PILLOLE PRIVACY N° 18 – LA GEO – LOCALIZZAZIONE IN AMBITO DI LAVORO

/in /by

Pillola 18

GEO-LOCALIZZAZIONE

La localizzazione di oggetti o mezzi utilizzati dai dipendenti o dai collaboratori del Titolare è solitamente legata a specifiche necessità di servizio o alle sue caratteristiche (ad esempio, l’opportunità di garantire la sicurezza di una vettura e dei suoi occupanti).

Il Titolare deve indicare chiaramente agli interessati quali siano le finalità del trattamento, raccogliere gli eventuali consensi e prevedere l’uso di strumenti tecnici per «disgiungere» i dati geografici da quelli personali.

L’ANALISI E LA DETERMINAZIONE DELLE FINALITÀ

Quali sono i documenti che un DPO deve analizzare e gli elementi che deve avere presenti per aiutare il Titolare a prendere decisioni corrette in questo ambito?

Il DPO deve innanzi tutto conoscere le linee guida emesse dal Garante e la ricca libreria di provvedimenti dell’Autorità sul tema, nonché le linee guida europee sulla localizzazione.

Ha inoltre conoscenza del contratto nazionale di lavoro applicabile al settore di mercato in cui opera l’impresa e delle leggi sul lavoro.

È importante che le esigenze aziendali di localizzazione (per esempio la tutela di mezzi e beni, l’ottimizzazione di percorsi, l’accesso ad aree ad alta pericolosità) – e quindi le finalità del trattamento – siano individuate chiaramente nel rispetto della normativa applicabile.

TECNOLOGIA, RISCHIO E MISURE TECNICO-ORGANIZZATIVE

Dopo aver condotto questa verifica, il DPO prende in esame le caratteristiche della tecnologia disponibile e il metodo di conservazione dei dati che si desidera implementare, per valutarne la coerenza con quanto emerso in fase di analisi.

In particolare, dovrà comprendere se il sistema abilita la localizzazione di «persone», individuare i rischi connessi con l’applicazione/tecnologia utilizzata e valutare l’adozione di misure tecniche e organizzative per mitigare eventuali rischi.

Dovrà inoltre fornire indicazioni in merito alla corretta informativa e all’eventuale raccolta del consenso degli interessati.

Se del caso, evidenzierà la necessità di una consultazione preventiva con l’Autorità Garante (qualora, a valle di una valutazione preliminare d’impatto emerga che la tecnologia/applicazione impiegata comporta rischi elevati per gli interessati).

L’eventuale esistenza di regolamenti interni e codici disciplinari aziendali, nonché la necessità di stipulare accordi specifici con le rappresentanze sindacali o con gli ispettorati territoriali del lavoro, devono essere ugualmente tenuti in considerazione per avere un quadro completo e prendere le decisioni adeguate.

PILLOLE PRIVACY N° 17 – LA VIDEOSORVEGLIANZA

/in /by

Pillola 17

I SISTEMI DI VIDEOSORVEGLIANZA

L’utilizzo di sistemi di videosorveglianza da parte delle imprese è molto diffuso, soprattutto per la protezione del patrimonio aziendale e per la sorveglianza di spazi e luoghi.

Tuttavia, il loro impiego richiede alcune verifiche preliminari e alcune accortezze che non possono essere trascurate.

Ciascun Titolare dovrà fare le proprie verifiche in merito ai trattamenti effettuati, assumendo decisioni sulla base di quanto emerso dall’analisi dei rischi effettuata nello specifico contesto in cui opera.

Cosa deve fare, quindi, il Responsabile della Protezione dei dati personali per supportare un Titolare del trattamento che ha intenzione di installare un sistema di videosorveglianza?

