizzato a cura dell’Avv.ssa Laura Agopyan, esperta in materia di Privacy. Alla Cabina di Regia che ha definito gli argomenti trattati e ne ha coordinato la redazione hanno partecipato: Parmenio Stroppa Luigi Gabriele Vincenzo Dell’Orefice Manlio Mazziotta Claudio Moro Giuseppe Simonazzi L’editing è stato curato da Paolo Proietti

I NDICE

Presentazione

pag.

1. Premessa

pag.

2. Impatto della normativa privacy sui servizi di vigilanza

pag.

3. Terminologia: guida per una comprensione pratica

pag.

4. Codice della Privacy

pag.

5. Sintesi funzionale e operativa

pag.

6. Regole e precauzioni da osservare nellâ&#x20AC;&#x2122;esecuzione dei servizi di vigilanza privata pag.

7. Le sanzioni in caso di mancato rispetto delle regole di condotta

pag.

PRESENTAZIONE Nell’ambito dell’attività istituzionale di informazione, formazione e divulgazione che costituisce cardine delle finalità della Bilateralità, proseguendo nell’attività iniziata con le precedenti pubblicazioni , diamo alle stampe questa ricerca sulla Privacy. L’argomento non è certo di poco conto, attesa l’intrinseca delicatezza e la novità dell’approccio con lo stesso per il nostro comparto. Peraltro, anche in conseguenza della accertata oggettiva necessità - per la attività degli operatori della Vigilanza privata (ed attività correlate ) - di confronto continuo con la trattazione di dati sensibili, abbiamo ritenuto necessario avviare lo studio e l’esame, nel merito e nel metodo, della materia, ritenendo di ricevere contributi per il perfezionamento di questo “strumento” ,che costituisce un primo approccio “indicativo” e non certamente esaustivo, aperto al necessario confronto con la base. Seguiranno pertanto incontri divulgativi sul territorio e con tutto il sistema di rappresentanza del comparto, tanto di parte sindacale quanto di parte datoriale, per affinare la conoscenza del problema e fornire utile strumento di lavoro ai nostri operatori. Nel ringraziare l’Autore e la Cabina di regia, affidiamo il lavoro al giudizio del nostro sistema associativo, sperando di aver fatto cosa utile. Il vice Presidente

Il Presidente

Luigi Gabriele

Parmenio Stroppa

1. PREMESSA Questo Vademecum Privacy è dedicato alle Guardie Giurate (di seguito anche “GG”) che lavorano per le imprese del comparto della sicurezza privata operanti nel nostro Paese. Scopo è di fornire uno strumento pratico ed agevole per far conoscere le disposizioni previste dalla normativa privacy maggiormente rilevanti per l’attività lavorativa prestata dalle GG, di modo da facilitare questa importante figura professionale ad acquisire un comportamento più consapevole nelle operazioni di trattamento compiute ogni giorno nell’adempimento dell’attività lavorativa. Chi si occupa di sicurezza sa bene, infatti, che uno dei principali strumenti necessari a tal fine, anche se spesso trascurato, è la formazione degli operatori, poiché si possono anche adottare i sistemi di protezione più sofisticati, ma se poi il personale non li sa gestire o, ancor più semplicemente, non rispetta le regole di comportamento previste dalla legge ed impartite dal datore di lavoro e, a volte, previste dal solo ‘buon senso’, o, più semplicemente, sbaglia ad applicarle, ebbene il sistema di sicurezza di quell’azienda sicuramente presenta una falla. Una buona formazione del personale in tema di protezione dei dati e delle informazioni trattate, oltre a rispondere ad un espresso obbligo di legge (regola 19.6 dell’Allegato B al Codice Privacy), rappresenta già un passo avanti per il sistema di sicurezza di un’impresa. Ciò vale in maggior misura per le imprese della vigilanza privata, le quali, ‘vendendo’ sicurezza anche attraverso un crescente

utilizzo di tecnologie, devono saper proteggere meglio di ogni altro i dati e le informazioni fornite, oltre ai beni ed ai valori affidati in custodia, e le Guardie Giurate non sono di certo esenti da questo importante compito, anzi! Esse, qualificate dopo la recente riforma del 2008 quali ‘Incaricati di pubblico servizio’, rivestono un ruolo importante nel contesto dei dati e delle informazioni complessivamente trattati dall’azienda. Difatti, il proprio diligente contributo anche per quel che concerne la sicurezza dei dati di cui vengono a conoscenza nello svolgimento delle proprie mansioni è sicuramente destinato ad accrescere la stessa qualità dei servizi di vigilanza offerti e, al contempo, la sicurezza complessiva dei dati trattati dall’impresa, oltre ad allontanare il pericolo di incorrere in eventuali sanzioni e responsabilità a carico della stessa GG. Certo è che per applicare una regola occorre prima conoscerla. In materia di tutela dei dati personali non è solo alla legge sulla privacy che occorre fare riferimento, ma anche alle altre leggi poste a tutela della sfera privata, quali quelle che tutelano il segreto aziendale, la proprietà industriale, lo Statuto dei Lavoratori, la fedeltà aziendale, etc.: va ricordato, infatti, che le norme sulla privacy forniscono una tutela della personalità che si aggiunge, rafforzandola, alle altre forme di tutela già presenti nell’ordinamento. Prima di passare in rassegna le principali nozioni, principi, sanzioni e regole previste in via generale sulla protezione dei dati personali che le GG, per la loro parte, sono chiamate ad applicare nel loro lavoro quotidiano, è necessario spiegare brevemente quale impatto sulla privacy possono avere i servizi di vigilanza privata.

