Perchè adeguarsi ?IL PACCHETTO PRIVACY SU MISURA PER TE
Ti offriamo un pacchetto chiavi in mano per l’attuazione ed il mantenimento di un sistema per la conformità della tua struttura aziendale al GDPR Regolamento Europeo 2016/679. Contatta lo Staff, facciamo tutto noi!
Loading…
Consulenza gratuita
Richiedi la nostra consulenza gratuita, il nostro staff organizzerà una riunione preliminare per individuare aree critiche e stabilire gli obiettivi
Analisi e mappatura
Una prima analisi per individuare i dati ed i rischi dell'attività, con valutazione dell'impatto sulla privacy, analisi delle lacune e problematiche
Obiettivi e Roadmap
Si provvede a definire le competenze ed i ruoli con la nomina delle figure preposte, definizione delle priorità ed azioni da intraprendere per raggiungere la conformità
Attuazione GDPR
Operatività incarichi, predisposizione documentazione, registro trattamenti, check-up sicurezza, consulenza e formazione dedicata in azienda
GDPR PRIVACY MAGAZINE
TUTTE LE NEWS E GLI AGGIORNAMENTI SULLA PRIVACY IN ITALIA
Loading…
Password vulnerabili? un assist agli hacker. Le regole per sceglierne una robusta
SpecialiLunedì, 17 Gennaio 2022 10:53 Le password meno sicure sono le più usate. E basta meno di un secondo per scoprirle. Al mondo, nel 2021, la parola chiave più usata è stata «123456». Tra le altre password più gettonate: «qwerty», «password» e «1q2w3e» e anche «111111», «123123» e «iloveyou». Passando ai nomi di persona svetta «Micheal», tra i marchi di automobile primeggiano «Ferrari» e «Porsche», tra gli appartenenti alla fauna «Dolphin» ha la posizione più alta (tutte le graduatorie sono rintracciabili sul sito https://nordpass.com). In Italia anche le squadre di calcio scalano la classifica e tra le compagini del football «juventus» conquista questo non invidiabile scudetto. Considerate da altro punto di vista gli analisti riferiscono dati allarmanti per la vulnerabilità dei dispositivi usati tutti i giorni a chiunque: l’84,5% delle credenziali è scoperto, con l’uso di appositi applicativi, in meno di un secondo. E il dato si è aggravato rispetto a quello, 73%, registrato nel 2020. Esistono tra l’altro tabelle riepilogative sul tempo necessario alla intercettazione della password e anche siti che misurano questo lasso di tempo. Per esempio, accedendo a https://www.security.org/how-secure-is-my-password/ è possibile ottenere immediatamente un riscontro sul tempo che è necessario a un malfattore cibernetico per svelare le credenziali. Diventa, quindi, cruciale sapere come scegliere una buona password. Anzi, poiché la vita, anche nei suoi aspetti quotidiani si svolge in rete, una efficace scelta delle password è necessaria come chiudere la porta di casa quando si esce. È paradossale oltre che autolesionista, quindi, un comportamento lassista o di sottovalutazione, che pur di assecondare la pigrizia e l’inerzia, accetti di correre rischi così alti. Rischi che il sistema di protezione pubblica non dimostra di essere in grado di arginare. Insomma, in rete bisogna aiutarsi da sé a partire dalle parole chiave. A questo riguardo un vademecum divulgativo è stato steso dal Garante della privacy. Impostazione corretta – Stando ai consigli del Garante una buona password deve essere abbastanza lunga: almeno 8 caratteri, anche se più aumenta il numero dei caratteri più la password diventa «robusta» (si suggerisce intorno ai 15 caratteri). La credenziale, poi, deve contenere caratteri di almeno 4 diverse tipologie, da scegliere tra: lettere maiuscole, lettere minuscole, numeri, caratteri speciali (cioè punti, trattino, underscore, ecc.). Non si devono inserire riferimenti personali facili da indovinare (nome, cognome, data di nascita, e così via). La parola chiave non deve nemmeno contenere riferimenti al nome utente (detto anche user account, alias, user id, user name). Inoltre, è meglio evitare che contenga parole «da dizionario», cioè parole intere di uso comune: è meglio usare parole di fantasia oppure parole «camuffate» per renderle meno comuni, magari interrompendole con caratteri speciali (per esempio: caffè può diventare caf-f3). Il Garante informa che esistono infatti software programmati per tentare di indovinare e rubare le password provando sistematicamente tutte le parole di uso comune nelle varie lingue, e con questa accortezza si può rendere il loro funzionamento più complicato. Il Garante ricorda anche che la password andrebbe periodicamente cambiata, soprattutto per i profili più importanti o quelli che si usano più spesso (e-mail, e-banking, social network). Gestione precisa – Il Garante avverte che bisogna utilizzare password diverse per account diversi (e-mail, social network, servizi digitali di varia natura). In caso di furto di una password si evita così il rischio che anche gli altri profili che appartengono alla stessa persona possano essere facilmente violati. Altra accortezza importante è quella di non utilizzare password già utilizzate in passato. Occorre poi ricordare che le eventuali password temporanee rilasciate da un sistema o da un servizio informatico vanno sempre immediatamente cambiate, scegliendone una personale Meccanismi multi-fattore – Il Garante consiglia, per stare più tranquilli, di utilizzare (non sempre disponibili) meccanismi di autenticazione multi-fattore (come codici Otp one-time-password), che rafforzano la protezione offerta dalla password. Conservazione – Per garantire un livello di sicurezza bisogna pensare a scegliere bene le password e, poi, a conservarle ancor meglio: le password non vanno mai scritte su biglietti che poi magari si conservano nel portafoglio o in borsa, o che si possono distrattamente lasciare in giro, oppure in file non protetti sui dispositivi personali (computer, smartphone o tablet). Bisogna evitare sempre di mettere altri a conoscenza delle password via e-mail, sms, social network, instant messaging. Anche se comunicate a persone conosciute, le credenziali potrebbero essere diffuse involontariamente a terzi o rubate da malintenzionati. Se si usano pc, smartphone e altri dispositivi che non ci appartengono, va evitato sempre di lasciare conservate in memoria le password utilizzate. Valutare i gestori – Si tratta di programmi specializzati che generano password sicure e consentono di appuntare in formato digitale tutte le password salvandole in un database cifrato sicuro. Ce ne sono di vario tipo, gratuiti o a pagamento. Il Garante lascia ai singoli la valutazione se usarli o non usarli. di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 17 gennaio 2022)
20. Gen 2022
Regolamenti & Policy: il concetto di ‘responsabilizzazione’ come fulcro del sistema di gestione della privacy
Primo PianoMercoledì, 13 Ottobre 2021 11:38 Il Regolamento generale sulla Protezione dei Dati ha evidenziato la centralità di un elemento chiave per ciò che attiene alla tutela della privacy nella realtà aziendale: quello di “responsabilizzazione”, o accountability. Un concetto che diviene dunque dirimente nel processo di trattamento e imprescindibile per tutte le varie fasi che ne costituiscono la dinamica. In via preliminare, la “responsabilizzazione” – assioma capace di coinvolgere dunque interi settori professionali – sottolinea come chiunque si trovi a trattare i dati debba necessariamente adeguarsi alla vigente normativa sulla protezione delle informazioni personali. (Nella foto: Stefano Pacitti, delegato Federprivacy a Campobasso e membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale) Da un punto di vista pratico, invece, la correttezza delle procedure in questione si esplica sostanzialmente in una operatività rispettosa dei principi e delle disposizioni presenti nel Regolamento, nella consapevolezza dei rischi che il trattamento può comportare, ma anche nella adozione di misure tecnico-organizzative (anche certificate) che consentano di garantire procedimenti conformi alle prescrizioni, così come di prevenire i possibili pericoli in termini di adeguata sicurezza. Proprio a questo proposito si esprimono, in particolare, gli artt. 5, par. 2, 24 del GDPR ed il Considerando n. 74, i quali individuano una vera e propria forma di responsabilità giuridica posta in capo al Titolare del trattamento, con riferimento all’attuazione dei principi fondamentali di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza e aggiornamento, limitazione della conservazione, integrità e riservatezza ed all’adozione delle misure e delle politiche idonee alla protezione dei dati trattati. Ecco perché, se il Titolare è in grado di dimostrare la propria responsabilizzazione, riduce appunto il rischio di incorrere in violazioni e, soprattutto, nelle pesanti sanzioni amministrative pecuniarie contemplate dall’art. 83, parr. 4 e 5, GDPR oltre che in quelle penali. Ma il processo di responsabilizzazione passa anche attraverso tutti i soggetti che – all’interno dell’organizzazione aziendale – sono deputati alla gestione ed al trattamento dei dati personali per conto del Titolare: tutti costoro devono essere opportunamente “istruiti”, come previsto dal Regolamento, nell’ottica di una corretta operatività. È facile quindi comprendere, di conseguenza, l’importanza di specifici regolamenti o policies aziendali che vadano ad integrare il modello organizzativo in tema di privacy. I primi sono volti a individuare dettami e norme (che si sovrappongono a quelle contrattualcollettive) al fine di proceduralizzare e rendere chiare alla totalità dei dipendenti le istruzioni e le regole comportamentali per una corretta gestione di specifici aspetti. Le policies, invece, individuano tutte le possibili casistiche che possono coinvolgere il dipendente (in quanto figura attiva al trattamento) con i relativi processi di rischio, in modo da renderlo edotto sul da farsi ed evitando così errori, violazioni o trattamenti illeciti. Strumenti, questi, capaci di garantire un fedele adeguamento alle normative nazionali ed europee, ma anche di tutelare il Titolare da eventuali contestazioni rinvenibili a più livelli, interni ed esterni alla propria struttura. Dal sito di Federprivacy
