Deve compilare un apposito documento l'impresa che vuole trattare dati senza il consenso per un suo legittimo interesse imprenditoriale: si chiama bilanciamento del legittimo interesse o, con l'acronimo inglese, “Lia” (legitimate interest assessment). Si deve usare, ad esempio, per la videosorveglianza aziendale, per molti trattamenti che coinvolgono i lavoratori dipendenti, per i trattamenti relativi al diritto di difesa. Sono casi in cui è impraticabile chiedere il consenso: per squilibrio dei rapporti o per impossibilità di chiederlo o per impossibilità di acquisirlo. Non bisogna dimenticarsene, perché altrimenti scattano le sanzioni dei Garanti della privacy, ex art. 6 del regolamento Ue sulla protezione dei dati (Gdpr). Ma come fare questa “Lia”? Ecco un vademecum pronto all'uso.

Ha combinato un bel pasticcio un’azienda farmaceutica che doveva mandare delle informazioni sanitarie ad un paziente, perché nella fase di invio tramite posta elettronica, tra i destinatari non ha inserito solo il diretto interessato, ma anche altre 1.870 persone che non avrebbero dovuto venire a conoscenza delle informazioni riservate contenute nella comunicazione, e soprattutto delle refertazioni che erano allegate alla mail, dato che la farmaceutica neanche si era preoccupata di impostare un pin o una password per consentire l’accesso al file pdf solo all’unico che ne era legittimato, così che in barba ad ogni tutela della privacy chiunque dei destinatari poteva curiosare nella documentazione dello stato di salute dello sventurato paziente.

A quasi una settimana dalla sua entrata in vigore, il Dlgs “Trasparenza” 104/2022 è ancora oggetto di analisi da parte degli addetti ai lavori, anche alla luce della circolare 4/2022 con cui l’Ispettorato Nazionale del Lavoro ha fornito delle prime indicazioni applicative, soprattutto riguardanti gli aspetti sanzionatori.Con la circolare 11/2022, la Fondazione Studi Consulenti del Lavoro riassume i nuovi adempimenti e il quadro sanzionatorio. 

L'azienda multiservizi che vuole razionalizzare la gestione del proprio parco veicoli può utilizzare anche strumenti di geolocalizzazione satellitare. Ma prima deve effettuare una serie di verifiche, tra cui la valutazione di impatto privacy del sistema. Lo ha evidenziato il Tar Emilia-Romagna, sez. II, con la sentenza n. 618 del 29 luglio 2022.

L’Autorità Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pecuniaria di 100 mila euro a Banca Intesa San Paolo perché un proprio dipendente, funzionario dell’unità crediti della direzione regionale dell’istituto, aveva consultato tramite i terminali della banca i dati del conto corrente dell’ex compagna, correntista dell’istituto di credito.

Al nuovo governo meno di due anni di tempo per eliminare i doppioni nei controlli delle pubbliche amministrazioni sulle imprese, impedire che vengano richiesti documenti già in possesso degli uffici, anche sanzionando i funzionari, mettere al bando le verifiche a sorpresa introducendo la programmazione e sostituire ove possibile le sanzioni con una diffida, che funga da deterrente al mancato rispetto delle regole. A prevederlo è la legge 5 agosto 2022, n. 118, Legge annuale per il mercato e la concorrenza 2021, pubblicata sulla Gazzetta Ufficiale n. 188 del 12 agosto scorso e in vigore dal 27 agosto.

Nonostante circa 1,3 milioni di utenti avessero disattivato la cronologia delle posizioni sui loro smartphone ed altri dispositivi elettronici, Google li aveva ugualmente tracciati raccogliendo i dati di geolocalizzazione e inviando loro annunci pubblicitari mirati in base alla loro posizione e alle loro preferenze.

Nei contratti di fornitura di servizi obbligatorio dilungarsi sugli aspetti riguardanti la privacy. Bisogna spiegare, dettagliatamente e analiticamente, quali sono gli obblighi assunti dal committente e quelli a carico del fornitore: sia a riguardo del trattamento delle informazioni, sia dei requisiti di sicurezza da rispettare. Il regolamento Ue sulla privacy 2016/679 (Gdpr) ha scompigliato i contratti di fornitura di servizi: ogni possibile inadempimento contrattuale rischia di essere un inadempimento privacy (con l'applicazione di sanzioni amministrative) e, viceversa, ogni inadempimento privacy rischia di diventare un inadempimento contrattuale (con possibilità di risoluzione del contratto e pagamento dei danni). L'eccellente scrittura dei contratti è, dunque, la tecnica da usare per diminuire il rischio di sanzioni amministrative o di contenziosi civili.

Imprese al setaccio elettronico delle pubbliche amministrazioni. I controlli sulle attività economiche saranno svolti raccogliendo tutte le informazioni archiviate nei data base degli enti pubblici, che dovranno parlarsi tra loro (in gergo, dovranno essere interoperabili) nel tempo di un click. Lo prevede la lettera g) del primo comma dell'articolo 27 della legge annuale per il mercato e la concorrenza 2021, approvato definitivamente dal senato il 2 agosto scorso. Il tema affrontato è quello delle ispezioni amministrative, che avranno sempre un peso maggiore nel lavoro degli enti pubblici.

Quello delle telefonate commerciali sembra diventare un campo minato per i consumatori. Da un lato, ci sarà lo stop alle telefonate commerciali all'alba o dopo cena, ma, dall'altro lato, se si tocca sullo schermo del telefonino il numero indicato da un risponditore automatico per riceve la proposta pubblicitaria, la sola scivolata del dito sulla cifra indicata potrà legittimamente essere considerata come accettazione del contatto commerciale. Non solo. La richiesta orale, durante la telefonata indesiderata, di non ricevere più telefonate non potrà essere elusa, ma se una persona ricontatta l'esercente o il call center dopo un primo contatto di questi ultimi, diventa lecita anche la prima telefonata dell'operatore commerciale.