In primo luogo, il DPO analizza le indicazioni dell’Autorità Garante sull’argomento (ad esempio provvedimenti dell’8.4.2010, del 29.4.2004, …), le leggi sull’impiego (Legge 300/1970, D.lgs 151/2015 …), il contratto di lavoro applicabile ai dipendenti del Titolare;  tiene conto di quanto previsto da procedure e documenti interni, quando presenti (regolamenti, disciplinari) o da specifici accordi sindacali, di stabilimento o di settore; valuta inoltre le caratteristiche tecniche del sistema che il Titolare intende installare.

Al termine dell’analisi, è in grado di esprimere un parere competente e documentato, indicando al Titolare eventuali passi da compiere prima di attivare il sistema.  Fornisce inoltre indicazioni sull’opportunità di procedere con una valutazione preliminare d’impatto.

Il DPO ha cura di verificare che tutte le comunicazioni fornite agli interessati in merito all’impianto di videosorveglianza installato siano chiare. Si accerta che esse contengano un esplicito richiamo alle leggi vigenti, che illustrino correttamente le finalità di trattamento perseguite e che indichino  i termini di conservazione dei dati personali raccolti.

Eventuali terzi destinatari o responsabili esterni del trattamento devono essere chiaramente indicati; parimenti, le aree oggetto di sorveglianza devono essere segnalate da appositi cartelli, visibili anche al buio qualora la videosorveglianza in alcune zone fosse attiva in orario notturno.

 

PILLOLE PRIVACY N° 16 – COME OPERA IL DPO

/in /by

Pillola 16

IL “FARE” DEL DPO

Dal punto di vista operativo, come deve agire il Responsabile della Protezione dei dati personali?

Qual è il modo di procedere più conveniente quando un problema relativo alla protezione dei dati personali è posto alla sua attenzione?

IL “FARE” – NORME E DOCUMENTI DI RIFERIMENTO

Regolamento europeo e Codice Privacy, ovviamente, devono essere sempre a portata di mano e sono i primi documenti da consultare in caso di dubbi.

Altri documenti di supporto alle valutazioni sono tipicamente costituiti da quanto rilasciato sull’argomento dall’Autorità di controllo (Codici di deontologia, autorizzazioni, vademecum, provvedimenti), da leggi collegate che possono avere un peso sulle decisioni da prendere o da indicazioni emesse dalle associazioni di Categoria.

Per tematiche relative a dipendenti e collaboratori, ad esempio, non si può prescindere dalla conoscenza del contratto collettivo applicato e delle leggi sull’impiego.

IL “FARE” – LE CARATTERISTICHE DEL TRATTAMENTO

Categorie e numerosità dei dati trattati hanno un peso importante nelle valutazioni, come pure le modalità di raccolta, di aggiornamento e di conservazione dei dati, le dotazioni di sicurezza e le modalità di trattamento adottate.

Ogni decisione deve tenere contro di quello che l’organizzazione fa e di come lo fa.

Le indicazioni contenute nel Registro dei Trattamenti, ove presente, permettono di orientarsi e di comprendere come sono svolte le operazioni sui dati personali.

IL “FARE” – IL CONTESTO SPECIFICO

Il livello di consapevolezza e le abitudini di dipendenti e collaboratori devono essere ugualmente valutate per comprendere se siano necessari aggiustamenti, comunicazioni mirate o modifiche ai processi operativi.

La conoscenza del settore di mercato in cui opera l’organizzazione, delle sue caratteristiche operative e degli obiettivi di business sono parte essenziale del bagaglio di competenze che permettono di svolgere al meglio i  compiti assegnati al DPO.

IL “FARE” – OBIETTIVI AZIENDALI NEL RISPETTO DELLA CONFORMITÀ

Bisogna ancora una volta sottolineare che è sempre obbligatorio rispettare e gestire i diritti degli interessati e che ogni intervento deve avere l’obiettivo di consentire il trattamento nel rispetto della conformità.

La salvaguardia della reputazione del soggetto che effettua i trattamenti è un importante obiettivo, al cui raggiungimento concorre l’attività tesa alla riduzione del rischio.  Qualora la riduzione del rischio non sia possibile, o ci siano rischi che fino a quel momento non sono stati correttamente valutati, il Responsabile della Protezione dei dati personali deve portarli all’attenzione del vertice aziendale per le opportune azioni.