22. Ott 2021
Se il committente esternalizza servizi senza firmare contratti che fissino le clausole privacy tutta la filiera di fornitori e subfornitori paga le sanzioni
SpecialiSabato, 11 Settembre 2021 12:34 Contratto privacy coatto. Quando si esternalizzano servizi, se il committente, fornitore e subfornitore non firmano contratti che fissino le clausole privacy, tutta la filiera paga le sanzioni amministrative, previste dal regolamento Ue n. 2016/679 (Gdpr). Come è capitato a un importante comune, alla società di gestione dei parcheggi e alla società che ha fornito parcometri di ultima generazione. Tutti e tre sono stati sanzionati dal Garante della privacy (provvedimenti n. 292, 293 e 294 del 22/7/2021), in relazione a una vicenda che aveva al centro la memorizzazione di milioni di dati, in parte trasmessi su canali digitali non sicuri. Nel corso dell’accertamento è emerso che questi smart-parcometri sono utilizzabili per pagare sanzioni e tributi o per acquistare e rinnovare abbonamenti e biglietti del trasporto pubblico, oltre che a pagare la sosta, inserendo anche il numero di targa del veicolo. Una quantità di dati enorme, potenzialmente incrociabili e, quindi, possibile fonte di accessi abusivi. Un malintenzionato avrebbe potuto controllare in maniera massiva qualunque targa, e magari conoscere le abitudini di una persona e i luoghi di sosta, senza lasciare alcuna traccia nel sistema informativo. L’esposizione dei dati, trasmessi su canali non sicuri, è certamente una grave mancanza di precauzioni nell’uso delle tecnologie, ma i provvedimenti del Garante mettono anche in evidenza che la scure del Gdpr cala in relazione a violazioni documentali. Le sanzioni della privacy, dunque, colpiscono non solo per violazioni sostanziali, cioè quando la privacy è effettivamente danneggiata, ma anche perché non si sono scritti certi documenti. E può trattarsi anche di contratti, che la cui stipulazione non è più rimessa alla libera decisione delle parti (p.a. o imprese, è lo stesso), ma diventa vincolata, a pena di sanzione pecuniaria. In questo caso, il comune non ha stipulato un contratto con la società di gestione dei parcheggi (per l’affidamento dell’incarico di responsabile di trattamento, ai sensi dell’articolo 28 Gdpr) e quest’ultima non ha fatto altrettanto con la fornitrice dei parcometri (per l’affidamento dell’incarico di sub-responsabile di trattamento). Tanto è bastato per far scattare la sanzione. Peraltro, nel caso specifico il gestore dei parcheggi aveva invano sollecitato il comune a perfezionare il contratto: ciò non è stato sufficiente a scongiurare la sanzione. Per evitare la sanzione, in caso di inerzia del committente, ci sarebbe una sola via di uscita e cioè lo scioglimento del contratto di servizio (cosa comprensibilmente comunque critica). In ogni caso, se non c’è il contratto ex articolo 28 Gdpr, il trattamento è illegittimo. Altro documento, che bisogna scrivere, è il registro dei trattamenti (articolo 30 Gdpr): se non c’è, si passa alla cassa delle sanzioni (come stabilito dai provvedimenti in commento). Con altro provvedimento (296 del 22/7/2021) il Garante ha sancito che la trasparenza amministrativa cede il passo alla privacy, quando si tratta di dati sulla condizione di disagio economico e sociale delle persone (punita una regione, che ha diffuso sul sito web i dati di più di 100 mila studenti, richiedenti borse di studio o sussidi economici per l’acquisto di libri, dotazioni tecnologiche e strumenti per la didattica). Infine, con due pareri (290 e 291 del 22/7/2021) il Garante ha dato via libera al ministero dell’interno e all’Arma dei carabinieri all’uso delle body cam per documentare situazioni critiche di ordine pubblico in occasione di eventi o manifestazioni. Con due condizioni: niente riconoscimento facciale e cancellazione dei dati dopo 6 mesi. di Antonio Ciccia Messina (Fonte: Italia Oggi dell’11 settembre 2021)
14. Ott 2021
Formalizzazione dei ruoli previsti dal Gdpr: per imprese e p.a. è bene mettere nero su bianco chi fa cosa
SpecialiLunedì, 27 Settembre 2021 11:25 Sbagliare la qualifica privacy può costare caro. La sanzione prevista dal Gdpr arriva fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale annuo delle imprese. Per evitare ciò le imprese e le pubbliche amministrazioni devono districarsi tra le varie qualifiche e mettere sempre nero su bianco in un apposito atto/contratto il risultato di questo approfondimento. La mancata formalizzazione di ruoli è, infatti, autonomamente sanzionata, come è dimostrato dai provvedimenti n. 292, 293 e 294 del 22/7/2021 (si veda l’articolo dell’11 settembre 2021). In generale, le figure privacy sono: titolare del trattamento, contitolare, responsabile esterno. E, se la definizione astratta sembra semplice, tutt’altro che facile è l’individuazione in concreto. Il titolare decide finalità e modalità del trattamento; i contitolari, invece, decidono insieme le predette finalità e modalità; il responsabile del trattamento è un fornitore esterno, che tratta dati per conto del titolare e, quindi, agisce per le finalità e nell’ambito delle modalità decise dal titolare. Queste le definizioni generali, che però vanno calate nella realtà dei rapporti commerciali e istituzionali, che non sono mai così netti e, anzi, vi è quasi sempre promiscuità nelle posizioni e nei compiti. Per agevolare il percorso, non si può fare altro, dunque, che elaborare alcuni criteri indiziari, ciascuno non decisivo, ma utilizzabili in maniera sistematica per optare per una o l’altra qualifica. L’impresa, il professionista, l’associazione e l’ente pubblico potranno rispondere ai quesiti proposti nella pagina e individuare almeno con una valutazione di prevalenza, se orientarsi verso la titolarità oppure verso il rapporto tra titolare e responsabile. In quest’ultimo caso è d’obbligo la redazione di un contratto seguendo lo standard dell’articolo 28 del Gdpr. Se, invece, ci si sposta verso l’asse del rapporto di contitolarità, è necessario sottoscrivere un accordo ai sensi dell’articolo 26 Gdpr. di Antonio Ciccia Messina (Italia Oggi del 27 settembre 2021)
14. Ott 2021
È cambiato il concetto di privacy (e forse irreversibilmente)
Il punto di vistaSabato, 25 Settembre 2021 08:43 Durante il periodo più acuto della pandemia e ancora in questi giorni si è sviluppato nel nostro Paese e nel mondo un ampio e acceso dibattito sulla possibilità di utilizzare nelle fasi post-lockdown delle app di tracciamento cioè sistemi di rete che possono identificare i contatti con possibili portatori del virus. Al di là delle problematiche giuridiche relative alla procedura di attuazione le questioni più spinose attengono al merito e si ricollegano al grande tema della tutela della privacy. Senza dubbio un diritto fondamentale dell’individuo e un pilastro del pensiero liberale che segna il discrimine tra i sistemi democratici e quelli dittatoriali, ma questo diritto è già da tempo in grande attacco (o, quantomeno, in grande evoluzione) massacrato dalla rete e dai big data. Facciamo un po’ di storia. Per decenni uno dei principali principi ispiratori delle leggi a tutela della privacy è stato lasciare il controllo ai singoli individui consentendo loro di decidere se, come e da parte di chi potevano essere processate le proprie informazioni personali. Nella prima fase dell’era di Internet questo encomiabile ideale si è trasformato nel meccanismo burocratico del “consenso informato”. Nell’era dei social e dei “big data” il consenso informato non regge più sia per l’enormità degli individui coinvolti (quasi 4 miliardi e 400 milioni connessi alla rete, dati del 2019; di cui circa un miliardo e 800 milioni solo attraverso Facebook, dati del 2021) sia perché il grosso del valore dei dati raccolti dalle piattaforme sta in utilizzi secondari che, spesso, non si potevano nemmeno immaginare al momento della raccolta dati. E’ quindi chiaro che, in questo scenario, la tutela della privacy si deve necessariamente spostare sempre più dal consenso individuale espresso nel momento della raccolta alla responsabilizzazione degli utilizzatori dei dati per quello che fanno. E che, deve essere ben chiaro, hanno sempre saputo quello che facevano (nonostante quello che Mark Zuckerberg va dicendo e scrivendo da tempo). Al riguardo, voglio ricordare le parole pronunciate qualche anno fa (nel giugno 2015, quando il tema del furto dei dati via social non era nemmeno alle viste) da Tim Cook già allora ceo di Apple (e già allora uno degli uomini più influenti al mondo) per mettere in guardia i propri clienti – ma in realtà tutti i navigatori del web – sui rischi crescenti per la loro privacy. (Nella foto: Mauro Masi, Presidente di Consap, delegato italiano alla Proprietà intellettuale) Cook, senza fare alcun nome specifico, ebbe da dire con molta chiarezza: «attenzione, alcune delle società più importanti e di successo hanno costruito il loro business cullando i clienti con false rassicurazioni sulle informazioni personali e… un giorno o l’altro i clienti le vedranno per quello che sono realmente, sarà un impatto molto duro». Quindi si può (anzi, si deve) approfondire ogni aspetto delle possibili app di tracciamento senza però dimenticare che il mondo in cui vivevamo anche prima della pandemia ha già profondamente (e, forse, irreversibilmente) cambiato il concetto di privacy individuale. di Mauro Masi (Italia Oggi del 25 settembre 2021)
30. Set 2021
Sicurezza informatica in outsourcing: vantaggi e soluzioni per PMI
