Dati personali

Illecito trattamento di dati personali: il requisito del “nocumento” (Cass. Pen., Sez. III, sent. n. 23808 del 29/3/2019)

La Cassazione è recentemente intervenuta su un caso di presunto illecito trattamento dati personali sanitari nell’ambito di un procedimento civile. La vicenda Un signore toscano conveniva in giudizio il padre per vedersi riconoscere un credito vantato nei confronti di quest’ultimo. Nell’ambito del giudizio civile il padre, per giustificare l’infondatezza della pretesa creditoria, produceva la documentazione sanitaria del figlio attestante una sua grave patologia psichiatrica, al fine di dimostrare che la richiesta di denaro nascesse in realtà da un profondo risentimento nutrito da questi nei confronti dei genitori strettamente connesso alla sua critica situazione clinica. Il figlio, ritenendo di aver subito una violazione del proprio diritto alla riservatezza, sporgeva denuncia querela nei confronti del padre, ravvisando un illecito trattamento di dati, ex art. 167 Codice della Privacy. Da qui traeva origine il procedimento penale. Avverso la decisione della Corte di Appello di Firenze, che ribaltava il giudizio di primo grado assolvendo il convenuto/resistente dal delitto ascrittogli, il ricorrente toscano proponeva ricorso dinanzi alla Corte di Cassazione. A sostegno della propria tesi il ricorrente dichiarava che la diffusione, senza il suo consenso, della documentazione contenente dati sensibili afferenti alla sua sfera intima, gli avrebbe procurato danni sia di natura patrimoniale che non patrimoniale. Aggiungeva infine che la diffusione di dati riguardava una platea indefinita di soggetti, quali giudice, cancellieri, avvocati e praticanti avvocati e gli aveva determinato l’impossibilità di reinserirsi nel mondo del lavoro. La decisione della Corte di Cassazione Con la sentenza n. 23808/2019 (Link) la terza sezione penale della Corte di Cassazione rigettava il ricorso ritenendo che: “Il necessario requisito del nocumento richiesto per la configurazione del reato dall’art. 167 d.lgs. 196/2003 non può ritenersi sussistente, in caso di produzione in un giudizio civile di documenti contenenti dati personali, ancorché effettuata al di fuori dei limiti consentiti per il corretto esercizio del diritto di difesa, in assenza di elementi fattuali oggettivamente indicativi di una effettiva lesione dell’interesse protetto, trattandosi di informazioni la cui cognizione è normalmente riservata e circoscritta ai soli soggetti professionalmente coinvolti nella vicenda processuale, sui quali incombe un obbligo di riservatezza.”  La Suprema Corte dichiarava quindi inammissibile il ricorso, sposando le argomentazioni dei giudici di secondo grado. In particolare, la Corte territoriale negava la sussistenza del reato, non perchè eccedente, non pertinente e contrario ai principi di correttezza nell’esercizio del diritto di difesa nel giudizio civile quanto perché rilevava l’assenza del requisito del nocumento. La nozione di “Nocumento” L’art. 167 D.Lgs 196/2003, modificato dal D.Lgs 101/2018, dispone: “salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se’ o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2- octies, o delle misure di garanzia di cui all’articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2-quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni“. Nell’attuale versione il requisito del nocumento è ancora richiesto, con l’ulteriore specificazione, rispetto al passato, che lo stesso deve essere arrecato all’interessato. I Giudici di ultima istanza, richiamando precedenti pronunce giurisprudenziali, affermano che: “il nocumento è costituito dal pregiudizio, anche di natura non patrimoniale, subito dalla persona cui si riferiscono i dati quale conseguenza dell’illecito trattamento” Il nocumento è da intendersi quindi quale elemento costitutivo del reato, avuto riguardo alla sua omogeneità rispetto all’interesse leso e alla sua diretta derivazione causale dalla condotta tipica, con conseguente necessità che esso sia previsto e voluto o, comunque, accettato dall’agente come conseguenza della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell’azione stessa. Alla luce di questa definizione il soggetto titolare dei dati o delle informazioni protette affinché si perfezioni il reato di illecito trattamento di dati personali deve subire un danno, di qualsiasi natura, quale conseguenza della predetta condotta. Nel caso in esame il ricorrente adduce argomentazioni generiche in ordine al pregiudizio patito. Non offre considerazioni sulla prospettata diffusione dei dati né prova concretamente i danni subiti. Quanto alla diffusione asserita dal ricorrente la Suprema Corte precisa che i soggetti che erano venuti a conoscenza delle informazioni prodotte erano parte del procedimento per ragioni professionali ed in quanto tali assoggettati al dovere di riservatezza. In ultimo la Corte di Cassazione conclude che la facoltà di difendersi in giudizio utilizzando altrui dati personali va esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza stabiliti dalla legge. Sicché la legittimità della produzione di documenti contenenti tali dati va valutata in base al bilanciamento tra il contenuto del dato, cui va correlato il grado di riservatezza, e le esigenze di difesa. Conclusione Per le considerazioni sin qui svolte, pare possa concludersi che la produzione di documenti dai quali emergono dati personali, anche sensibili, è consentita purché nei limiti imposti dalla legge. Sarà quindi necessario una valutazione caso per caso della effettiva necessità di introdurre in un procedimento informazioni esorbitanti rispetto alla materia del contendere. In ogni caso il pregiudizio che ne consegue deve essere sempre supportato da specifiche argomentazioni. VP

