La Normativa Italiana in materia

Cosa dice la legge italiana in materia di
controllo accessi e filtro contenuti su internet?

Quali sono i rischi legali?
Quali le sanzioni e le pene?
Quali i rischi legati alle assicurazioni?

Le Sanzioni

penali

Trattamento illecito di dati comuni
E’ un reato che ricorre quando il soggetto procede al trattamento dei dati in violazione degli art:
• art.18 principi applicabili ai trattamenti effettuati da soggetti pubblici
• art.19 principi applicabili al trattamento effettuato da soggetti pubblici di dati diversi da quelli sensibili e giudiziari
• art.23 norme sul consenso nel trattamento da parte di soggetti privati
• art.123 comunicazioni elettroniche, dati relativi al traffico
• art.126 dati relativi all’ubicazione dell’utente dei servizi di comunicazione elettronica
• art.130 comunicazioni indesiderate
E’ punito con
• la reclusione da 6 a 18 mesi, se il fatto reca danno
• la reclusione da 6 a 24 mesi, se il fatto consiste nella comunicazione o diffusione
In questi casi è previsto il dolo specifico costituito dal fine di trarre per sé o per altri profitto

Trattamento illecito di dati sensibili
Costituisce reato il trattamento dei dati in violazione degli articoli:
• art. 17 trattamento che presenta rischi specifici
• art. 20 trattamento dei dati sensibili da parte di soggetti pubblici
• art. 21 trattamento dei dati giudiziari da parte di soggetti pubblici
• art. 22 Diffusione da parte di soggetti pubblici di dati sanitari, dati di sensibili e giudiziari.
• art. 27 trattamento di dati sensibili da parte di soggetti privati
• art. 45 trasferimento di dati all’estero al di fuori dei casi consentiti dalla legge
E’ punito con la reclusione da 1 a 3 anni. Anche in questi casi è previsto il dolo specifico, al fine di trarre per sé o per altri profitto o di recare ad altri un danno.

Falsità della notificazione, o in atti, documenti o dichiarazioni al Garante
La condotta punita consiste nel comportamento di chi nella notificazione o in comunicazioni, atti documenti o dichiarazioni, resi o esibiti in un procedimento dinnanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie/circostanze o produce atti/documenti falsi.
È punito con la reclusione da 6 mesi a 3 anni, salvo che il fatto non costituisca reato più grave.

Omissione dell’applicazione delle misure di sicurezza
L’omessa adozione delle misure di sicurezza è punita con l’arresto sino a 2 anni e con l’ammenda da 10.000
euro a 50.000 euro.
E’ prevista una clausola speciale di estinzione del reato, che consiste nella regolarizzazione dell’adempimento omesso, seguendo le prescrizioni del Garante e nel pagamento della somma pari al quarto del massimo previsto per la contravvenzione.
Inosservanza dei provvedimenti del Garante:
E’ prevista la pena di reclusione da 3 mesi a 2 anni per l’inosservanza dei provvedimenti del Garante in tema
di:
• autorizzazioni al trattamento dei dati sensibili
• autorizzazione al trattamento dei dati genetici da chiunque effettuato
• inosservanza dei provvedimenti emessi a seguito di ricorso oppure del provvedimento provvisorio di
blocco o di divieto di trattamento emesso a seguito dell’esame di un reclamo

amministrative

Omessa o inidonea informativa - Dati comuni
La condotta punita è la violazione della disposizione che contiene l’informativa
3.000 euro 18.000 euro

Omessa o inidonea informativa - Dati sensibili Giudiziari
La condotta punita è la violazione della disposizione che contiene l’informativa
5.000 euro 30.000 euro

Cessione dei dati in violazione della disciplina prevista art. 162 1
comma
Questo illecito consiste nella cessione di dati in violazione di quanto previsto dell’art. 16 A) e B)
5.000 euro 30.000 euro

Comunicazione dei dati sanitari da parte dei soggetti non autorizzati
art. 162 II comma
L’illecito consiste nella violazione della disciplina della comunicazione dei
dati.
E’ previsto che, i dati idonei a rivelare lo stato di salute possono essere resi noti all’Interessato o a soggetti ex art. 82 II comma da parte di esercenti le professioni sanitarie ed organismi sanitari solo per il tramite di un medico
designato dall’ interessato o dal titolare.
500 euro 3.000 euro

Omessa o incompleta notificazione al Garante
Ex art 37 e 38
10.000 euro 60.000 euro

Omessa informazione o esibizione al Garante
Si sanziona il comportamento di chi non adempia alla richiesta del Garante di fornire informazioni e di esibire documenti. Il potere di richiedere è conferito al Garante in virtù dei suoi poteri di accertamento e di controllo
che gli competono e che esercita principalmente nell’ambito delle decisioni relative a un ricorso.
4.000 euro 24.000 euro

LA LEGGE: COSA DICE IL GARANTE

Lavoro: le linee guida del Garante per posta elettronica e internet
Le regole aziendali, il doppio indirizzo e-mail, il fiduciario, i siti non accessibili

Di seguito riportiamo il pronunciamento del garante in materia di controllo contenuti aziendali:

I datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali. Spetta al datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.

Il Garante privacy, con un provvedimento generale che sarà pubblicato sulla “Gazzetta Ufficiale”, fornisce concrete indicazioni in ordine all'uso dei computer sul luogo di lavoro. “La questione è particolarmente delicata – afferma il relatore Mauro Paissan – perché dall'analisi dei siti web visitati si possono trarre informazioni anche sensibili sui dipendenti e i messaggi di posta elettronica possono avere contenuti a carattere privato. Occorre prevenire usi arbitrari degli strumenti informatici aziendali e la lesione della riservatezza dei lavoratori”.

L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda.

Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica.

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio:

individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l'azienda:

renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;
valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale.

Il Garante ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.

E le assicurazioni?

Può accadere che clienti o dipendenti abbiano diritto a dei risarcimenti perchè l'azienda ha subito un furto di dati sensibili che ha causato loro dei danni. O che una scuola venga citata dai genitori perchè un minore ha avuto libero accesso a materiale illegale o siti per adulti.

Vista la normativa vigente, può accadere che se l'azienda, la scuola o l'ente non dimostra di aver messo in atto delle misure per prevenire questo genere d'accadimenti, le assicurazioni che dovrebbero risarcire le parti sollevino delle obiezioni e non paghino lasciando all'azienda l'onere.

E' bene dimostrare alle compagnie assicurative che si sono messe in atto le contromisure basilari per proteggere la navigazione dei collaboratori e visitatori, si sono attivate contromisure contro le intrusioni dall'esterno e protezioni contro virus informatici.

Vale la pena rischiare?

Metti a norma di legge l'azienda!