di Redazione odisseoprivacy.it scritto il 27 agosto 2021 Garantire la cybersecurity in azienda con un piano strategico e competenze specifiche: affidarsi a un Security Provider qualificato in outsourcing può fare la differenza. Le piccole e medie imprese, esattamente come le aziende di grandi dimensioni, subiscono continuamente attacchi che hanno come bersaglio la sicurezza informatica. La digitalizzazione che ormai coinvolge la stragrande maggioranza delle imprese, inoltre, sta rendendo ancora più cogente e concreto questo pericolo. Anche le piccole attività che si affacciano al digitale devono fare uno sforzo in più per proteggersi in modo sicuro, efficace e conforme al Regolamento Europeo sulla privacy 2016/679 (DGPR). Qual è la strategia più efficace per proteggere i dati dei propri clienti, fornitori e dipendenti, le risorse, i sistemi e le reti aziendali? Questo quesito pone le PMI davanti a una scelta che richiede impegno, ponderatezza e conoscenza dell’importanza del problema. La maniera più semplice sembra essere quella di incaricare della cybersecurity e della privacy chi già si occupa della manutenzione e aggiornamento delle infrastrutture informatiche aziendali. Questo soggetto può essere sia una figura interna all’azienda sia un consulente esterno. Questa decisione è legata a problemi di natura economica, dettate da possibili carenze di risorse. Non tutte le imprese, infatti, hanno la possibilità di assumere un responsabile interno della sicurezza informatica o il cosiddetto DPO previsto dal Regolamento UE 2016/679 o il meno impegnativo Responsabile interno incaricato per la privacy. Considerare la sicurezza della privacy e la manutenzione ed aggiornamento del sistema IT aziendale come un’unica responsabilità, può rivelarsi una scelta negativa, deleteria e controproducente in quanto può impedire che la sicurezza privacy venga svolta in modo conforme alla norma e nel migliore dei modi. Anche perché bisogna “costruire” tutto un sistema, affidare gli incarichi fra i soggetti adibiti al trattamento dei dati (ufficio acquisti, ufficio vendite, ufficio del personale, videosorveglianza, ecc.). Verificare quali sono i possibili rischi fisici (incendio, cortocircuito, furto, danni atmosferici, ecc.) e quelli informatici veri e propri e trovare le soluzioni idonee e conformi alle disposizioni normative. Verificare, infine, con audit interni o esterni se il sistema funziona adeguatamente e secondo le regole o continuare con corsi di formazione rivolti agli addetti per sanare i difetti e garantire il funzionamento del sistema. Periodicamente, almeno annualmente, va ripetuta la ricerca di possibili rischi e soluzioni per porvi rimedio. A sottolineare l’importanza di avere un sistema autonomo di gestione della cyber security e della privacy, interno o in outsourcing (esterno) sono anche gli standard di settore (ISO 27001:2013 e NIST CSF e Regolamento UE 2016/679 sulla privacy). Ostacolo per dare l’incarico all’interno al responsabile della sicurezza ed aggiornamento del sistema IT potrebbe essere l’insufficiente conoscenza da parte del soggetto o dei soggetti di quelle importanti norme che regolano il tutto e che si riferiscono a temi tanto impegnativi che potrebbero comportare sanzioni pecuniarie e financo penali per il Titolare dell’azienda. Per rendere realmente efficace una simile strategia, infatti, è basilare ed indispensabile rivolgersi a competenze specifiche e nel continuo aggiornamento delle stesse, che devono individuare le possibili minacce in continua evoluzione e trovare le soluzioni idonee per controbatterle. Le priorità dei soggetti addetti alla manutenzione ed aggiornamento del sistema IT che supporta il business, inoltre, possono non adeguarsi alle necessità di chi deve garantire la massima protezione ai dati, ai sistemi e ai dipendenti, generando una disputa ed un mancato allineamento alle norme che può nuocere alla stessa azienda. Un piano strategico di sicurezza informatica e della privacy, idoneo nel lungo periodo, dovrebbe prevedere l’opportunità di rivolgersi a uno specialista da assumere all’interno o in outsourcing o un’azienda specializzata in materia, in grado di supportare la ditta nella gestione del rischio e nel trovare le soluzioni in ogni direzione. La sicurezza informatica comprende funzioni e necessità che non riguardano solo gli aspetti hardware e software di un sistema, ma anche i pericoli legati ai dati che sono gestiti e conservati nei sistemi tecnologici. La nostra azienda (odisseoprivacy.it) ha nel suo organico specialisti nella materia che provvedono a predisporre tutto quanto necessario per essere conforme alle norme ed in particolar modo al Regolamento europeo sulla privacy 2016/679 (GDPR) per la sicurezza fisica e la sicurezza informatica per PMI e grandi imprese private e pubbliche: L’impatto di una minaccia informatica può essere importantissimo per un’azienda dal punto di vista economico (oltre che penale). È quindi necessario che la strategia di contrasto a questi potenziali rischi debba essere riconducibile a una decisione ai massimi livelli aziendali. La mancata cognizione comporta che la decisione nelle piccole aziende vengano affidate ai manutentori ed aggiornamento dei sistemi IT.A cura di Odisseoprivacy.it
27. Ago 2021
Videosorveglianza e data breach sotto la lente del Garante Privacy
Flash News FederprivacyDomenica, 22 Agosto 2021 14:3 Meglio non trascurare le regolarità dei sistemi di videosorveglianza pubblici e privati, valutando attentamente la base giuridica del trattamento, la durata della conservazione delle immagini, le informative, e facendo particolare attenzione ai data breach e al trattamento eventuale di dati biometrici. Con deliberazione 22 luglio 2021 [doc.web 9689657], lo ha chiarito il Garante per la protezione dei dati personali, che ogni semestre fornisce indicazioni generali sui controlli da effettuare di propria iniziativa o tramite il Nucleo Speciale Privacy e Frodi Telematiche della Guardia di finanza. Per il secondo semestre del 2021 sotto osservazione saranno soprattutto gli impianti di videosorveglianza pubblici e privati. In particolare quelli che trattano dati biometrici per il riconoscimento facciale. Anche la videosorveglianza aziendale richiede quindi l’installazione di un cartello con tutte le informazioni minime ed il rinvio ad una idonea informativa di secondo livello che può essere pubblicata anche sul sito web aziendale oppure fornita in modalità ordinarie, come ha chiarito lo stesso Garante con l‘ordinanza ingiunzione n. 191 del 13 maggio 2021, in cui il nucleo tutela del lavoro dei carabinieri di Ferrara ha accertato il posizionamento di alcune telecamere all’interno di un’azienda senza il posizionamento in loco di alcun cartello o informativa. Al ricevimento della segnalazione il Garante ha attivato una procedura sanzionatoria che si è conclusa con l’applicazione di una sanzione amministrativa. L’art. 13 del regolamento europeo n. 679/2016, il Gdpr, prevede l’applicazione di un cartello sintetico con rinvio ad informazioni di dettaglio sulle finalità del trattamento e sui diritti dell’interessato. In considerazione della particolare attenzione che il Garante pone sui sistemi di videsorveglianza, nell’ultima parte del 2021 Federprivacy ha promosso due eventi formativi dedicati a questi delicati temi, rispettivamente il “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” di quattro ore in agenda per il 25 settembre, e anche il “Corso Specialistico per Privacy Officer nel settore Videosorveglianza” di 16 ore, con lezioni di quattro ore ciascuna in programma il 14, 21, 28 ottobre e l’ultima il 4 novembre. Oltre gli impianti di videosorveglianza, nel secondo semestre del 2021 sotto la lente dell’Autorità vi saranno anche i trattamenti effettuati dalle società di marketing e di profilazione, dai data broker e dalle banche dati reputazionali, e anche i trattamenti effettuati dagli istituti di ricovero e cura e dalle società rientranti nel settore del food delivery e ai data breach.
26. Ago 2021
I criteri per progettare un sistema di Videosorveglianza conforme ai princìpi di privacy by design e by default
FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.; – La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema. – La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie. Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza) Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”). In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire: – A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza; – La finalità e l’ambito di applicazione del progetto di videosorveglianza; – Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno); – Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata; – La durata delle registrazioni video; – Le modalità di conservazione delle videoregistrazioni; – La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza; – Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa; – Le procedure in caso di data breach; – Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle); – Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.); Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario). Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare: – La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti; – La protezione dei canali di trasmissione; – La cifratura dei dati; – L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici; – Il rilevamento di guasti di componenti, software e interconnessioni; – L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici. Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability). Articolo di Marco Soffientini, docente del “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” e del corso “Corso Specialistico per Privacy Officer nel settore Videosorveglianza”
26. Ago 2021
Il consenso va acquisito per ciascun passaggio dei dati tra più titolari.