La responsabilità delle decisioni, infatti, spetta sempre al Titolare del trattamento e non può essere delegata.

Le prossime pillole conterranno indicazioni e suggerimenti per alcune particolari situazioni di trattamento.

PILLOLE PRIVACY N° 15 – LE COMPETENZE DEL DPO – Parte 2

/in /by

Pillola 15

La capacità di assolvere i propri compiti

Quali sono i compiti del DPO e in che modo, soprattutto, dovranno essere assolti?

Cosa devono cercare o cosa devono aspettarsi le imprese che, per scelta o perché sono obbligate a farlo, decidono di nominare un Responsabile della Protezione dei dati personali?

Rispondiamo a queste domande e forniamo qualche indicazione in merito alle principali aree di intervento di un DPO.

Il nostro Responsabile della Protezione dei dati personali è in grado di prendere decisioni, di assumersi responsabilità, di supportare l’organizzazione, di esprimere un parere.

Interloquisce con l’Autorità di controllo, con i dipendenti e i collaboratori del Titolare e/o del Responsabile e con gli interessati, parlando linguaggi diversi a seconda delle necessità.

Gestisce le risorse assegnate, sia umane sia economiche.

È capace di lavorare in team e, se gestisce un gruppo di persone, è in grado di motivarle per il raggiungimento degli obiettivi aziendali.

Inoltre, documenta le scelte e le decisioni, conservando le evidenze del percorso scelto per assicurare la conformità dopo aver attentamente valutato i rischi.

È assolutamente autonomo in merito a compiti e doveri, e non riceve alcuna istruzione dal Titolare e/o dal Responsabile per la loro esecuzione.

Per la descrizione completa dei compiti del Responsabile della Protezione dei dati personali, rimandiamo all’articolo 39 del Regolamento Europeo 679/2016.

A chi affidare l’incarico

Il Responsabile della Protezione dei dati personali è quindi, per le competenze richieste, un manager; non è casuale che il Regolamento lo collochi a riporto diretto del vertice gerarchico Titolare e/o dal Responsabile.

È perciò opportuno affidarsi a un professionista in possesso dei requisiti che abbiamo descritto in queste pillole, ricordando che Titolari e Responsabili rispondono di tutte le decisioni prese in merito alla protezione dei dati personali, incluse quelle relative all’affidamento di incarichi.

In funzione dello specifico contesto e delle dimensioni dell’organizzazione, è possibile affidare l’incarico a professionisti sia interni sia esterni, purché siano in possesso delle qualità professionali e delle competenze che abbiamo descritto nelle Pillole Privacy n° 14 e n° 15.

PILLOLE PRIVACY N° 14 – LE COMPETENZE DEL DPO – Parte I

/in /by

Pillola 14

QUALITÀ PROFESSIONALI E CAPACITÀ

Il Responsabile della Protezione dei dati personali è designato in funzione delle qualità professionali – in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati – e della capacità di assolvere i propri compiti (GDPR, articolo 37, comma 5).

Il possesso di conoscenze specialistiche è un requisito ovvio. È quasi superfluo dire che il DPO conosce norme e prassi nonché eventuali autorizzazioni o pronunciamenti dell’Autorità di controllo pertinenti allo specifico settore in cui opera. Inoltre legge, si documenta e si mantiene aggiornato.

Dedichiamo invece qualche riflessione supplementare al tema delle qualità professionali e delle capacità che permettono di svolgere il ruolo in maniera efficace.

Qualità professionali

Cosa si intende, esattamente?

Il riferimento è all’insieme delle competenze personali, cognitive, relazionali e organizzative, grazie alle quali, per esempio, si è in grado di ascoltare, comprendere, influenzare e comunicare.

Il DPO lavora sempre in team, anche nel caso in cui l’organizzazione in cui opera non abbia una struttura dedicata alla protezione dei dati personali.