2. IMPATTO DELLA NORMATIVA PRIVACY SUI SERVIZI DI VIGILANZA Qualsiasi servizio di vigilanza privata impatta sulla privacy nella misura in cui comporta, da parte di chi li svolge, il trattamento di dati personali di soggetti identificati o identificabili, siano essi persone fisiche (lavoratori, candidati all’assunzione, agenti, consulenti, cittadini) o giuridiche (fornitori, clienti), visto che la normativa italiana in materia di tutela dei dati personali, a differenza di quella di altri Paesi europei (come vedremo nel successivo capitolo 4), non si applica solo alle persone fisiche, ma anche a quelle giuridiche, nonché agli enti ed associazioni. Naturalmente, la rilevanza ai fini privacy di un servizio di vigilanza e, per l’effetto, di un trattamento di dati effettuato da una GG, è diversa a seconda del tipo di dato trattato e delle modalità con cui il trattamento è posto in essere. Un esempio chiarirà meglio. Un servizio di vigilanza reso per conto terzi attraverso l’utilizzo di tecnologie informatiche e/o telematiche (es. la videosorveglianza o l’utilizzo di radio-allarmi o di teleallarmi) aumenta il rischio del pericolo di fuga, di distruzione o perdita, anche accidentale, dei dati, nonché di accesso non autorizzato, rispetto ad un altro servizio di vigilanza reso senza l’uso di apparecchiature tecnologiche. Aggiungasi che lo stesso utilizzo della posta elettronica aziendale e la navigazione in Internet da parte delle GG, del resto, espone ai medesimi rischi, ed un loro uso distorto (estraneo all’attività lavorativa) e non conforme alle istruzioni impartite dal datore di lavoro, espon-

gono la GG al rischio di condotte illecite, quali, ad esempio, l’inoltro di messaggi di posta elettronica non sollecitati o di messaggi di natura oltraggiosa e/o discriminatoria, l’accesso a siti osceni o pornografici o di pedofili, lo scarico illecito di software o file musicali. Tra tutti i trattamenti effettuati da un’ Istituto di Vigilanza, questo Vademecum, come già accennato nella Premessa, si limita ad esaminare solo quelli che generalmente vengono effettuati da una particolare categoria di lavoratori della vigilanza privata, le Guardie Giurate. I dati maggiormente trattati dalle GG per le mansioni che comunemente questi lavoratori ricoprono, sono quelli dei clienti, nell’ambito dei quali sono compresi quelli anagrafici (ragione sociale, indirizzo, partita iva, codice fiscale, indirizzi email), quelli economici (importo del contratto, valore dei beni e dei titoli custoditi, trasportati ed oggetto della contazione) e, sempre più spesso, le ‘immagini’ raccolte presso il cliente attraverso apparecchiature di videosorveglianza, vista la crescita esponenziale, da parte del mercato, della domanda di servizi di videosorveglianza per conto terzi. Ebbene, dal momento che la tutela dei dati personali è un diritto fondamentale autonomo riconosciuto a tutti (art. 1 del Codice Privacy), individui – aziende – enti pubblici, da cui discende che tutti i dati trattati, nessuno escluso, devono rispettare le garanzie previste dalla legge, anche sulla GG gravano precisi obblighi e responsabilità quando compie operazioni di trattamento dei dati personali nell’esercizio delle proprie mansioni. Perciò anche questa importante categoria di lavoratori è chiamata, per la propria parte di competen-

za, a fare quanto necessario affinché i dati da esse trattati siano conformi alle prescrizioni di legge e non siano alterati, distrutti, anche involontariamente, o non siano utilizzati per scopi illeciti o diversi ed incompatibili con quelli originali per i quali sono stati raccolti dall’impresa. Del resto, tutelare al meglio i dati personali in tutto il loro ciclo di vita (dalla raccolta sino alla distruzione), non rappresenta solo un obbligo normativo, ma presenta un indubbio beneficio sotto il profilo del consolidamento del rapporto fiduciario tra l’Istituto di vigilanza ed il cliente, base per una duratura relazione commerciale, oltre a rinforzare l’immagine dell’Istituto stesso.

3. TERMINOLOGIA: GUIDA COMPRENSIONE PRATICA Affinché le GG possano comprendere e, quindi, applicare correttamente le prescrizioni contenute nella normativa privacy maggiormente rilevanti per l’attività lavorativa da esse svolta, occorre dapprima che ne conoscano la particolare terminologia. TRATTAMENTO DEI DATI PERSONALI:

qualunque operazione o complesso di

operazioni, effettuate anche senza mezzi elettronici o automatizzati, concernente la raccolta, registrazione, organizzazione, conservazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione dei dati, anche se non registrati in una banca di dati. DATO PERSONALE:

qualunque informazione relativa a persona fisica, giu-

ridica, ente o associazione identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale. DATI IDENTIFICATIVI:

dati personali che permettono l’identificazione di-

retta dell’interessato. Esempi: numero di matricola, partita iva/codice fiscale, indirizzo email, ragione sociale, nome e cognome, luogo e data di nascita, titolo di studio, stato civile, residenza/domicilio, numero della carta d’identità/del passaporto. DATI SENSIBILI:

dati personali che possono rivelare l’origine razziale,

l’appartenenza etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti o sindacati, lo stato di sa-

lute e la vita sessuale. Esempi: iscrizione a sindacati, attività o incarichi sindacali (ai fini di fruizione di permessi o di periodi di aspettativa), dati sanitari dei lavoratori, invalidità e relativa percentuale, gravidanza, puerperio o allattamento, infortuni, certificazioni sanitarie attestanti lo stato di malattia. DATI GIUDIZIARI:

dati personali idonei a rivelare provvedimenti di cui

all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. DATO ANONIMO:

dato che, in origine, o a seguito di trattamento, non

può essere associato ad un Interessato identificato o identificabile. TITOLARE DEL TRATTAMENTO:

la pubblica amministrazione, la persona giu-

ridica o fisica cui competono, anche unitamente ad altro Titolare, le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Esempi: imprenditore individuale, società, enti, associazioni. RESPONSABILE DEL TRATTAMENTO:

la persona fisica o giuridica, la pubbli-

ca amministrazione e qualsiasi altro ente che effettua trattamenti di dati personali operando sotto il diretto controllo del Titolare. Esempi: responsabile di area, di funzione, di stabilimento, società/studio di consulenza che elabora le paghe e gli stipendi, la capogruppo che in outsourcing svolge per le controllate determinati servizi, società di recupero crediti.