Il consenso, inizialmente rilasciato da un cliente ad una società, anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni, infatti, non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso. A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati personali per attività di telemarketing, che non aveva raccolto direttamente, ma che aveva acquisito da altre fonti. Iren, infatti, aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren. L’ammontare della sanzione applicata dal Garante è stato motivato anche dal fatto che le liste anagrafiche, prive di tutti i consensi necessari e di cui il Garante ha vietato ogni ulteriore utilizzo a fini promozionali, riguardavano diversi milioni di persone. L’Autorità ha, infine, rivolto un avvertimento alla società per aver fornito una rappresentazione ed una documentazione probatoria incompleta ed inidonea durante l’istruttoria. Lo Staff IusPrivacy è pronto per offrire ulteriori informazioni. https://www.iusprivacy.eu/contatti.jsp
30. Giu 2021
Privacy dipendenti, violazione con sanzione duplice: penale ed amministrativa.
Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e l’adozione di un adeguato sistema di protezione dei dati dall’altra. Il sistema di gestione privacy con l’obiettivo della salvaguardia dei diritti fondamentali assume, non dimentichiamolo, una doppia valenza per le imprese: sicurezza informativa e sviluppo digitale; corretta gestione dei dati nelle dinamiche del diritto del lavoro. E’ proprio in questa ottica che l’adozione di un modello adeguato di protezione dei dati si inserisce perfettamente nell’ambito della responsabilità sociale di impresa. Questo perché etica, sostenibilità e responsabilità sono i pilastri non solo del GDPR ma anche di quelle imprese che guardano al futuro ed a un mondo del lavoro che sta cambiando (smart working, in primis). È proprio in questa ottica che va guardata la vicenda che ha visto intervenire il Garante. Il caso Ai fini di un procedimento disciplinare contro un lavoratore, in un caso dei mesi scorsi che ha fatto scalpore per l’entità della sanzione comminata (40mila euro), la società aveva utilizzato informazioni recuperate dal proprio sistema informatico violando i limiti di conservazione e registrazione stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Come ha ricordato il Garante: in base alla vigente disciplina di settore i trattamenti di dati personali possono essere effettuati mediante l’utilizzo di strumenti tecnologici qualora questi ultimi siano impiegati “esclusivamente” per il perseguimento in concreto di finalità predeterminate (per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale), così come individuate nell’autorizzazione rilasciata dall’autorità pubblica (in mancanza di accordo con le rappresentanze dei dipendenti; v. art. 4, l. 20.5.1970, n. 300). La norma di settore, richiamata espressamente dalla disciplina in materia di protezione dei dati personali, costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento. È evidente, quindi, che proprio nella prospettiva dell’integrazione delle due normative che occorre approcciarsi al sistema di protezione e gestione dati, in quanto ciò permetterà di evidenziare tutti gli eventuali limiti e debolezze delle procedure aziendali. L’imprenditore, prima di procedere alla formale contestazione, avrebbe ben dovuto tener conto che il proprio sistema informatico di monitoraggio, diversamente da quanto comunicato all’Ispettorato del lavoro e da quanto indicato nell’informativa, permetteva la raccolta illegittima di informazioni sull’attività lavorativa dei dipendenti. Non solo, dall’istruttoria è anche emerso che quei dati (che comunque non si sarebbero dovuti raccogliere) erano anche stati utilizzati per finalità ulteriori e non previste dalle medesime informative e autorizzazioni. Tra le finalità di trattamento non rientra né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro, né, tanto meno quella preordinata al perseguimento del “legittimo interesse del titolare”, che costituisce in termini generali una delle condizioni di liceità del trattamento a condizione, peraltro, che il titolare effettui preventivamente un test comparativo rispetto agli interessi o i diritti o le libertà fondamentali dell’interessato. A ciò deve pure aggiungersi che sono state riscontrate irregolarità anche nei tempi di conservazione. Dalla lettura del provvedimento, infatti, sembrerebbe che vi sia sta confusione tra dato anonimizzato, che ha tempi di conservazione pressoché illimitati, e dati pseudonimizzati (come quelli dell’azienda sanzionata) che proprio perché riconducibili a soggetti determinati in associazione ad altre informazioni (di cui il datore di lavoro era in possesso), impongono tempi di conservazione non superiori al conseguimento delle finalità di trattamento perseguite. Pertanto ancora una volta è imporrante sottolineare come l’adozione di un sistema di gestione GDPR, lungi da mettere freni allo sviluppo dell’attività imprenditoriale, deve essere utilizzato come adeguato strumento di sviluppo e tutela: la questione non è se compiere una scelta o meno, ma – nei limiti del rispetto dei diritti fondamentali – come metterla in atto. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e ha ingiunto il pagamento della sanzione. Si conclude riportando la rilevante precisazione che il Garante offre a conclusione del proprio provvedimento, laddove l’Autorità osserva, infine, che il proprio accertamento non costituisce una duplicazione rispetto alla decisione del giudice penale, considerato che mentre la sanzione penale – alla luce della natura personale della relativa responsabilità – può essere applicata nei confronti della persona fisica ritenuta colpevole del reato, l’applicabilità della sanzione amministrativa prevista dalla disciplina in materia di protezione dei dati personali è, nel caso concreto, da valutare nei confronti di una persona giuridica. Rimane aperta la strada, quando il Legislatore riterrà di ritornare sui propri passi (a mio giudizio scelta auspicabilmente), dell’inserimento dei reati di illegittimo trattamento dei dati personali nell’ambito dei reati presupposto di cui alla legge 231/01. Avv. Emiliano Vitelli
16. Giu 2021
Ecco perché il Data Protection Officer deve essere anche resiliente e assertivo
Federprivacy – Giovedì, 27 Maggio 2021 10:39 Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data Protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di DPO. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Ovviamente, si tratta delle tre principali competenze che è fondamentale ritrovare nel profilo di un aspirante Responsabile della Protezione dei Dati, ma come un tavolo a tre gambe sta in piedi fino a quando non si verificano imprevisti che fanno venir meno uno dei tre sostegni, così anche il DPO che non possiede ulteriori qualità caratteriali necessarie per affrontare e gestire situazioni di stress potrebbe naufragare alla prima tempesta, anche con gravi ripercussioni per il titolare del trattamento che lo ha nominato. A conferma di come, specialmente nelle organizzazioni strutturate, il DPO debba essere una persona assertiva ( nota di OdisseoPrivacy.com: di persona capace di farsi valere pur nel rispetto del diritto degli altri) e resiliente ( nota di OdisseoPrivacy.com: adattarsi in maniera positiva ad una condizione negativa e traumatica) sotto il profilo psicologico, basti pensare al fatto che l’art.38 del Regolamento europeo richiede che “il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento”, ma che d’altra parte “gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti”. Ciò significa, che il DPO deve quindi sapersi relazionare tanto con dirigenti del top management quanto con il pensionato o la casalinga di turno che intende reclamare il rispetto della propria privacy. Solo un Data Protection Officer che ha la capacità di rimanere lucido e mantenere i nervi saldi davanti a situazioni emotivamente provanti, può affrontare in modo efficace una inattesa ispezione da parte dell’Autorità per la protezione dei dati personali o da parte dei finanzieri del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, e solo un DPO che ha certe caratteristiche può essere un vero supporto per il titolare del trattamento al verificarsi di scenari tanto imprevisti quanto imprevedibili come quello che si è delineato durante l’emergenza sanitaria da Covid-19, quando tutte quelle che erano state fino ad allora le normali prassi quotidiane della protezione dei dati sono state improvvisamente rimesse in discussione (se non stravolte) con la necessità di fornire risposte immediate a richieste di pareri riguardanti la misurazione della temperatura corporea ai lavoratori, l’utilizzo di termoscanner negli esercizi commerciali, la rilevazione dello stato di positività dei dipendenti, poi successivamente la gestione delle campagne vaccinali in azienda, e tutta una serie di continue questioni da dirimere urgentemente che hanno puntualmente messo sotto pressione il DPO. Tutto questo contesto potenzialmente frenetico, pone pertanto la necessità di verificare attentamente certe caratteristiche caratteriali e professionali, che di fatto costituiscono una quarta gamba del tavolo contribuendo a renderlo più stabile e più robusto, prima di effettuare una nomina del Data Protection Officer, anche relativamente alla sua elasticità mentale e fattiva disponibilità, in quanto né il Garante concorda il giorno e l’ora per effettuare un’ispezione, né il temuto data breach prende appuntamento; anzi gli addetti ai lavori sanno bene come purtroppo certi eventi dannosi accadono inaspettatamente spesso proprio nel week end o nelle ore notturne, se non durante i periodi di ferie, che potrebbero quindi essere infelicemente guastate a chi ricopre questo ruolo chiave previsto dal Gdpr. E se l’art.37 del Regolamento ammette che un gruppo imprenditoriale possa nominare un unico responsabile della protezione dei dati, non allevia certo l’ansia a chi assume tale incarico sapere, come precisa lo stesso articolo, che ciò è possibile solo “a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Per evitare quindi di trovarsi la persona sbagliata nel momento sbagliato nelle varie casistiche che sono state esemplificate in modo non esaustivo, è pertanto fondamentale non basarsi esclusivamente sulle primarie competenze professionali e su quello che viene dichiarato nel curriculum dal candidato, che potrebbe peraltro essere del tutto autoreferenziale, ma approfondire anche con valutazioni ulteriori attraverso test attitudinali, documentazione di referenze pregresse, ripetuti colloqui conoscitivi, ed ogni altro metodo lecito che possa essere utile a determinare se il professionista che si intende nominare come DPO sia davvero quello giusto.