Il GDPR nelle Risorse Umane

Il GDPR si rivolge a tutte le aziende europee che trattano dati personali appartenenti a persone fisiche. La normativa ha interessato tutte le aree aziendali ma quella sulla quale si è avvertito un maggior impatto è la funzione delle Risorse Umane (di seguito anche HR). Tale dipartimento, infatti, svolgendo prettamente funzioni di “recruitment” (reclutamento) raccoglie, tratta e detiene una considerevole quantità di dati personali dei candidati. Le aziende devono quindi porre in essere una serie di adempimenti per garantire che il trattamento dei dati personali avvenga in osservanza delle disposizioni del GDPR, per non incorrere in ingenti sanzioni. La fase in cui una società seleziona nuove risorse è caratterizzata dalla raccolta di curricula dai quali si evincono diversi dati personali dei candidati seguita in genere da una fase di colloqui. Queste operazioni rientrano in piena regola nella definizione di trattamento di cui all’art 4, p.to 2, GDPR. I tradizionali processi di raccolta, utilizzo e conservazione delle informazioni degli aspiranti dipendenti devono essere quindi rivisti alla luce della nuova normativa sulla protezione dei dati. Qui di seguito gli aspetti più rilevanti. Consenso Il trattamento dei dati per essere lecito, ai sensi dell’art. 6 GDPR, deve essere sempre sorretto da una base giuridica. Quelle più comuni nel recruitment sono il legittimo interesse del titolare del trattamento ed il consenso dell’interessato. Da tale considerazione si desume che il consenso al trattamento, in presenza di altra condizione di liceità, non è indispensabile al reclutamento di personale, salvo che il trattamento non verta su dati sensibili (“dati particolari”) per il quali invece è sempre richiesto. Il consenso sarà altresì necessario nei casi in cui i dati raccolti siano oggetto di trattamenti automatizzati (inclusa la profilazione). Con l’entrata in vigore del D.Lgs 101/2018 (che novella il vecchio codice Privacy D.Lgs 196/2003) all’art 111-bis si dispone che “Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.” Questa disposizione rubricata “Informazioni in caso di ricezione di curriculum” stabilisce che nei casi in cui la candidatura avvenga in maniera spontanea il consenso non è dovuto poiché in questo caso il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. Si precisa che qualora un soggetto si candidi volontariamente ad una determinata posizione i suoi dati potranno essere trattati solo con riferimento a tale posizione. Diversamente nel caso in cui il candidato fosse ritenuto idoneo a svolgere altro ruolo, i responsabili delle HR dovranno raccogliere un consenso ad hoc. Nella prassi, l’azienda che cerca personale da assumere, in qualità di titolare del trattamento, prima di procedere alla raccolta di tali dati informa i candidati e raccoglie il loro consenso (quando dovuto). [Generalmente, per un eccesso di garantismo le aziende tendono a richiederlo sempre, con i pro e i contro che logicamente ne conseguono.] Il consenso per essere valido deve possedere determinati requisiti. Deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Da questa definizione si desume che: – per la manifestazione del consenso non è richiesta una forma particolare purché sia evidente e chiara; è di tutta evidenza però che il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento; – il consenso deve essere legato ad una precisa finalità: i dati raccolti infatti possono essere impiegati unicamente per le finalità e per i trattamenti per i quali il candidato lo ha prestato; – il candidato deve essere informato su tutto ciò che riguarda i propri dati dalla raccolta (quali dati raccolti?), al trattamento (quali finalità?) e alla conservazione (quanto tempo restano in archivio?) e deve avere contezza dei propri diritti. Per garantire tale trasparenza le aziende (i recruiter in particolare) devono fornire all’interessato una informativa sulla privacy (“privacy policy”). Informativa sulla privacy L’art. 13 del Regolamento europeo prevede che le aziende forniscano agli interessati tutte le informazioni relative all’intero ciclo di vita dei dati personali raccolti (cd. “privacy policy” ovvero informativa sulla privacy). Tale adempimento ha la funzione di garantire i principi di legittimità, correttezza e trasparenza. Il già citato art. 111-bis del Codice novellato stabilisce che l’informativa deve essere resa al candidato successivamente all’invio dei curricula trasmessi spontaneamente, ovvero al primo contatto utile. La privacy policy deve essere facilmente accessibile, solitamente le HR la inseriscono direttamente sull’annuncio lavorativo, o comunque rimandano alla sezione in cui poterla consultare. Più dettagliata sarà l’informativa meno saranno le possibilità per le aziende di incorrere in sanzioni, poiché con le policies si è in grado di assicurare conformità al nuovo Regolamento. Conservazione dei dati Quanto alla “Data Retention” (ovvero la conservazione dei dati), il GDPR precisa che il tempo di archivio dei dati raccolti non può essere indeterminato, deve sempre essere definito nella informativa. Tuttavia non prescrive un periodo massimo. A tale riguardo è bene sottolineare che l’art.11, comma 1, lett. e) del Codice della Privacy dispone che i dati personali oggetto di trattamento devono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati. Ciò detto, se il titolare del trattamento conserva i dati oltre un periodo “congruo” dovrà poi dimostrare la necessità per la quale si è protratto il trattamento. In ogni caso, per scongiurare ipotetiche sanzioni, tale prolungamento temporale deve essere comunicato e giustificato al candidato e da quest’ultimo accordato. L’azienda, pertanto una volta soddisfatto ed esaurito lo scopo della raccolta, è tenuta ad eliminare tutti i dati. Diritti Il GDPR garantisce ai cittadini europei una serie di vantaggi oltre ad un ventaglio di diritti di cui erano sprovvisti in passato. In particolare, il candidato potrà esercitare il: Diritto di REVOCA (art. 7 GDPR): il candidato può, in ogni momento e senza impedimenti, richiedere la revoca del consenso prestato,