INCARICATO DEL TRATTAMENTO:

la persona fisica autorizzata a compiere

operazioni di trattamento dal titolare o dal responsabile. Esempi: dipendente o collaboratore della Società. INTERESSATO:

la persona fisica, la persona giuridica, l’ente o l’asso-

ciazione cui si riferiscono i dati personali. Esempi: candidati, dipendenti e figure assimilate di lavoratori, soci/azionisti, amministratori, sindaci, fornitori e consulenti, clienti, agenti, controllate, partecipate, controllanti, visitatori (anche del sito Internet aziendale). COMUNICAZIONE:

il dare conoscenza dei dati personali a uno o più sog-

getti determinati (diversi dall’Interessato, dal Responsabile e dagli Incaricati) in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Esempi: dare alla banca i dati dei dipendenti e dei fornitori per effettuare i relativi pagamenti; indicare al corriere i dati dei clienti per la consegna del prodotto. DIFFUSIONE:

il dare conoscenza dei dati personali a soggetti indeter-

minati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Esempi: pubblicare dati personali su siti web, su giornali e altre pubblicazioni. INFORMATIVA:

documento contenente le principali informazioni che il

Titolare del trattamento deve fornire all’Interessato per chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i propri dati, quali sono gli scopi e le modalità del loro trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla legge. CONSENSO:

la libera manifestazione della volontà con la quale l’Inte-

ressato accetta – in modo espresso e, se vi sono dati sensibili, per

iscritto - un determinato trattamento di dati che lo riguardano, sul quale è stato preventivamente informato da chi utilizza i dati. BLOCCO:

la conservazione di dati personali con sospensione tempo-

ranea di ogni altra operazione di trattamento. GARANTE:

l’Autorità indipendente composta da quattro membri eletti

dal Parlamento, restanti in carica per quattro anni, istituita per assicurare la tutela dei diritti e delle libertà fondamentali nel trattamento dei dati personali ed il rispetto della dignità degli individui. AMMINISTRATORE DI SISTEMA:

figura professionale finalizzata alla gestione

e alla manutenzione di un impianto di elaborazione o di sue componenti. Esempi: amministratori di basi di dati, amministratori di reti e di apparati di sicurezza ed amministratori di sistemi software complessi.

4. CODICE DELLA PRIVACY Per liberalizzare la circolazione dei dati personali ed armonizzarne la tutela in tutta Europa nel 1995 l’Unione Europea ha emanato una Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle sole persone fisiche. L’Italia vi si è adeguata con la pubblicazione della legge 675 del 31 dicembre 1996 relativa alla “Tutela delle persone e di altri sog-

getti rispetto al trattamento dei dati personali” (sul Supplemento Ordinario alla Gazzetta Ufficiale n. 5 dell’08/01/97), poi abrogata con l’entrata in vigore il 1° gennaio 2004 del Decreto Legislativo n. 196 del 30 giugno 2003 (pubblicato sul Supplemento Ordinario della Gazzetta Ufficiale n. 123 del 27 luglio 2003), detto anche “Co-

dice Privacy”. Ai diritti alla riservatezza e all’identità personale tale normativa affianca così il diritto alla protezione dei dati personali per chiunque, sia esso persona fisica o giuridica. L’estensione della tutela a soggetti diversi dalla persona fisica è prevista anche dalla legge norvegese, danese, austriaca e lussemburghese, mentre altri Paesi, come la Svezia, la Germania, la Francia ed il Regno Unito hanno adottato una legge che restringe la tutela ai soli dati relativi alle persone fisiche. Scopo di tale normativa è garantire il diritto di “chiunque” alla “pro-

tezione dei dati personali che lo riguardano”, come recita l’articolo 1 del Codice Privacy. La più rilevante innovazione apportata dal Codice è così la proclamazione del nuovo diritto alla tutela dei da-

ti personali, che diventa un diritto autonomo che completa e si sovrappone ad altri diritti fondamentali, quali il diritto alla riservatezza ed all’identità personale. Tale protezione consiste nella garanzia che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali. In sostanza, il diritto alla tutela dei dati personali non si configura più come il diritto ad essere lasciato in pace o solo, ma come il potere di controllare il trattamento e la circolazione dei propri dati da parte di altri. Va chiarito che lo spirito della legge in esame non è di impedire il trattamento dei dati personali, ma di evitare che esso avvenga contro la volontà dell’avente diritto, ovvero secondo modalità ad esso pregiudizievoli. Prima di passare successivamente ad illustrare in sintesi la struttura del Codice Privacy, è bene chiarire che il quadro normativo italiano in materia di tutela dei dati personali è in costante evoluzione in ragione del progresso tecnologico e del contesto sociale, e non è limitato alle disposizioni del Codice Privacy, bensì include anche i provvedimenti adottati dal Garante, le disposizioni contenute in normative di specifici settori che prevedono misure sul trattamento dei dati personali, nonché i pareri adottati dal Gruppo istituito ex art. 29 della Direttiva 95/46/CE che riflettono la posizione di tutti i Garanti europei su particolari tematiche relative al trattamento dei dati personali.