31. Mag 2021
Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso
NEWSLETTER N. 477 del 19 maggio 2021 Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy. L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative. È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto. Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari. Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.
20. Mag 2021
Se la cancellazione dei dati è affidata a terzi serve il certificato di avvenuta distruzione
Lunedì, 10 Maggio 2021 09:36 Come si cancellano i dati personali? Il primo scoglio da superare è la diversità di approccio operativo da quello normativo: il professionista tende a organizzare i dati per cliente oppure per incarico mentre la legge vuole che si cancellino i dati quando non più necessari allo scopo. Ne consegue che all’interno di una pratica o cartella informatica possano coesistere dati ancora necessari e dati che non lo sono più. Quindi, per prima cosa, occorre selezionare il necessario dal superfluo, salvo che questa cernita sia già connaturata alla tipologia di carteggio, come avviene nell’ipotesi di una pratica di causa. Giunto il momento della cancellazione – cioè scadenza del tempo di conservazione o venir meno del motivo che legittima la stessa: per esempio, la revoca del consenso del soggetto all’uso dei propri dati a fini marketing – occorre procedere: se il materiale è su supporto cartaceo, la cancellazione consiste nella distruzione della carta, preferibilmente con macchinari trita-documenti, per evitare di ripetere quanto capitato a una farmacia che gettò nei contenitori dei rifiuti pacchi di prescrizioni mediche, dando luogo a un grave data breach, sanzionato. Affidarsi a terzi – Se il materiale è voluminoso, magari sistemato in un archivio, è preferibile affidarsi a ditte specializzate, previa verifica del loro processo di smaltimento, meglio se certificato e con rilascio di un attestato di avvenuta distruzione. Se il materiale da cancellare è su supporto informatico, vanno distinti i dati che sono da cancellare riguardo a determinate finalità ma che continuano a essere necessari per altre, dai dati che non servono più in assoluto. Nel primo caso, la cancellazione si traduce in una forma di blocco permanente di quei dati riguardo a quelle specifiche finalità, nel senso che le regole informatiche ne inibiscono l’uso (inclusa la visualizzazione). La certificazione – Attenzione va prestata alla corretta gestione di questo processo per evitare di cadere nel medesimo errore di una banca spagnola che per l’apertura di un nuovo conto corrente da parte di un vecchio cliente che aveva già richiesto la cancellazione dei suoi dati causa fine del rapporto, ha condizionato la pratica a una dichiarazione di revoca della cancellazione da parte dell’interessato. La cancellazione, infatti, non ammette revoca: occorre richiedere di nuovo i dati, per cui la banca è stata sanzionata. Se i dati da cancellare sono tutti su un unico supporto informatico, questo può essere o distrutto materialmente (in modo da renderlo inutilizzabile) oppure può essere lavorato con appositi software di sovrascrittura che non permettono la ricostruzione di quanto in precedenza memorizzato. In tutti questi casi, in base al principio di accountability che richiede al professionista di provare il suo adempimento, è bene documentare le operazioni effettuate. di Rosario Imperiali (Fonte: Il Sole 24 Ore del 10 maggio 2021)
13. Mag 2021
Anche la mia attività deve adeguarsi ?
Dal 25 maggio 2018 è in vigore il GDPR sulla privacy, le prescrizioni riguardano i dati personali di cittadini UE. Deve quindi essere valutato se l’azienda tratta dati personali e in che misura. Ricordiamo ad esempio che alcune prescrizioni non si applicano ad aziende con meno di 250 dipendenti, se non in alcuni casi che sono ben specificati nel Regolamento. Anche un piccolo studio professionale è chiamato a rispettare il regolamento qualora tratti dati personali (clienti, lavoratori) in maniera sistematica, in relazione alla propria attività. Anche una piccola azienda con pochi dipendenti che tuttavia gestisce grosse liste di utenti (es.: clienti e-commerce, iscritti a mailing list, ecc.) è tenuta a verificare la propria compliance. Una serie di prescrizioni dipendono dall’attività svolta Ruolo importante è costituito dal tipo di dati con cui l’attività svolta entra in contatto, o dalla necessità o meno di nominare la figura del responsabile del trattamento dei dati in azienda. E’ importante quindi effettuare una valutazione del rischio di impatto del vostro trattamento dati in relazione alla loro tutela, non affidarti al caso contatta il nostro staff per un appuntamento, facciamo tutto noi !
13. Lug 2019
Così la tua Smart tv ti traccia e viola la tua privacy
Privacy & SocietàLunedì, 27 Settembre 2021 13:11 Una ricerca svolta sui canali delle principali emittenti ha evidenziato violazioni, anche gravi, della privacy degli utenti, spesso profilati senza aver esplicitamente fornito il consenso. La maggior parte dei canali televisivi non rispetta la privacy degli utenti, in alcuni casi violando in maniera palese il Regolamento Generale per la Protezione dei Dati Personali (il GDPR) europeo, ha evidenziato una ricerca condotta dall’azienda di sicurezza informatica Sababa Security in collaborazione con l’Università di Twente e LP Avvocati. Tali violazioni coinvolgono la tecnologia Hybrid broadcast broadband TV (Hbb TV). I TV che la supportano possono proporre all’utente servizi interattivi. Per esempio, la possibilità di far ripartire dall’inizio una trasmissione o di accedere a ulteriori contenuti appartenenti ad altri canali della stessa emittente. I problemi riscontrati dalla ricerca (Ndr: già sollevati in passato da Federprivacy con l’articolo “Attenzione alla pubblicità su misura perché ora le smart tv conoscono i vostri gusti“) riguardano soprattutto la personalizzazione degli annunci pubblicitari anche senza il previo consenso esplicito dell’utente e la difficoltà di revocare tale consenso in qualunque momento. I canali studiati, inoltre, includono pixel di tracciamento trasparenti (invisibili all’occhio nudo) che controllano se l’utente sta ancora guardando il canale oppure no. Si tratta di pratiche poco trasparenti e che coinvolgono almeno il 70% dei canali studiati, secondo Alessio Aceti, amministratore delegato di Sababa Security. Come si è svolta la ricerca – La ricerca di Sababa Security si è svolta fra febbraio e maggio 2021. La società ha analizzato 16 canali italiani, tedeschi e francesi, di cui nove italiani: Rai 1, Canale 5, La7, Radio Kiss Kiss, RDS, Real Time, RTL, Spike e Sportitalia. È stato scelto un canale per ciascuna emittente: la politica sulla privacy applicata da Rai 1, per esempio, è equivalente a quella di tutti gli altri canali Rai e così via per ognuno dei principali broadcaster. L’analisi è stata effettuata in due modalità. Nel primo caso, i ricercatori si sono messi nei panni di un utente comune e quindi hanno valutato vari casi di uso reale. Per esempio, hanno provato a non accettare l’informativa e a registrare se l’emittente proponeva ugualmente pubblicità personalizzate; oppure hanno accettato l’informativa e poi hanno provato a revocare il consenso studiando le impostazioni disponibili direttamente sul TV e i siti ufficiali. Nel secondo caso, usando una TV basata su Android, i ricercatori sono andati più a fondo e, dopo aver acquisito i privilegi amministrativi del dispositivo, hanno intercettato il traffico che veniva trasmesso verso l’esterno per comprendere che tipo di dati venivano inviati e a quali indirizzi. In alcuni casi i dati erano cifrati e i ricercatori hanno svolto un’operazione di ingegneria inversa per comprendere che informazioni erano trasmesse. I risultati – I risultati della ricerca hanno dimostrato che la maggior parte dei canali mostra connessioni ad almeno un servizio di tracking prima ancora che l’utente abbia la possibilità di decidere se accettare o meno l’informativa sul trattamento dei dati. C’è di più. Oltre metà dei canali studiati sfrutta pixel di tracciamento, che permettono di tracciare il comportamento dell’utente caricando un’immagine piccolissima (un pixel per un pixel) quando l’utente visita una pagina