GDPR: La gestione dei “visitatori” in azienda

La protezione dei dati personali è divenuto ormai l’obiettivo prioritario delle aziende che, negli ultimi mesi, hanno provveduto, con non poche difficoltà, a conformarsi alle disposizioni contenute nel Regolamento europeo sulla materia (GDPR). L’attenzione alla gestione della privacy è alta, non solo nei confronti dei dipendenti ma anche dei soggetti esterni all’azienda che, a vario titolo, vi entrano in contatto. I “visitatori”, che possono essere fornitori, consulenti, lavoratori per una ditta esterna, sono soggetti estranei all’impresa che, prima di accedervi, devono essere individuati, fornendo un documento di riconoscimento. Il ruolo della reception aziendale Un ruolo importante, in questo senso, è rivestito dalla reception. Questa è l’area di accesso dei dipendenti, dei consulenti continuativi come degli ospiti occasionali dell’azienda. In questa sede, infatti, avviene la prima raccolta dei dati dei soggetti che intendono introdursi nei locali dell’ente. Per i soggetti che non sono alle dipendenze della società la receptionist provvede alla registrazione dei dati, nella quale vengono indicati il motivo della visita, il referente interno con il quale ha appuntamento e la durata dell’incontro. In questa fase, preliminare ed obbligatoria, di identificazione del soggetto, si acquisirà anche il consenso al trattamento dei dati personali. In tale senso, è bene precisare che il trattamento dei dati dei visitatori prevede un serie di adempimenti, a cura dell’impiegato deputato al ricevimento, piuttosto semplici, in alcuni casi realizzati dallo stesso ospite su appositi totem self service. L’addetto alla reception, generalmente, consegna un badge al soggetto (che ritirerà una volta terminata la visita), sottopone all’ospite l’informativa sulla privacy (che dovrà essere sottoscritta) e fornisce le istruzioni in materia di sicurezza sul lavoro da seguire in caso di emergenza (D.Lgs 81/2008). Il badge è, a tutti gli effetti, un documento di riconoscimento (personale e non cedibile) del visitatore che dovrà essere da lui esibito ed indossato durante l’intera permanenza nei locali aziendali. Inoltre, questo strumento consente all’azienda di monitorare gli spostamenti del soggetto nei casi in cui acceda ad aree sottoposte a varchi (tornelli, porte, etc.) il cui transito avviene solo mediante autenticazione. Queste semplici operazioni, in realtà, hanno una rilevanza primaria poiché consentono di avere contezza, in qualunque momento, dei soggetti presenti nella azienda, e, ove necessario, anche di localizzarli al suo interno. I codici di condotta Per la gestione degli ospiti, solitamente, le aziende adottano un codice di comportamento che illustra i principi ai quali questi debbano attenersi dopo aver fatto ingresso nei locali dell’ente. Il predetto documento può disciplinare le modalità di ingresso dei visitatori, per esempio nei casi di accesso ad alcune aree per le quali può essere prevista una specifica approvazione e/o l’accompagnamento da parte di personale interno autorizzato. Può stabilire la condotta che gli ospiti sono tenuti