5. SINTESI FUNZIONALE E OPERATIVA Il “Codice in materia di protezione dei dati personali” è il testo principale di riferimento per la privacy. Si tratta di una sorta di “Testo Unico” che, a far data dal primo gennaio 2004, sostituisce, integra, accorpa e coordina in forma sistematica le disposizioni generali e di settore prima vigenti in tema di protezione dei dati personali (L. 675/96, D.P.R. 318/99), sostituendole. Quanto alla struttura, il Codice è diviso nelle seguenti tre parti.

Parte I: DISPOSIZIONI GENERALI (artt. 1 - 45) Dedicata alle disposizioni generali applicabili indistintamente nei riguardi di qualsiasi Titolare, qualunque sia il settore di appartenenza ed a prescindere dal tipo di trattamento realizzato; essa è suddivisa nei seguenti sette titoli: (1) descrizione dei principi generali che informano la materia della tutela dei dati personali, dopo averne sancito la nascita come nuovo diritto fondamentale; (2) individuazione dei diritti dell’Interessato e descrizione delle relative modalità di esercizio; (3) definizione delle regole generali per il trattamento dei dati personali, distinguendo tra regime applicabile al settore privato e quello applicabile al settore pubblico; (4) individuazione dei soggetti che effettuano il trattamento; (5) descrizione delle misure di sicurezza dei dati e dei sistemi; (6) descrizione di alcuni particolari adempimenti di legge;

(7) indicazione della disciplina del trasferimento all’estero dei dati personali.

Parte II: DISPOSIZIONI RELATIVE A SPECIFICI SETTORI (artt. 46 - 140) Parte speciale, dedicata alle disposizioni relative a specifici settori di seguito elencati: (1) Trattamenti in ambito giudiziario (2) Trattamenti da parte di Forze di Polizia (3) Difesa e Sicurezza dello Stato (4) Trattamenti in ambito pubblico (5) Trattamento di dati personali in ambito sanitario (6) Istruzione (7) Trattamento per scopi storici, statistici o scientifici (8) Lavoro e previdenza sociale (9) Sistema bancario, finanziario ed assicurativo (10) Comunicazioni elettroniche (11) Libere professioni e investigazione privata (12) Giornalismo ed espressione letteraria ed artistica (13) Marketing diretto

Parte III: TUTELA DELL’INTERESSATO E SANZIONI (artt. 141 - 186) Contiene le norme relative alle forme di tutela, alle sanzioni e le disposizioni relative all’ufficio del Garante per la protezione dei dati personali (1) Tutela amministrativa e giurisdizionale

Sono illustrati quali sono gli strumenti che l’Interessato in via alternativa ha a disposizione qualora ritenga che i suoi diritti in materia di dati personali siano stati violati, ossia rivolgersi alla Magistratura (tutela giurisdizionale) o al Garante (tutela amministrativa). (2) L’Autorità Vengono descritti la composizione del Garante ed i suoi compiti, consistenti nell’informazione al pubblico, nella tutela amministrativa e nell’attività ispettiva da svolgersi (con o senza preavviso) nei luoghi ove si effettuano i trattamenti dei dati. (3) Sanzioni (4) Disposizioni modificative, abrogative, transitorie e finali.

6. REGOLA E PRECAUZIONI DA OSSERVARE NELL’ESECUZIONE DEI SERVIZI DI VIGILANZA PRIVATA In questo capitolo sono descritti i comportamenti cui le GG devono attenersi affinché i trattamenti dei dati personali dalle stesse effettuati in esecuzione dell’attività lavorativa siano conformi alle prescrizioni previste dalla normativa privacy. • Rispetto delle mansioni assegnate e dei principi di diligenza, obbedienza e fedeltà e correttezza secondo il codice civile La principale obbligazione della Guardia Giurata, come di ogni altro lavoratore, è quella di svolgere la propria attività lavorativa conformemente alle mansioni assegnate, secondo l’orario di lavoro concordato e nel luogo di lavoro stabilito. Questa fondamentale obbligazione è integrata da una serie di altri obblighi ‘accessori’ previsti dal codice civile, quali gli obblighi di diligenza, obbedienza e fedeltà. - OBBLIGO DI DILIGENZA (art. 2104 comma 1 codice civile): la GG nello svolgimento dell’attività lavorativa deve usare la diligenza richiesta dalla natura della prestazione e dall’interesse dell’impresa. La diligenza si sostanzia nell’esattezza e scrupolosità nello svolgere il proprio lavoro ed è connessa alle mansioni assegnate (Cassazione 22 maggio 2000 n. 6664): considerato poi che la GG è qualificata come ‘Incaricato di Pubblico Servizio’ la diligenza ad essa richiesta è ragionevolmente da considerarsi superiore a quella chiesta ad un altro lavoratore.

- OBBLIGO DI OBBEDIENZA (art. 2104 comma 2 codice civile): questo obbligo, collegato direttamente al potere direttivo del datore di lavoro, si realizza con il rispetto delle disposizioni impartite dal datore o dai suoi collaboratori, con il limite dell’esecuzione di ordini illegittimi del datore di lavoro. Ebbene, tra le disposizioni impartite dal datore di lavoro che la GG ha l’obbligo di rispettare in adempimento all’obbligo di obbedienza vi sono senz’altro le istruzioni conferite sul corretto svolgimento delle operazioni di trattamento correlate alle mansioni assegnate, sul cui punto ci si sofferma tra poco. - OBBLIGO DI FEDELTÀ (art. 2105 codice civile): comporta l’osservanza, da parte della GG, del divieto di trattare affari per conto proprio o di terzi in concorrenza con l’azienda cui appartiene (divieto di concorrenza) e di quello di divulgare notizie riguardanti l’organizzazione e/o i metodi di produzione, oppure di farne uso in modo pregiudizievole per l’impresa (obbligo di riservatezza). La giurisprudenza ne ha ampliato il concetto facendo rientrare nella fedeltà l’obbligo di tenere un comportamento leale determinato dalla necessità di salvaguardare il datore di lavoro contro il possibile uso pregiudizievole delle notizie e delle informazioni di cui il lavoratore viene a conoscenza durante lo svolgimento della sua attività, obbligo che deve essere rispettato anche al di fuori dell’orario di lavoro e durante la sospensione del contratto. - OBBLIGO DI RISERVATEZZA: la GG non può divulgare le notizie attinenti all’impresa sia che siano coperte da segreto o meno, ogni volta che la loro conoscenza esterna possa costituire un pregiudizio per