web o apre un determinato contenuto. Nella maggior parte dei casi indagati è difficile, se non addirittura impossibile, revocare il consenso all’utilizzo di questa tecnologia. Alcuni canali si sono comportati meglio di altri, sebbene tutti abbiano mostrato lacune (in alcuni casi gravi) sul fronte della protezione dei dati personali. Sportitalia, Real Time e l’ecosistema Mediaset hanno mostrato un’attenzione maggiore, sebbene comunque incompleta, verso la privacy, ha riferito Aceti. “Alcuni sono disastrosi: manca l’informativa sulla privacy, non si può revocare il consenso o non sono onesti su quanti cookie raccolgono” commenta Aceti, che però non vuole puntare il dito contro una singola emittente perché ritiene che tali cattive pratiche siano intrinseche nell’industria, che solo da poco tempo ha dovuto fare i conti con i cookie e altre pratiche più vicine al mondo di Internet. “Non è fatto in maniera voluta” sostiene. “È la tecnologia che non è familiare per il broadcaster mentre, per esempio, Netflix nasce così, mandando i contenuti via Internet”. Una giustificazione – quella del recente approccio alla trasmissione via Internet – che però scricchiola, soprattutto perché 1) in molti casi si parla di grandi aziende e 2) alcune di queste propongono piattaforme on demand, che quindi prevedono la raccolta dei cookie e altre pratiche di gestione dei dati personali degli utenti. Grandi aziende che, però, lavorano per compartimenti stagni, fa notare Aceti: per cui, chi lavora sulla piattaforma on demand non viene messo in grado di condividere la sua esperienza con chi si occupa dell’integrazione della tecnologia Hbb TV. Al momento non è stata fatta una segnalazione al Garante per la protezione dei dati personali italiani. “Di questo aspetto se ne sta occupando l’Università di Twente” specifica Aceti. L’utente che può fare? – La situazione, insomma, è grave, soprattutto perché un TV, in qualità di dispositivo storicamente presente nelle case, fa riferimento anche agli utenti meno avvezzi ai cambiamenti del digitale e che, perciò, difficilmente conoscono i loro diritti in materia di privacy. Eppure, l’utente sembra non poter fare niente: revocare il consenso è molto difficile e tanti, probabilmente, finiscono per desistere; e non accettare può comunque portare alla profilazione. “L’unica cosa possibile oggi è non guardare la TV” ammette con amarezza Aceti. Lo scopo della ricerca di Sababa Security non è puntare il dito contro le emittenti, che sono comunque colpevoli di un’integrazione lacunosa, ma di far crescere la sensibilità degli utenti verso i dispositivi sempre più eterogenei che raccolgono dati personali. “Vogliamo spiegare che qualunque cosa digitale contiene dati e traccia il comportamento delle persone” spiega Aceti. “Volevamo sensibilizzare gli utenti sul fatto che non è solo il PC o lo smartphone a tracciare i loro comportamenti, ma sono molti di più i dispositivi che lo fanno; quindi ne va fatto un uso consapevole”. Fonte: DDay.it – di Massimiliano Di Marco
30. Set 2021
I cartelli informativi nella Videosorveglianza alla luce delle Linee Guida n.3/2019 dell’European Data Protection Board
Primo Piano – FederprivacyMercoledì, 14 Luglio 2021 10:09 Con provvedimento del 26 novembre 2020, n.256 l’Autorità Garante ha adottato una ordinanza-ingiunzione nei confronti di una struttura ricettiva, che, tra le altre cose, aveva omesso di apporre i cartelli informativi sulla videosorveglianza, che, come noto, sono stati recentemente oggetto di revisione da parte del Comitato Europeo per la protezione dei dati personali con le Linee Guida n.3/2019. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy) Il caso affrontato dall’Autorità Garante – scaturito da una segnalazione – ha riguardato un trattamento di dati personali effettuato da un hotel attraverso un sistema di videosorveglianza. Il Nucleo speciale tutela privacy e frodi tecnologiche, su incarico del Garante, ha accertato che presso la struttura non era presente alcun cartello informativo relativo all’impianto di videosorveglianza. Ciò – afferma il Garante – risulta in contrasto con quanto stabilito dall’art. 13 del Regolamento (UE) 2016/679, in base al quale il titolare è tenuto a fornire all’interessato, prima dell’inizio dei trattamenti, tutte le informazioni relative alle caratteristiche essenziali del trattamento. La stessa Corte di Cassazione ha statuito che: “L’installazione di un impianto di videosorveglianza all’interno di un esercizio commerciale, costituendo trattamento di dati personali, deve formare oggetto di previa informativa, ex art. 13 del d.lgs. n. 196 del 2003, resa ai soggetti interessati prima che facciano accesso nell’area videosorvegliata, mediante supporto da collocare perciò fuori del raggio d’azione delle telecamere che consentono la raccolta delle immagini delle persone e danno così inizio al trattamento stesso”. (Cass. 5 luglio 2016, n. 13663). L’obbligo dell’informativa è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. art. 5, par. 1, lett. a) del Regolamento. Conseguentemente, il trattamento dei dati personali, effettuato dalla struttura alberghiera nel caso de quo attraverso il sistema di videosorveglianza, è stato ritenuto illecito in relazione agli artt. 5, par. 1, lett. a) e 13 del Regolamento e oggetto di sanzione amministrativa pecuniaria pari ad euro tremila, tenuto conto delle condizioni economiche del contravventore, determinate con riferimento al bilancio di esercizio. Il caso affrontato ci ripropone un tema “classico” in materia di videosorveglianza: i c.d. cartelli informativi. Quest’ultimi sono stati trattati recentemente dall’European Data Protection Board con le linee Guida n.3/2019 sul trattamento dei dati personali attraverso dispositivi video. Le linee guida introducono il concetto di informativa a più livelli. In particolare, l’EDPB prevede che: “alla luce della quantità di informazioni che devono essere fornite all’interessato, i titolari del trattamento possono seguire un approccio “a più livelli”, optando per una combinazione di metodi, al fine di rispettare il principio della trasparenza (WP 260, par. 35; WP 89, p. 22). Con riferimento alla videosorveglianza le informazioni più importanti potrebbero essere mostrate attraverso un cartello (primo livello), mentre le ulteriori informazioni obbligatorie potrebbero essere fornite con altri mezzi (secondo livello)”. (Linee guida Capitolo 7, § 109). Proseguono, specificando che: “Il primo livello riguarda il modo in cui il Titolare del trattamento interagisce con l’interessato. In questa fase i Titolari possono usare un cartello di avvertimento contenente le informazioni di base.(vedi allegato). Quest’ultime possono essere fornite unitamente ad una icona al fine di fornire in maniera facilmente visibile, comprensibile e chiaramente leggibile, una panoramica significativa sul trattamento svolto (articolo 12 GDPR)”. (Capitolo 7.1, § 110). È interessante notare come il fac-simile di cartello informativo proposto (primo livello), oltre a riportare i dati del titolare del trattamento e le finalità del sistema di videosorveglianza, contempli anche gli estremi del data protection officer, ove presente. Infine, le linee guida precisano come: “Le informazioni dovrebbero essere posizionate ad una distanza ragionevole rispetto ai luoghi ripresi (WP 89, p.22) di modo che l’interessato possa facilmente essere edotto sulla presenza dell’impianto di sorveglianza prima di farvi ingresso (all’incirca ad una altezza d’uomo). Non è necessario specificare la precisa ubicazione dell’apparecchiatura di sorveglianza, purché non vi siano dubbi sull’area soggetta a ripresa e sul contesto della sorveglianza (WP 89, p.22). L’interessato deve essere in grado di stimare l’area oggetto di ripresa, affinché la possa evitare o acquisire un comportamento idoneo se necessario”. Capitolo 7.1, § 111 L’importanza del cartello informativo e la modalità di fruizione è stata ribadita recentemente anche dall’Autorità Garante nelle Faq sulla Videosorveglianza del dicembre 2020. Il Garante ha precisato che: “L’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB [vedi modello ] che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese). L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso).