Si interfaccia infatti con tutte le strutture aziendali e coordina i loro sforzi per raggiungere un obiettivo comune: la conformità alla norma.

Per questo, deve comprendere i linguaggi e le problematiche delle singole funzioni organizzative e conoscere i loro specifici compiti.

Nel contempo, ha un quadro chiaro dei processi e degli obiettivi di business del Titolare e/o del Responsabile e li tiene presenti nello svolgimento del proprio ruolo.

Il Responsabile della Protezione dei dati personali non deve essere un “tuttologo” –  qualora la realtà specifica sia molto complessa e richieda una molteplicità di competenze, l’attività può essere svolta da un gruppo di risorse esperte con diverse specialità – ma deve sicuramente sapersi orientare nell’organizzazione e comprenderne le esigenze.

Deve inoltre sapere quando, per prendere una decisione, sia opportuno ricorrere a esperti e raccogliere pareri puntuali.

La conoscenza del mercato di riferimento e la capacità di comprendere l’importanza degli aspetti legali al contesto, nonché la consapevolezza della centralità dell’informatica per l’operatività quotidiana, sono elementi dai quali la sua professionalità non può assolutamente prescindere.

… continua

PILLOLE PRIVACY N° 13 – RISCHI E PRIORITÀ

/in /by

Pillola 13

GESTIRE IL RISCHIO E STABILIRE LE PRIORITÀ.

Il raggiungimento della conformità alla normativa passa per una corretta gestione dei rischi connessi al trattamento dei dati personali, che devono essere inseriti nella più ampia mappatura dei rischi aziendali.

I rischi “privacy” devono essere conosciuti, valutati e controllati, e le scelte sulla loro gestione devono tenere presenti, oltre agli imprescindibili obblighi di legge, le priorità e gli obiettivi dell’organizzazione.

I rischi non sono statici, mutano nel tempo e variano in funzione di fattori, interni ed esterni, che possono essere legati a variazioni normative, di contesto o di processo.

È perciò assolutamente necessario considerare la gestione del rischio come un tema in costante “divenire” che deve essere presidiato con attenzione.

LA VALUTAZIONE DELLO STATO ATTUALE

Per valutare in modo adeguato i rischi “privacy” dell’organizzazione è fondamentale avere una chiara rappresentazione dei suoi processi, della tipologia di dati personali gestiti, delle operazioni di trattamento effettuate, del flusso dei dati e delle responsabilità assegnate alle diverse funzioni.

Il tempo richiesto da questa fase preliminare di analisi è strettamente legato alle dimensioni dell’organizzazione e al settore di mercato in cui essa opera; può richiedere giorni o settimane e deve riguardare l’intera struttura.

L’analisi tiene in considerazione l’esistenza di attività di trattamento di dati personali affidate a ditte esterne e prende in considerazione anche i trattamenti “interni”, cioè quelli che riguardano i dipendenti o i collaboratori.

L’attività può essere svolta internamente o con il supporto di professionisti appositamente ingaggiati.

La valutazione del rischio parte dall’analisi dello stato attuale e dalla fotografia dell’esistente, che permetterà di identificare le azioni da compiere per il raggiungimento della conformità normativa.

DALLO STATO ATTUALE ALLO STATO VOLUTO.

L’analisi degli scostamenti tra la stato attuale e lo stato desiderato permette di individuare gli interventi necessari per il raggiungimento della conformità normativa.

Aziende di dimensioni analoghe che operano nello stesso settore di mercato possono avere situazioni molto diverse in funzione della loro storia e dell’organizzazione dei processi interni.

Dopo aver individuato le attività da svolgere è necessario assegnare loro delle priorità.

L’assegnazione delle priorità è sicuramente condizionata dalle scadenze di legge, come anche dagli obiettivi di business dell’azienda ma deve tenere nel massimo conto i risultati della valutazione di rischio.