l’impresa stessa, che può derivare dall’utilizzo di queste notizie in via concorrenziale o dalla comunicazione di informazioni tali da costituire denigrazione dell’azienda. Si ricorda che l’inosservanza del divieto di rilevare segreti professionali e scientifico-industriali è penalmente sanzionata (art. 622 e 623 codice penale). • Rispetto dei principi generali stabiliti nella Prima Parte del Codice Privacy Che utilizzi o meno risorse informatiche e telematiche aziendali nello svolgimento delle proprie mansioni e, quindi, nel compiere le operazioni di trattamento di dati personali ad esse conseguenti, la Guardia Giurata deve sempre rispettare, oltre agli obblighi previsti dal codice civile in precedenza richiamati, anche quelli stabiliti dal Codice Privacy e dalle norme ad esso correlate che ricadono nel suo ambito operativo. Di seguito vengono descritte le cautele previste dal Codice Privacy (art. 11) da osservarsi, a cura delle Guardie Giurate, nei trattamenti di dati personali di propria competenza: - rispetto del principio di liceità e correttezza: la liceità significa che i dati personali devono essere trattati (e comunicati) in conformità al Codice Privacy ed alle altre norme eventualmente rilevanti (segreto aziendale o d’ufficio, fedeltà aziendale, etc.). La correttezza del trattamento va invece intesa come rispetto delle regole di condotta non giuridiche, le cui fonti vanno dai codici deontologici alle consuetudini e agli usi;

- raccolta e registrazione dei dati personali per scopi determinati, espliciti e legittimi, ed utilizzo degli stessi in altre operazioni di trattamento in termini non incompatibili con tali scopi: i dati personali possono essere utilizzati dalle GG solo in funzione degli scopi perseguiti dalla società ed enunciati nelle Informative rilasciate da quest’ultima agli Interessati. L’Informativa, come enunciato nel capitolo 3 tra le definizioni, si può definire come la ‘carta di identità’ del trattamento che ha lo scopo di soddisfare il fondamentale diritto alla trasparenza dell’Interessato, avente diritto di sapere alcune informazioni sui dati che lo riguardano (come ad esempio chi è il Titolare del trattamento, se vi sono dei Responsabili (interni e/o esterni) del trattamento, quali sono le categorie di Incaricati che trattano i dati, quali dati personali e per quali finalità sono trattati / comunicati / diffusi e qual’ è l’ambito di comunicazione dei dati). - esatti e, se necessario, aggiornati: un dato non aggiornato è errato; - pertinenti, completi e non eccedenti gli scopi per cui sono stati raccolti: ciascuno in azienda può trattare e comunicare solo i dati personali inerenti alle proprie mansioni/incarichi; - conservati in una forma che consenta l’identificazione dell’Interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati: la cancellazione del dato può essere preceduta da un periodo di ‘congelamento’, nel senso che, una volta cessato un rapporto contrattuale, si può conservare il dato per fini probatori sino alla scadenza del termine per la prescrizione di eventuali contestazioni, ma non oltre. In tal caso i dati raccolti vanno conservati, ma non incrementati o aggiornati.

• Rispetto delle Istruzioni contenute negli atti di nomina o a designazione ad Incaricato del trattamento L’articolo 30 del Codice Privacy recita come segue: «1. Le operazioni di trattamento possono essere effettuate solo da

incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.» Dalla suddetta norma di legge deriva che la GG, che materialmente esegue le operazioni di trattamento dei dati personali (es. raccolta, registrazione, consultazione, elaborazione, modifica, comunicazione, etc.) per conto dell’Istituto di vigilanza privata cui appartiene, è da considerarsi a tutti gli effetti “Incaricato del trattamento” e, precisamente, Incaricato di tutti quei trattamenti di dati personali strettamente correlati alle mansioni assegnate. In aderenza all’art. 30 del Codice Privacy il datore di lavoro deve quindi consegnare alla Guardia un’apposita ‘Lettera di designazione (o di nomina) ad Incaricato’, la quale, oltre alle istruzioni impartite, contiene il profilo di autorizzazione della Guardia (ovvero specifica gli archivi o le banche dati accessibili alla Guardia e con quali eventuali limitazioni); tale lettera deve essere sottoscritta dalla GG per ricevuta: l’originale va conservato nella cartella personale del dipendente ed una copia può essere rilasciata alla Guardia.