30. Lug 2021
Green pass nei luoghi di lavoro: obblighi, privacy e gestione delle criticità
SpecialiGiovedì, 29 Luglio 2021 15:10 La Fondazione Studi dei Consulenti del Lavoro, con un approfondimento pubblicato il 27 luglio 2021, esamina gli effetti applicativi del nuovo Green pass, introdotto con il D.L. del 23 luglio 2021, n. 105 per fronteggiare l’emergenza epidemiologica da COVID-19. La previsione di una certificazione quale possibilità di accesso a determinati servizi, ottenibile anche attraverso la vaccinazione, è fattispecie che si distingue dall’imposizione dell’obbligo vaccinale: il Green pass, infatti, rappresenta una certificazione che garantisce l’accesso a determinati servizi individuati dalla legge, ed è legittimo proprio in virtù di tale circostanza, non rappresentando un obbligo generalizzato (o un divieto altrettanto esteso), bensì la più semplice sottoposizione alla verifica della sussistenza del requisito previsto dalla legge per l’accesso ai servizi di cui sopra. Idoneità all’accesso che può essere acquisita non in via esclusiva con l’inoculazione del vaccino, ma che è riconosciuta ‒ ricorrendo le condizioni previste dalla legge ‒ anche ai guariti dal contagio e a coloro che, sottoposti a tampone, ne hanno registrato l’esito negativo alla positività. Green pass e privacy – Non è previsto alcun trattamento dati ai fini privacy, così come stabilito dal comma 5 dell’art. 13 del DPCM 17 giugno 2021. Inoltre il Garante della Privacy, nel commento allo schema del DPCM, pubblicato il 9 giugno 2021, afferma che “tale app consente al verificatore di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’interessato, senza rendere visibili al verificatore le informazioni che hanno determinato l’emissione della certificazione (guarigione, vaccinazione o esito negativo del test molecolare/antigenico rapido) e senza conservare i dati relativi alla medesima oggetto di verifica. Inoltre, è previsto che tale app effettui le predette operazioni, unicamente sul dispositivo del verificatore, anche senza una connessione dati, procedendo contestualmente alla verifica dell’eventuale presenza dell’identificativo univoco della certificazione nelle liste delle certificazioni revocate (c.d. revocation list). Tali liste sono scaricate periodicamente dalla Piattaforma nazionale-DGC e includono anche quelle degli altri Stati membri acquisite tramite il gateway europeo”. Esecuzione dei controlli – L’art. 13, comma 6, del DPCM 17 giugno 2021 prevede che “il controllo relativo alla corretta esecuzione delle verifiche di cui al presente articolo è svolto dai soggetti di cui all’art. 4, comma 9, del decreto legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35.” Sarà pertanto il Prefetto, informando preventivamente il Ministro dell’Interno, ad assicurare l’esecuzione delle misure avvalendosi delle Forze di Polizia e, ove occorra, delle Forze armate, sentiti i competenti comandi territoriali. Al personale delle Forze armate impiegato, previo provvedimento del Prefetto competente, per assicurare l’esecuzione delle misure di contenimento di cui agli articoli 1 e 2, è attribuita la qualifica di agente di pubblica sicurezza. Obblighi per aziende e lavoratori – L’obbligatorietà e l’imposizione diffusa è da escludersi per via dell’art. 5 dello Statuto dei Lavoratori vieta gli accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Controlli che possono essere effettuati per le assenze soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti, mentre la facoltà di verificare l’idoneità alle mansioni è possibile solo da parte di enti pubblici ed istituti specializzati di diritto pubblico.Ciò premesso, diversi sono i casi di aziende che, su indicazione del medico competente, hanno introdotto il test (tampone o sierologico) come parte integrante del Protocollo con la supervisione del Comitato di verifica cui fanno parte sia gli RLS che le rappresentanze sindacali, anche a garanzia del rispetto dello Statuto dei Lavoratori. Lo screening, che ha una periodicità definita e il più delle volte prevede la collaborazione con Istituti Sanitari (anche a scopo di ricerca), resta comunque sempre su base volontaria. (Fonte: Fondazione Studi Consulenti del Lavoro)
30. Lug 2021
Arrivano le clausole contrattuali tipo dalla Commissione Europea
A cura di: Francesco Maldera – Pubblicato il 30 Giugno 2021 L’importanza dei partner Quando si sceglie un partner bisogna stare attenti: il rapporto deve basarsi sulla fiducia. Di solito, nei nostri rapporti personali, scegliamo il partner dopo una lunga frequentazione e gli affidiamo una parte dei nostri segreti, dei nostri sogni, della nostra vita solo quando abbiamo la certezza che sia ridotto al minimo il rischio che ci maltratti. Queste scelte, di solito, hanno quattro caratteristiche: le facciamo in modo poco consapevole, diremmo quasi “naturale”, “istintivo”;non esiste un “regolamento” del rapporto; tra amici o tra fidanzati la relazione si evolve spontaneamente senza formalizzazioni (o formalismi) che specifichino gli obblighi reciproci;esistono momenti di “alti” e “bassi” ovvero situazioni in cui possiamo avere l’impressione che il partner non si comporti come dovrebbe;non si stabiliscono a priori le condizioni (di tempo, di spazio o di altro genere) al cui verificarsi il rapporto si interromperà. L’importanza della scelta del partner, invece, nella vita professionale risponde a criteri molto diversi. Occorre che la scelta sia consapevole e ragionata;il rapporto sia formalizzato e disciplinato nelle rispettive “obbligazioni”;il rapporto si mantenga su livelli “accettabili” lungo l’intera durata senza che ci siano “cadute” che possano danneggiare l’uno o l’altro dei soggetti coinvolti;siano sempre (o quasi) stabilite condizioni che portano alla “interruzione” del rapporto (durata del contratto, clausole risolutive, ecc.). Queste caratteristiche diventano essenziali quando il partner professionale è un soggetto al quale vengono affidate una o più operazioni di trattamento di dati personali (tutti i dati personali, non solo quelli sensibili…). Com’è noto, questo soggetto assume, secondo il Reg. UE 2016/679[i] (d’ora in poi GDPR), il ruolo di Responsabile del Trattamento ai sensi dell’art. 28 che, al suo primo paragrafo, prevede che Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato Già il primo paragrafo obbliga il titolare a scegliere oculatamente il responsabile del trattamento solo tra quelli che possono assicurargli che i dati personali non siano maltrattati cioè che non siano trattati in modo difforme da quanto previsto dal GDPR. L’attenzione del Garante per la Protezione dei Dati Personali Il richiamo, dunque, è forte ma, al contempo, molto sottovalutato. Lo dimostrano i frequenti provvedimenti sanzionatori diretti a soggetti pubblici che, nella loro qualità di titolari del trattamento, non scelgono adeguatamente il responsabile[ii][iii] o, addirittura, non sono nemmeno consapevoli che il proprio partner assumerà quel ruolo[iv] e, con questo, tutto ciò che il GDPR prevede. In proposito, dunque, occorre ricordare sempre che dato personale è definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” e che i dati personali vanno tutti protetti;trattamento è definito come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali”. Quindi, proprio per evitare spiacevoli inconvenienti, queste definizioni, apparentemente scontate, devono accompagnare sempre i momenti precedenti l’approvvigionamento ovvero la scelta del partner da parte del titolare. Bisogna domandarsi: il mio partner avrà a che fare con dati personali di cui sono titolare?Il mio partner effettuerà operazioni di trattamento sui dati personali (ricordando che il GDPR cita come operazione di trattamento anche la sola “consultazione”)? Se la risposta è “si” ad entrambe le domande, il partner assumerà il ruolo di responsabile del trattamento ed è necessario avviare un percorso strutturato per poterlo scegliere. L’attenzione del Comitato Europeo per la Protezione dei Dati Personali Un primo percorso strutturato per la scelta del responsabile del trattamento è indicato nelle “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”[v] adottate dal Comitato Europeo per la Protezione dei Dati Personali (EDPB) il 2 settembre 2020. Gli assi principali indicati dall’EDPB sui quali è opportuno basare la scelta del responsabile sono: l’esperienza precedente nel trattamento dei dati che il titolare intende affidargli;l’affidabilità del soggetto correlata ai comportamenti assunti in precedenti trattamenti analoghi;la solidità del soggetto in termini di risorse di cui dispone per il trattamento. Questi elementi, ovviamente, vanno declinati in requisiti oggettivi e concretamente misurabili, soprattutto quando il titolare è un soggetto pubblico e, quindi, vincolato a specifiche disposizioni normative in materia di approvvigionamento[vi]. Il ciclo dell’approvvigionamento in ambito pubblico Infatti, i soggetti pubblici sono vincolati ad approvvigionarsi secondo le previsioni del D.Lgs. 50/2016 (Codice dei contratti pubblici) che, in termini schematici, prevede una rigida attuazione delle seguenti fasi: delibera a contrarre;scelta del contraente;formalizzazione del contratto;esecuzione del contratto. In realtà, la formalizzazione del contratto è, spesso, una semplice ricaduta dei contenuti e dei risultati delle prime due fasi. Per intenderci, tutto ciò che è scritto nei cosiddetti “atti di gara” (fase di scelta del contraente) verrà ripreso integralmente nel contratto finale. Questo vuol dire che, già nelle prime fasi dell’approvvigionamento, il titolare deve: fare scelte ragionate e consapevoli, con particolare riguardo ai rischi per i dati personali, e, quindi, definire i requisiti opportuni ed i criteri di valutazione adeguati rispetto ad esperienza precedente, affidabilità e solidità;disciplinare le obbligazioni reciproche rispetto al trattamento;specificare le conseguenze per livelli di servizio “non accettabili” rispetto al trattamento dei dati personali (p.e. penali specifiche per comportamenti difformi dal GDPR o da istruzioni sui dati personali e che si aggiungono alle penali ordinariamente previste per le violazioni