La legislazione sulla privacy in Italia è contenuta nella Costituzione (artt.15 e 21), nel Codice Penale (Capo II – Sez. IV) e nel D.Lgs. n°196/2003, detto anche Testo unico sulla privacy, che ha abrogato la Legge 675/96. L’Autorità Garante per la protezione dei dati personali vigila sull’applicazione della normativa.
La principale finalità del D.Lgs. 196/03 sta nel riconoscimento del diritto del singolo sui propri dati personali e conseguentemente sul loro trattamento (raccolta, elaborazione, raffronto, cancellazione, modifica, comunicazione o diffusione). L’art. 1 del testo unico afferma che “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Va fatta un’importante distinzione tra il diritto sui propri dati personali e il diritto alla riservatezza, poiché il primo si estende a qualsiasi informazione relativa a una persona, anche se non coperta da riserbo. Lo scopo della legge non è di impedire il trattamento dei dati, ma di evitare che avvenga senza il consenso dell’avente diritto.

Internet e privacy

Sempre di maggiore interesse è la sicurezza dei dati su Internet, infatti la rete dà accesso a moltissime informazioni e a volte può mettere in pericolo la privacy del singolo utente. Per questo è bene utilizzare semplici accorgimenti, che ci permetteranno di proteggerci da eventuali malintenzionati:

• Utilizzare password non banali.
• Non diffondere le proprie password.
• Installare, configurare e aggiornare firewall e antivirus.
• Installare un antispyware.
• Controllare i cookies.
• Non aprire allegati provenienti da sconosciuti, per evitare il cosiddetto phishing.
• Configurare la protezione del browser almeno a un livello medio.
• Leggere le disposizioni sulla privacy prima di installare ogni software.

Privacy in azienda

Da recenti indagini di mercato è emerso un diffuso timore delle aziende per ciò che riguarda la tutela dei propri dati. Per questa ragione sempre più imprese adottano i Data Loss Prevention (DLP), ovvero delle tecniche che identificano, monitorano e proteggono i dati in uso, i dati in uscita e i dati a riposo all’interno o all’esterno dell’azienda, con il fine di individuare e prevenire un uso non autorizzato dei dati aziendali, oltre che la trasmissione di informazioni riservate. Di certo la protezione della privacy aziendale parte dall’interno, dove i dipendenti dovrebbero avere ruoli e responsabilità limitati, a seconda della formazione, e non essere a conoscenza di tutti i dati aziendali.

In particolare oggi i Social Network creano un maggiore stato d’ansia per gli imprenditori, poiché è così che potrebbero essere diffuse, più o meno volutamente, informazioni fondamentali per l’azienda, ottenute tramite strategie e ricerche di marketing.

Informativa sulla privacy

La legge prevede che il consenso al trattamento dei dati sia valido solo se ottenuto tramite un’informativa. Ogni azienda deve possedere un modello standard di informativa, da aggiungere alla modulistica attraverso cui i dati personali vengono raccolti, a cui segue il consenso dell’interessato. L’informativa deve contenere:

• le finalità del trattamento;
• le modalità del trattamento (strumenti elettronici o manuali, modalità di organizzazione o di raffronto ed elaborazione particolari, creazione di profili per età, professione o altro);
• se il rilascio dei dati è obbligatorio o facoltativo in base agli scopi dichiarati;
• le conseguenze del rifiuto a fornire i dati;
• se i dati possono essere ceduti a terzi, se si vanno identificati o perlomeno vanno individuate le categorie di appartenenza;
• i soggetti o le categorie di soggetti ai quali i dati personali possono essere in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
• i diritti elencati nell’art. 7 del D.Lgs. 196/03;
• i dati del titolare del trattamento;
• i dati del responsabile del trattamento.

Il D.Lgs. 196/03 prevede, infatti, la presenza in azienda di un Responsabile del Trattamento, ovvero una figura preposta al trattamento dei dati personali. Questo ruolo è facoltativo, non obbligatorio, ma consigliabile in quanto è uno strumento efficace di coordinamento nella strategia per la sicurezza dei dati, oltre a diventare la figura di riferimento da inserire nell’informativa.

Trattamento dei dati dei dipendenti

Gli artt. 20,22 e 26 del D.Lgs. 196/03 prevedono l’esenzione dal consenso per il trattamento dei dati sensibili da parte del datore di lavoro, quando tali dati sono necessari per l’adempimento di obblighi specifici e compiti previsti dalla legge per la gestione del rapporto lavorativo.

Gestione dei dati

I dati personali in possesso dell’azienda vanno custoditi e controllati, affinché sia ridotto al minimo il rischio di distruzione, diffusione o trattamento dei dati stessi, al di fuori del consenso degli interessati. È per questo che l’art. 33 D.Lgs. 196/03 introduce delle misure minime di sicurezza, il cui responsabile è il titolare del trattamento. Viene fatta una distinzione tra trattamento con strumenti elettronici e trattamento con strumenti non elettronici. Nel primo caso l’attenzione è posta sulle modalità di accesso, in maniera che possa essere facilmente individuato l’autore dell’illecito. In particolare vanno usati il login (ovvero un user-id associato ad una password conosciuta solo dal possessore) oppure un dispositivo di autenticazione (firma elettronica, codice identificativo o anche le impronte digitali). Se i dati in questione sono sensibili o giudiziari, la password va modificata ogni tre mesi. Nel secondo caso vanno individuati gli incaricati del trattamento, con scadenza annuale, e impartita istruzioni scritte per ciò che riguarda la gestione e la custodia dei dati. L’accesso agli archivi che contengono dati sensibili deve essere controllato e registrato, inoltre l’autorizzazione all’accesso va rilasciata preventivamente.

Glossario utile

Cookie: frammenti di testo che un sito invia al browser, che li immagazzina, e che vengono richiamati ogni volta che il client (l’utente) accede nuovamente al sito. Un esempio sono i siti preferiti o il contenuto dei “carrelli della spesa” nei siti di e-commerce. Attraverso il browser è possibile disabilitare i cookies, seppure questa operazione possa impedire, in alcuni casi, l’utilizzo dei siti web.

Spyware: è un software che raccoglie informazioni che riguardano l’attività online di un utente, senza il suo consenso. A volte si usa questo termine per definire molti malware (programmi maligni), come ad esempio l’invio di spam (posta elettronica promozionale e indesiderata), la modfica della pagina inziale o dei Preferiti del browser, il phishing e l’installazione di dialer (programmi che servono a connettersi) che collegano a numeri con tariffazioni elevatissime.

Phishing: è una tecnica utilizzata per ottenere informazioni personali in maniera illegale, utilizzando spesso la posta elettronica, messaggistica istantanea (chat) o anche contatti telefonici. Di solito il messaggio si presenta molto simile a quello istituzionale, portando così l’utente a rivelare i propri dati personali 8ad esempio l’accesso al conto online).

Firma elettronica: insieme dei dati allegati o connessi ad altri dati elettronici, usati per l’identificazione informatica.

Titolare del trattamento: la persona fisica o giuridica, la PA, l’associazione o qualsiasi altro ente che prende decisione riguardo ai fini e ai metodi di utilizzo dei dati personali.

Responsabile del trattamento: la persona fisica o giuridica, la PA, l’associazione o qualsiasi altro ente che riceve l’autorizzazione da parte del titolare al trattamento dei dati.

Incaricato: persone fisiche che si occupano dell’utilizzo dei dati, seguendo le istruzioni che vengono dal titolare/responsabile.

Interessato: persona fisica o giuridica, associazione o qualsiasi altro ente a cui si riferiscono i dati raccolti e trattati.