La nomina della GG a Incaricato del trattamento è efficace per tutta la durata del suo rapporto di lavoro con l’Istituto di vigilanza, e dovrà intendersi revocata in caso di cessazione, per qualunque causa, dello stesso; essa non comporta l’assegnazione di mansioni o di

incarichi nuovi, poiché trattasi di un documento con cui vengono semplicemente specificati per iscritto i trattamenti di dati conseguenti e derivanti dalle mansioni già assegnate al dipendente. Almeno una volta all’anno il datore di lavoro provvede a verificare e ad aggiornare, se del caso, il profilo di autorizzazione al trattamento dei dati personali di ciascuna Guardia, come di ogni altro lavoratore. Nel caso la Guardia Giurata effettui operazioni di trattamento di dati personali derivanti dall’uso di apparecchiature di videosorveglianza che comportano il trattamento (rilevazione e/o registrazione) di immagini di soggetti identificati o identificabili, è bene sapere che l’uso di telecamere può ledere diritti altrui, quali il diritto alla riservatezza, alla dignità ed alla libertà degli individui e dei lavoratori (nel caso la videosorveglianza sia effettuata nell’ambito di un contesto lavorativo), diritti tutti tutelati, oltre che dalla Costituzione, da leggi dello Stato sia civili che penali, per cui occorre prestare molta attenzione al riguardo. Sul punto il Provvedimento Generale sulla Videosorveglianza dell’8 aprile 2010 (che ha sostituito, abrogandolo, il precedente del 29 aprile 2004), emanato dall’Autorità Garante sulla tutela dei dati personali, tra le misure di sicurezza da applicare ai dati personali trattati mediante sistemi di videosorveglianza, all’articolo 3.3.2. ha sancito

a carico del Titolare (o del Responsabile del trattamento, se esistente) di “designare per iscritto tutte le persone fisiche, incaricate del trat-

tamento, autorizzate sia ad accedere ai locali dove sono situate le postazioni di controllo, sia ad utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini”, specificando che deve trattarsi di un numero limitato di soggetti ed affermando che “Occorre altresì individuare diversi livelli di accesso

in corrispondenza delle specifiche mansioni attribuite ad ogni singolo operatore, distinguendo coloro che sono unicamente abilitati a visionare le immagini dai soggetti che possono effettuare, a determinate condizioni, ulteriori operazioni (es. registrare, copiare, cancellare, spostare l’angolo visuale, modificare lo zoom, etc.)”. Ne deriva che le GG che trattano dati personali mediante sistemi di videosorveglianza devono essere a ciò debitamente autorizzate per iscritto, specificando se sono legittimate alla sola visualizzazione delle immagini ‘live’ (riprese in tempo reale) e/o anche a quelle registrate, e, in ogni caso, occorre conferire alle GG adeguate istruzioni in merito comprensive delle misure di sicurezza, cui le Guardie dovranno scrupolosamente attenersi. • Precauzioni generali per qualsiasi trattamento di dati personali svolto dalle GG Il datore di lavoro dovrebbe impartire per iscritto alle GG (con la lettera di nomina a Incaricato del trattamento in precedenza richiamata) adeguate precauzioni per il corretto trattamento dei dati, quali quelle di seguito indicate:

- rispetto dei principi del Codice Etico aziendale, se esistente; - eseguire operazioni di trattamento in modo lecito e secondo correttezza solo per gli scopi inerenti alle mansioni ricoperte e, quindi, allo svolgimento dei servizi affidati; - accedere ai soli dati personali la cui conoscenza sia strettamente necessaria per l’espletamento delle proprie mansioni: la Guardia può e deve accedere esclusivamente alle informazioni per le quali è autorizzata; in nessun caso la Guardia può accedere a dati ed informazioni cui non è abilitata o autorizzata. È illecito, ad esempio, utilizzare codici di accesso di un altro utente per accedere ad un sistema informatico dissimulando la propria identità o facendosi passare per un altro utente, o, ancora, aggirare i sistemi e le procedure di sicurezza aziendali esistenti o provocare volontariamente disturbi al funzionamento del sistema informativo dell’azienda o del cliente stesso; è illecito, altresì, accedere e prendere visione di documenti cartacei senza esserne autorizzati; - custodire i dati personali, impedendo che terzi possano accedere indebitamente al documento (informatico o manuale) e sottrarlo, e controllarli con diligenza, verificando l’integrità e la completezza dei dati trattati; - non diffondere i dati personali e comunicarli a terzi solo se necessario in esecuzione delle proprie mansioni: la Guardia non deve in alcun modo diffondere né comunicare a terzi non autorizzati dati personali e informazioni riservate dell’Istituto o del cliente presso il quale svolge il servizio di vigilanza. Comunissimi sono i casi di violazione della privacy derivanti dall’illecita comunicazione o

diffusione di dati personali da parte del lavoratore, o, ancora, derivanti dall’illegittima cancellazione o distruzione dei dati non autorizzata dall’azienda; - utilizzare le risorse informatiche aziendali affidate in dotazione (il personal computer, il telefono ed il fax) solo per fini professionali correlati alle mansioni, evitando usi per fini personali, e custodirle evitando manomissioni, danneggiamenti o utilizzi, anche da parte di altre persone, per scopi non consentiti; - utilizzare i documenti e/o i dispositivi di accesso dei clienti ricevuti in dotazione solo per il tempo strettamente necessario per l’esecuzione del servizio e custodirli con diligenza; - al termine del servizio restituire immediatamente eventuali documenti e/o dispositivi di accesso dei clienti al personale incaricato dell’Istituto o riporli negli appositi contenitori di sicurezza messi a disposizione dall’azienda; - operare in modo che siano esclusi rischi di perdita o distruzione, anche accidentale dei dati, di accesso non autorizzato, di operazioni di trattamento non consentite o non conformi ai fini per i quali i dati sono stati raccolti e per i quali vengono trattati; - trasportare i dati personali su supporto cartaceo o informatico (CD_Rom, memory stick o altro supporto) con cura e diligenza, assicurandosi che durante le operazioni di trasporto non siano accessibili da parte di terzi non autorizzati (es. non lasciare incustodita ed abbandonare sul sedile di un’auto/di un furgone – seppur blindato - una busta con documenti); - nel caso di richiesta di dati personali via telefono accertarsi che il

richiedente abbia titolo a richiederli (farsi mandare un fax di richiesta prima di dare un’informazione). - controllare e custodire con la massima diligenza i dati contenuti in documenti / archivi cartacei fino alla restituzione ed al termine del servizio, riponendoli nei rispetti archivi1 ad accesso controllato; - divieto di effettuare copie fotostatiche o di qualsiasi altra natura di documenti, atti, stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante dati personali oggetto del trattamento per fini estranei all’attività lavorativa. • Applicazione delle misure di sicurezza previste dal Codice Privacy e dalle norme ad esso collegate Il Codice Privacy contempla due tipologie di misure di sicurezza: - le misure idonee e preventive (art. 31 Cod. Priv.). La legge non dà una definizione di queste misure, poiché sono desumibili dallo stato dell’arte in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. La mancata adozione di questo tipo di misure può dare luogo a responsabilità civile con la conseguente sanzione del ri-