a seguire nel contesto aziendale, per esempio con riferimento al trattamento di informazioni confidenziali ed interne della società occorre osservare i principi di onestà e discrezione, oltre a quanto previsto da leggi, regolamenti nazionali ed europei, policy e procedure interne. Può consentire l’eventuale accesso a sistemi informatici e/o a informazioni riservate societarie a fronte di un conferimento dell’utenza da parte di un referente interno autorizzato e secondo apposite policy e procedure. Può altresì vietare l’uso di sistemi e strumenti elettronici per scopi estranei all’attività lavorativa. Può impedire l’introduzione di strumenti elettronici o altro materiale, anche personale, da parte del soggetto entrante, qualora in conflitto con esigenze di sicurezza. Può infine imporre l’adozione di determinate precauzioni necessarie per proteggere la riservatezza delle informazioni. I diritti dei visitatori con riguardo ai propri dati personali Tutti i soggetti che accedono ai locali e al sistema informativo di una società, sono tenuti al rispetto delle prescrizioni dettate dal D. Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, nonché di tutti i successivi provvedimenti emanati dall’Autorità garante per la protezione dei dati personali, applicabili al contesto aziendale, e a quanto previsto dal Regolamento UE 2016/679. Allo stesso tempo, tali fonti normative riconoscono degli strumenti di tutela in favore di questi soggetti al fine di vedersi tutelati i propri dati personali. Per tale ragione, anche le informazioni raccolte all’atto di registrazione del visitatore devono essere trattate in conformità del GDPR. Le finalità per le quali vengono raccolti i dati del soggetto si esauriscono una volta che il soggetto abbandoni i locali aziendali. Tali informazioni dovrebbero quindi essere conservate nei limiti di questo arco temporale, tuttavia le tempistiche possono essere soggette a variazioni nel caso in cui si siano presentati eventi anomali durante la permanenza dell’ospite. In alcune società l’identificazione del soggetto entrante avviene con l’acquisizione di dati biometrici (art. 4, paragrafo 1, n. 14, GDPR, ad es. impronte digitali, sagoma della mano, colore e dimensione dell’iride, fisionomia del volto, etc.). Per sistemi di riconoscimento così sofisticati, il trattamento deve essere conforme alle disposizioni di legge vigenti e pertanto si rimanda alle linee guida del Garante delle Privacy in materia (Link). In ogni caso, il visitatore ha diritto di conoscere quali dati personali siano in possesso dall’azienda ed ha diritto altresì a richiederne la cancellazione (artt. 15 e ss. GDPR) L’accoglienza dei visitatori in azienda rappresenta evidentemente un aspetto critico. In commercio vi sono diversi sistemi di controllo ed ogni società opta per la soluzione che più aderisce al proprio contesto operativo. Ciò detto, per un azienda sicura e in linea con i principi dettati dalla legge è necessario istruire gli addetti ai desk di ricevimento, che ricoprono un ruolo spesso sottovalutato, e dotarsi di sistemi di monitoraggio efficienti e moderni.   VP

Scroll to Top