I rischi con indice di probabilità e danno più elevati devono essere affrontati per primi, perché sono quelli che possono avere l’impatto più grande sulla vita dell’organizzazione.

È bene stabilire un piano di azione con date certe, assegnando chiaramente ruoli e responsabilità di realizzazione per la conclusione delle attività.

Il risultato di un piano ben eseguito (sono richiesti revisioni e aggiornamenti periodici ed è necessario attribuire la responsabilità della conduzione del piano in modo chiaro) è la riduzione del rischio e l’avvicinamento progressivo allo stato desiderato di conformità.

 

PILLOLE PRIVACY N° 12 – STRUMENTI E METODI

/in /by

PILLOLA 12

IL REGISTRO DEI TRATTAMENTI

TRASFERIMENTI DI DATI ALL’ESTERO

Il trasferimento di dati personali a un’entità o a una sede situata all’estero è ammesso in presenza di adeguate condizioni o garanzie.

Il Regolamento è ugualmente applicabile in tutti i paesi dell’Unione europea e, poiché le regole sono le stesse per tutti, il trasferimento all’interno di questi paesi è per definizione consentito.

Il discorso cambia quando i dati escono dai confini UE.

Diventa allora importante verificare se l’Autorità Garante ha emesso una decisione di adeguatezza per il paese destinatario dei dati; l’esistenza di una simile decisione attesta che le condizioni con le quali avvengono i trattamenti di dati personali all’interno di uno specifico stato sono state verificate e sono considerate congrue.

La situazione è diversa se tale decisione non esiste: in questi casi, spetta al titolare del trattamento verificare l’esistenza di forme di garanzia ammesse dalla legge (quali, ad esempio, la sottoscrizione di clausole contrattuali standard o l’esistenza di norme vincolanti d’impresa).

In assenza di garanzie adeguate di tutela dei diritti e delle libertà fondamentali degli individui, il trasferimento è vietato.

È compito del titolare del trattamento compiere le necessarie verifiche e agire nel rispetto della legge.

AFFIDAMENTO A TERZI DI TRATTAMENTI

È probabile che un’organizzazione decida di affidare, in tutto o in parte, operazioni di trattamento ad attori esterni; sia nel caso di esternalizzazioni complete di un servizio (pensiamo, ad esempio, all’elaborazione delle buste paga) sia nel caso di collaborazioni parziali (pensiamo, ad esempio, alla raccolta dei dati di possibili donatori affidata dalle ONLUS a società specializzate), il titolare del trattamento deve fare in modo che il coinvolgimento di terzi avvenga con regole chiare e responsabilità definite.

L’affidamento a terzi non può essere fatto a cuor leggero ma presuppone una serie di verifiche preliminari, a carico del Titolare, relativamente alla competenza e alla sicurezza offerta dal soggetto scelto.

Il terzo deve essere inoltre nominato, mediante atto formale, Responsabile del trattamento. La nomina riporta informazioni dettagliate sugli obblighi assunti e sul rapporto che lega le due parti e l’accordo è formalizzato mediante un contratto o un atto giuridico, che  contiene una descrizione dettagliata delle attività di trattamento che saranno svolte dal Responsabile esclusivamente dietro istruzione documentata del Titolare.

Il Responsabile dovrà garantire che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza e dovrà impegnarsi a non affidare ad altri Responsabili specifiche attività di trattamento senza la preventiva autorizzazione del Titolare. Eventuali affidamenti a cascata dovranno essere formalizzati sulla base di contratto o atto giuridico che contenga gli stessi obblighi, in materia di protezione dati, sottoscritti dal terzo con il Titolare.

Il Responsabile ha l’obbligo di cancellare o restituire i dati in suo possesso al termine delle attività di trattamento effettuate per conto del Titolare e di assisterlo nel dare seguito alle richieste per l’esercizio dei diritti dell’interessato; tra le altre cose, deve garantire la sicurezza del trattamento e collaborare per la notifica di violazioni dei dati personali.