Spetta all’Istituto mettere a disposizione appropriati strumenti di protezione a tal

fine, come ad esempio armadi blindati, casseforti, o semplicemente armadi chiusi a chiave

sarcimento del danno ex art. 15 Cod. Priv.: “Chiunque cagiona dan-

no ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 cod. civ.”. - le misure minime, consistenti nel complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi di distruzione o perdita, anche accidentale, dei dati, di acces-

so non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. La fonte di queste misure è negli artt. 3336 Cod. Priv. e nell’Allegato B “Disciplinare tecnico in materia di

misure minime di sicurezza”, che ne individua le modalità tecniche di attuazione. L’adozione delle misure minime consente di evitare le sanzioni amministrative e penali, ma non quelle civili. Prima di passare in rassegna le misure di protezione minime previste dal Codice Privacy che interessano le Guardie Giurate, è bene ribadire che la diligenza e la prudenza da parte di tutti coloro che nell’ambito di un’azienda sono coinvolti nel trattamento dei dati personali resta sempre una misura di sicurezza fondamentale, valida quindi anche per le Guardie.

MISURE MINIME DI SICUREZZA PER I TRATTAMENTI AUTOMATIZZATI Utilizzazione di un sistema di autorizzazione Il datore di lavoro deve impostare a livello informatico un sistema di autorizzazione che stabilisca anche per ogni singola GG, Incaricato del trattamento, quali sono i dati cui ha accesso e quali sono i

trattamenti ad essa consentiti (ossia deve definire i c.d. ‘privilegi di accesso’). Almeno una volta all’anno l’Istituto deve verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione di ciascuna GG. Autenticazione informatica basata sull’uso di credenziali di autenticazione Stabilito il sistema di autorizzazione, la GG, quale Incaricato del trattamento, deve essere dotata di credenziali di autenticazione, che consentano il superamento, per l’accesso al sistema ed alla rete aziendale, di una procedura di autenticazione. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’Incaricato (“userID”) associato ad una parola chiave (o password) riservata, conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave. Ad ogni Incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione. Con le istruzioni impartite agli Incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato. La parola chiave, quando è prevista dal sistema di autenticazione,

è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali. Agli incaricati sono impartite istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (blocco account / password per screen saver). Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite alle GG idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la

relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato. Ulteriori misure Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici [es. antivirus in ogni postazione di lavoro]. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

MISURE

MINIME DI SICUREZZA PER I TRATTAMENTI SENZA L’AUSILIO DI STRU-

MENTI ELETTRONICI

Alle GG, quali Incaricati, vanno impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che

ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

PRESCRIZIONI PER L’UTILIZZO DELLA POSTA ELETTRONICA E DI INTERNET Con il Provvedimento dell’1 marzo 2007 intitolato “Linee Guida del

Garante per posta elettronica ed Internet” sono fornite concrete indicazioni in ordine all’uso dei computer sul luogo di lavoro; in particolare, è prescritto che il datore di lavoro informi con chiarezza ed in dettaglio i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli, raccomandando l’adozione di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica. Il Garante vieta poi la lettura e la registrazione sistematica delle email così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatis-

simi, dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda. Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio: • individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa; • utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black - list o il download di file musicali o multimediali. Per quanto riguarda la posta elettronica, è opportuno che l’azienda: • renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza; • valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale; • preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; • metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa. Qualora queste misure preventive non fossero sufficienti a evitare com-

portamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualitĂ . In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare lâ&#x20AC;&#x2122;area da richiamare allâ&#x20AC;&#x2122;osservanza delle regole. Solo successivamente, ripetendosi lâ&#x20AC;&#x2122;anomalia, si potrebbe passare a controlli su base individuale.

7. LE SANZIONI IN CASO DI MANCATO RISPETTO DELLE REGOLE DI CONDOTTA Al termine di questo Vademecum sorge spontanea forse una domanda: perché adeguarsi alla normativa privacy? Beh, se si vuole prescindere da alcune buone motivazioni, quali l’accrescimento della professionalità delle GG o della qualità dei servizi di vigilanza resi per conto terzi, si può rispondere anche che adeguarsi è obbligatorio, poiché dall’inosservanza della normativa privacy discendono sanzioni civili, amministrative e penali. Vediamole. SANZIONI CIVILI: l’articolo 15 del Codice Privacy, intitolato “Dan-

ni cagionati per effetto del trattamento” recita: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”. A sua volta, l’art. 2050 codice civile, intitolato “Responsabilità per l’esercizio di attività pericolose”, dispone che: “Chiunque cagiona danno ad

altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. La sanzione civile prevista dalla legge sulla privacy consiste pertanto nel risarcimento del danno (patrimoniale e non patrimoniale) derivante dal trattamento dei dati personali ex art. 2050 c.c.., norma che abbiamo visto ricondurre il trattamento dei dati personali all’esercizio di attività pericolosa, stabilendo un’inversione dell’onere della prova: contrariamente alla regola generale prevista per la respon-

sabilità extracontrattuale, non è il danneggiato a dover dimostrare il nesso di causalità fra l’azione del danneggiante ed il danno subito, ma è il danneggiante a dover dimostrare di aver adottato tutte le misure idonee ad evitare il danno. Sono stati sollevati alcuni dubbi interpretativi sul fatto che il legislatore abbia fatto riferimento al termine “chiunque”, potendo tale previsione legittimare il riferimento anche all’Incaricato che, nell’espletamento delle proprie mansioni, non osservi le disposizioni del Codice Privacy. In dottrina si ritiene tuttavia che per “chiunque” debba intendersi il Titolare ed il Responsabile, sui quali è posto dalla legge il dovere di vigilare sull’operato degli Incaricati del trattamento, interpretazione che trova conforto anche nell’art. 2049 codice civile in tema di ‘Responsabilità dei padroni e dei committenti’. Ne deriva che un’eventuale domanda di risarcimento del danno per effetto di un trattamento di dati personali dovrà essere indirizzata al Titolare del trattamento (l’impresa, datore di lavoro), su cui ricade il controllo dei trattamenti di dati personali complessivamente effettuati dall’azienda, ancorché il fatto dannoso sia imputabile ai suoi dipendenti ex art. 2049 codice civile. SANZIONI AMMINISTRATIVE (irrogate dal Garante ex art. 166 Codice Privacy e previste dagli artt. 161 – 166 Codice Privacy): di seguito si indicano solo le violazioni amministrative rilevanti per l’attività lavorativa delle GG.

Sanzione amministrativa accessoria a tutte le violazioni sopra indicate: possibilità della pubblicazione dell’ordinanza – ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento del Garante che la applica. La pubblicazione ha cura e luogo a spese del contravventore. L’elemento psicologico della responsabilità amministrativa consiste nella coscienza e volontà dell’azione; la buona fede e l’errore incolpevole possono escludere la violazione amministrativa. L’azienda, ex art. 2049 c.c., è responsabile per il fatto dei dipendenti, ma ha la possibilità di esercitare l’azione di regresso per l’intero nei confronti di questi ultimi.

SANZIONI PENALI (artt. 167 â&#x20AC;&#x201C; 172 Codice Privacy): di seguito si indicano solo le violazioni penali rilevanti per lâ&#x20AC;&#x2122;attivitĂ lavorativa delle GG per i seguenti illeciti

La condanna per uno dei reati previsti dal Codice Privacy comporta la pena accessoria della pubblicazione della sentenza. Le norme penali poste a presidio della normativa privacy sono pre-

valentemente rivolte al Titolare, ma non tutte. Difatti, vi sono norme rivolte al Titolare per le quali è previsto che l’Incaricato abbia un ruolo anche se strettamente operativo di esecuzione delle istruzioni del Titolare (vedi l’art. 23 Codice Privacy relativo al consenso), mentre altre sono rivolte in ugual misura al Titolare ed agli Incaricati (vedi artt.: 25 Codice Privacy relativo al divieto di comunicazione e diffusione, 26 comma 5 Codice Privacy relativo al divieto di diffusione di dati idonei a rilevare lo stato di salute, 130 Codice Privacy sulle comunicazioni indesiderate – c.d. ‘spamming’). In ogni caso necessario è ribadire quanto detto in precedenza, vale a dire che le GG, quali Incaricati del trattamento, non sono esenti da responsabilità penale per la commissione, tra gli altri, di reati informatici (es. art. 615 quater codice penale relativo al reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici) o per violazione del segreto (art. 621 codice penale relativo al reato di rivelazione del contenuto di documenti segreti e art. 623 codice penale relativo al reato di rivelazione di segreti scientifici o industriali). Da ultimo, si rammenta che ai sensi dell’art. 29 del Codice Privacy l’Istituto di vigilanza, Titolare del trattamento, può disporre verifiche periodiche sull’osservanza delle istruzioni conferite alle GG in tema di privacy e sicurezza dei dati, ed il comportamento della Guardia che disattende tali istruzioni è suscettibile di valutazione da parte del datore di lavoro anche ai fini dell’applicazione di eventuali sanzioni disciplinari secondo la gravità dei fatti contestati (es. violazione dell’obbligo di diligenza).

In tema di violazione dell’obbligo di diligenza si precisa che esso costituisce una forma di inadempimento, anzitutto, all’obbligazione contrattuale con il datore di lavoro ed è fonte di responsabilità disciplinare, determinando, a seconda della gravità, anche il recesso dal rapporto. Inoltre, qualora la condotta colposa del lavoratore abbia causato un evento dannoso e ciò sia provato dal datore di lavoro, il lavoratore è obbligato al risarcimento del danno (Cassazione 11 dicembre 1999 n. 13891), fermo restando che la domanda di risarcimento dei danni proposta dal datore di lavoro non è condizionata alla preventiva contestazione dell’addebito, che riguarda esclusivamente la responsabilità disciplinare (Cassazione 3 febbraio 1999 n. 950). La violazione dell’obbligo di fedeltà è parimenti fonte di responsabilità disciplinare, ma se causa un danno al datore di lavoro e quest’ultimo sia in grado di fornirne la prova, è altresì fonte del relativo obbligo risarcitorio.

Finito di stampare nel mese di febbraio 2011 dalla Tipolitografia CSR - Via di Pietralata, 157 - 00158 Roma Tel. 064182113 (r.a.) - Fax 064506671

E.Bi.N.Vi.P. ENTE BILATERALE NAZIONALE VIGILANZA PRIVATA

Via Gaeta, 23 - 00185 Roma Tel. 06 4820303 - Fax 06 48976060 info@ebinvip.it - www.ebinvip.it

LA PRIVACY

PER GLI OPERATORI DELLA VIGILANZA PRIVATA

E.Bi.N.Vi.P. ENTE BILATERALE NAZIONALE VIGILANZA PRIVATA