Il Responsabile, inoltre, può incorrere in sanzioni amministrative rilevanti in caso di violazioni degli obblighi previsti dalla normativa.

… (continua)

PILLOLE PRIVACY N° 11 – STRUMENTI E METODI

/in /by

Pillola 11

IL REGISTRO DEI TRATTAMENTI

PROTEGGERE I DATI, CONSERVARLI E CANCELLARLI.

Le scelte in merito al livello di protezione necessario per rendere sicuro il trattamento dei dati personali sono molto importanti.

Il tema della sicurezza e della misure di protezione tecniche e organizzative è molto complesso e non può essere esaurito in poche righe.

Quello che ci interessa sottolineare è che la sicurezza del trattamento è fatta di tante componenti, la cui criticità e rilevanza strategica variano in funzione del modo di funzionare  dell’organizzazione e del contesto in cui opera.

Coloro che, per esempio, raggiungono i propri clienti attraverso un sito dedicato e svolgono il proprio business essenzialmente attraverso internet, dovranno porre particolare attenzione alle scelte relative alla infrastruttura di rete e all’architettura IT (hardware e software) necessarie a garantire un trattamento sicuro; coloro che , al contrario, utilizzano la tecnologia limitatamente ad alcuni ambiti e funzioni (pensiamo, per esempio, a una scuola) dovranno porre la massima attenzione soprattutto alla organizzazione del lavoro e alla instaurazione di comportamenti “virtuosi” di tutte le parti coinvolte nel trattamento.

Le scelte in merito alle migliori modalità di conservazione dei dati sono, anch’esse, fortemente dipendenti dal contesto in cui opera il titolare del trattamento.

È possibile, per esempio, separare i dati sanitari o altre informazioni sensibili dai dati comuni, utilizzando archivi diversi e protezioni specifiche (quali ad esempio crittografia o pseudonimizzazione) per ridurre i rischi legati a possibili violazioni dovute a intrusioni o comportamenti scorretti.

È invece richiesto dal Regolamento, e perciò obbligatorio, rispettare i termini di cancellazione dei dati personali dichiarati nelle informative.

Capita spesso che i dati, archiviati elettronicamente o in cartaceo, non siano cancellati. In alcuni casi, i titolari non sanno neanche quali siano esattamente i dati di cui sono in possesso e in quali archivi si trovino. Questo, con il Regolamento, non sarà più possibile.

… (continua)

PILLOLE PRIVACY N° 10 – STRUMENTI E METODI

/in /by

PILLOLA 10

IL REGISTRO DEI TRATTAMENTI

Per molte aziende, la compilazione del Registro dei trattamenti non sarà un obbligo.

Tuttavia, consigliamo a ogni organizzazione, indipendentemente dalla dimensione e dal settore di mercato in cui opera, di predisporlo.

È un’ottima occasione per mettere ordine. Si ha in questo modo la possibilità di dotarsi di una mappa che contiene tutte le informazioni in merito alle caratteristiche delle operazioni effettuate e alle entità coinvolte nel processo.

La mappa così costruita, che dovrà essere aggiornata e mantenuta nel tempo per riflettere eventuali variazioni, permette, in qualunque momento, di avere un quadro chiaro in merito ai dati personali trattati dall’azienda e di avere a disposizione tutte le informazioni pertinenti in un unico documento; se consideriamo i dati personali un asset aziendale, al pari degli strumenti tecnologici che permettono di svolgere le attività di lavoro, il Registro dei trattamenti è, a pieno titolo, un “registro degli asset”.

In ogni caso, anche se decidessero di non compilare fisicamente il Registro, il Regolamento richiede alle organizzazioni di:

  • fare un censimento dei dati trattati, identificandoli in base alla categoria;
  • identificare le categorie di interessati al trattamento;
  • avere una chiara rappresentazione di come i dati sono elaborati, protetti, archiviati ed eliminati;
  • indicare il luogo di conservazione fisica degli archivi, verificando che gli eventuali trasferimenti di dati personali avvengano nel rispetto delle garanzie previste per legge.

Che il Titolare e l’eventuale Responsabile del trattamento siano a conoscenza di queste informazioni è dato per scontato; per questo, dovendo mettere mano all’impresa, la compilazione del Registro è veramente l’ultima delle incombenze!

Vedremo dunque, in modo molto sintetico, quali sono i passi necessari ad acquisire le informazioni che i soggetti che svolgono attività di trattamento devono obbligatoriamente possedere.

  • CLASSIFICAZIONE E INVENTARIO DEI DATI PERSONALI.

L’inventario dei dati personali oggetto di trattamento richiede una ricognizione puntuale delle informazioni in possesso dell’organizzazione.

È possibile effettuarlo intervistando, anche con l’utilizzo di appositi questionari, tutte le funzioni aziendali che effettuano operazioni di trattamento. È molto utile, in questa fase, farsi supportare dal responsabile IT o dai responsabili dei diversi ambiti applicativi, che hanno la visione dei flussi e dei processi che insistono sulle stesse basi di dati.

Non è sufficiente classificare i dati personali in base alla loro tipologia (dati comuni, dati relativi alla salute, dati biometrici) ma bisogna stabilire a chi si riferiscono (clienti, dipendenti, terzi esterni, imprese facenti parti dello stesso gruppo, associati), dove siano conservati (luogo fisico, sistemi IT e device) e dove siano fisicamente effettuate le operazioni di trattamento.

Per ciascuno di questi elementi – categorie di dati, categorie di interessati, luogo di conservazione, luogo di trattamento – sarà inoltre necessario verificare l’esistenza delle condizioni di legittimità del trattamento effettuato.

… (continua)

PILLOLE PRIVACY N° 9 – I DATI PERSONALI E …

/in /by

PILLOLA 9

… il marketing diretto

Chi utilizza il marketing diretto per inviare – via email o SMS – informazioni commerciali a clienti o potenziali clienti, alla pari di chi impiega il telefono per contattarli, deve fare molta attenzione agli obblighi di legge.

In primo luogo, l’utilizzo di dati personali per finalità di marketing diretto è ammessa solo con il preventivo consenso del destinatario del messaggio commerciale; pertanto, l’organizzazione dovrà massimamente occuparsi di raccogliere il consenso in modo valido e di conservarne l’evidenza, da esibire in caso di verifiche.

Il Regolamento europeo prevede che il consenso sia richiesto separatamente e specificatamente per ciascun mezzo di contatto e l’interessato ha la libertà di revocarlo in qualunque momento.

Come sottolineato dai provvedimenti emessi in materia dall’Autorità Garante nel corso degli anni, particolari cautele devono essere utilizzate nel caso di telefonate effettuate mediante call centre.

L’obbligo di iscrizione al ROC (Registro degli Operatori di Comunicazione), l’informazione circa il luogo fisico da cui parla l’operatore che risponde al telefono, la possibilità per l’interessato, nell’ipotesi in cui l’operatore sia collocato in un paese extra-UE, di richiedere che il servizio reso sia effettuato attraverso un operatore collocato in un paese dell’Unione Europea o del territorio nazionale… sono incombenze, a carico di coloro che prestano servizio tramite call centre o che si avvalgono di società specializzate, che dimostrano l’attenzione al tema e l’intenzione di ostacolare l’utilizzo scorretto di dati personali.

… l’email aziendale

La riservatezza della corrispondenza è protetta dall’articolo 15 della Costituzione italianale caselle di posta elettronica aziendale assegnate a un individuo chiaramente identificato (tipicamente con nome e cognome) non sono perciò ispezionabili dal datore di lavoro, a meno di specifico intervento della autorità giudiziaria.

I regolamenti interni di una organizzazione possono tuttavia disciplinare e definire modalità di «condivisione» delle email (indirizzi condivisi, indirizzi di reparto, deleghe  in caso di assenza per motivi di salute o di vacanza) per tutelare gli interessi aziendali.