delle prestazioni oggetto del contratto);individuare le condizioni che possono causare l’interruzione della partnership. Naturalmente, se questi sono gli elementi essenziali da considerare, sarà opportuno che il titolare tenga a mente, sin dalle fasi di avvio dell’approvvigionamento, l’intero art. 28 del GDPR e, in particolare, i contenuti dei paragrafi 3 e 4. Le clausole contrattuali tipo Considerata l’importanza della questione e l’impegno che viene richiesto al titolare, lo stesso art. 28, al paragrafo 7, prevede che la Commissione Europea stabilisca clausole contrattuali tipo (Standard Contractual Clauses – SCCs) che forniscano la traccia su cui basare gli accordi con il responsabile del trattamento. La Commissione ha assunto la conseguente decisione 2021/915[vii] lo scorso 4 giugno dopo aver acquisito il parere congiunto del Comitato Europeo per la Protezione dei Dati Personali e del Garante Europeo per la Protezione dei Dati Personali (EDPS)[viii]. La decisione assume vigenza a partire dal 27 giugno 2021 visto che è stata pubblicata nella Gazzetta Ufficiale Europea il 7 giugno. Le clausole contenute nella decisione 915 sono dieci cui si aggiungono quattro allegati (e non più sette come previsto nella prima bozza sottoposta al parere congiunto EDPB‑EDPS); coprendo tutti gli obblighi previsti dall’art. 28, il titolare dovrebbe trovare il modo di inserirle, insieme ai suoi allegati opportunamente personalizzati e completati, nel contratto che andrà a stipulare con il responsabile del trattamento. Come già detto, tuttavia, la rigidità delle procedure cui è obbligato il soggetto pubblico lo costringerà, anche in ossequio ai princìpi di correttezza e buona fede, a rendere noto ai candidati, sin dall’avvio della gara, l’intenzione di ricorrere alle SCCs al momento di stipulare il contratto. Inoltre, al fine di facilitare la definizione di requisiti misurabili per la scelta del contraente, sarà utile integrare, nella griglia di valutazione ordinariamente utilizzata nelle procedure basate sull’offerta economicamente più vantaggiosa, gli elementi riportati nell’Allegato 2 che presenta una sorta di check‑list rispetto alle possibili “misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati”. Infine, nella stesura dei documenti, una particolare attenzione va riservata: alla clausola n. 1 allorché prevede che la sottoscrizione delle clausole non sottrae il titolare agli obblighi previsti dal GDPR; questo significa che il titolare non può disinteressarsi del trattamento effettuato per suo conto dal responsabile per il solo fatto di aver sottoscritto le SCCs;alla clausola n. 2 allorché prevede che eventuali altre previsioni presenti nel contratto non devono contraddire quanto previsto dalle SCCs;alla clausola n. 3 allorché prevede che l’interpretazione delle clausole deve essere effettuata alla luce del GDPR e, quindi, anche dei documenti che, nel tempo, saranno prodotti dall’EDPB o dall’autorità di controllo nazionale (per l’Italia, il Garante per la Protezione dei Dati Personali);alla clausola n. 4 che prevede che le SCCs che titolare e responsabili stanno sottoscrivendo prevalgono, in caso di contrasto, su qualsiasi altro “patto contrattuale” eventualmente precedentemente stipulato. Conclusioni Le clausole tipo costituiscono, quindi, un notevole ausilio per i titolari ma occorre, comunque, molta consapevolezza nella stesura personalizzata delle SCCs nell’ambito degli accordi per evitare gli effetti negativi del copia&incolla che vanificherebbero tutti i princìpi stabiliti dal GDPR. Note [i] Regolamento Generale 2016/679 (arricchito con i considerando utilizzati – vedi sul sito del garanteprivacy.it) [ii] Ordinanza di ingiunzione nei confronti di Roma Capitale – 11 febbraio 2021… – vedi sul sito del garanteprivacy.it) [iii] Provvedimento del 17 settembre 2020 [9461168] – Garante Privacy – (diffusione di dati personali dei candidati a un concorso pubblico indetto dall’Azienda Ospedaliera di rilievo nazionale “A. Cardarelli” di Napoli – vedi sul sito del garanteprivacy.it) [iv] Provvedimento del 14 gennaio 2021 [9542136] – Garante Privacy – trattamento di dati personali effettuato dalla Regione Lazio attraverso il portale “Salute Lazio” – vedi sul sito del garanteprivacy.it) [v] edpb_guidelines_202007_controllerprocessor_en.pdf (europa.eu) – (Linee guida 07/2020 sui concetti di titolare e responsabile nel GDPR predisposte dal Comitato europeo per la protezione dei dati – vedi sul sito del garanteprivacy.it) [vi] Le centrali di committenza e il GDPR – ICT Security Magazine – (vedi su https://www.ictsecuritymagazine.com/) [vii] EUR-Lex – 32021D0915 – EN – EUR-Lex (europa.eu) (vedi su https://eur-lex.europa.eu/) [viii] EDPB-EDPS Joint Opinion 1/2021 on standard contractual clauses between controllers and processors | European Data Protection Board (europa.eu) – (Parere congiunto EDPB-GEPD 1/2021 sulle clausole contrattuali tipo tra titolari e responsabili del trattamento – vedi su https://edpb.europa.eu/) Articolo a cura di Francesco Maldera
1. Lug 2021
Il ruolo del datore di lavoro e del medico competente nell’ambito del Covid-19 Speciali Mercoledì, 26 Maggio 2021 18:12
Mercoledì, 26 Maggio 2021 18:12 Dall’inizio della pandemia da Covid-19 il Garante per la protezione dei dati personali (“Garante Privacy”), pur riconoscendo l’interesse preminente alla tutela della salute, è intervenuto a garanzia della protezione dei dati personali. In un contesto del tutto emergenziale, il Garante Privacy ha introdotto un regime eccezionale e derogatorio volto ad attribuire al datore di lavoro un certo margine di elasticità per il trattamento dei dati – anche particolari – dei lavoratori (es. dati contenuti all’interno di autodichiarazioni circa contatti stretti con positivi o soggiorni in Paesi vietati dall’OMS nei ultimi 14 giorni, dati sulla temperatura corporea pur senza annotazione del dato relativo alla salute). Tuttavia, il Garante Privacy è sempre intervenuto sottolineando il ruolo del Medico Competente, già centrale in materia di salute e sicurezza sul lavoro, e ancora di più chiave nel contesto emergenziale. Fermo quanto indicato nelle FAQ del febbraio 2021, visto il Protocollo per il piano di vaccinazione del 6 aprile u.s. e le annesse Indicazioni ad interim dell’INAIL, il Garante Privacy ha adottato il provvedimento n. 198 del 13 maggio 2021 : anche in quest’ultimo provvedimento, il protagonista si conferma il Medico Competente. Il Medico Competente rimane l’unico soggetto legittimato al trattamento dei dati. Il datore di lavoro non può raccogliere presso gli interessati, ovvero per il tramite di terzi, informazioni relative all’adesione alla campagna di vaccinazione, alla somministrazione del vaccino o altri dati relativi alla salute del lavoratore. Il datore di lavoro può soltanto conoscere il numero complessivo dei vaccini necessari e fornire al professionista sanitario (Nota di odisseoprivacy.com) indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali. Il datore di lavoro ha il compito, però, di promuovere l’iniziativa della vaccinazione presso i luoghi di lavoro fornendo, in particolare, ai lavoratori le indicazioni utili relative al servizio di vaccinazione in azienda, anche con il supporto del Medico Competente, ad esempio, rendendo disponibile, anche sulla rete intranet, documenti esplicativi. Il trattamento dei dati relativi alle vaccinazioni è necessario per finalità di medicina preventiva e di medicina del lavoro. Per effettuare tali operazioni di dati personali, il medico competente deve: – istituire un registro dei trattamenti (art. 30 del GDPR); – rendere l’informativa agli interessati (art. 14 del GDPR); – implementare le misure di sicurezza (artt. 32-34 del GDPR).Il Medico Competente non deve nominare un Responsabile della protezione dei dati (artt. 37-39 del GDPR). Il Medico Competente può avvalersi del supporto, anche economico, del datore di lavoro. Nel rispetto del principio di responsabilizzazione, deve essere garantita la limitazione degli accessi e l’indisponibilità dei dati da parte del datore di lavoro, anche mediante ricorso alla cifratura degli stessi dati. Dovrà essere regolamentato, limitatamente a tali profili, il rapporto tra le parti ai sensi dell’art. 28 del GDPR. Fonte: Il Sole 24 Ore – di Flavia Terenzi
31. Mag 2021
Violazioni del Gdpr, sono oltre 600 le sanzioni inflitte nell’Ue da inizio anno
Federprivacy – Lunedì, 31 Maggio 2021 09: Superano i 292 milioni di euro le sanzioni per violazioni della privacy applicate in Europa. Sono state, secondo Privacy Affairs, 661 in tutta l’Unione, di cui 73 in Italia, che è al secondo posto per provvedimenti sanzionatori emanati, preceduta solo dalla Spagna (222). Leggermente diverse sono le cifre fornite da Enforcement Tracker, che fino a maggio 2021 conta un totale di 283 milioni di euro spalmati in 638 sanzioni. Per questa seconda fonte viene confermata la graduatoria per nazioni per numero di sanzioni e si mette in evidenza però che l’Italia è prima per importi delle sanzioni irrogate (oltre 76 milioni). Sempre secondo www.enforcementtracker.com le violazioni più punite (euro166 milioni e 245 sanzioni) sono la mancanza di una base giuridica del trattamento (ad esempio mancanza di consenso) e il mancato rispetto delle misure di sicurezza (oltre 66 milioni e 146 sanzioni). Nella parte bassa di questa classifica ci sono anche 5 sanzioni per mancata nomina del responsabile della protezione dei dati o Dpo (euro 186 mila e 5 sanzioni). Tra l’altro, a riguardo dei Dpo, in Italia al Garante della privacy sono pervenute quasi 60 mila comunicazioni di designazioni di questi esperti privacy. Questi dati, da un lato, testimoniano l’attività, sanzionatoria e non, delle autorità di controllo, ma, dall’altro lato, non sono in grado di far capire se sia o meno aumentata la protezione della privacy. Per questo profilo, gli indicatori potrebbero essere il numero di violazioni della sicurezza cioè dei cosiddetti data breach. Il garante della privacy, nel primo trimestre del 2021, ha ricevuto 413 notificazioni di data breach e questo dopo le 421 del trimestre precedente. Ciò significa che in Italia ci sono al giorno oltre 4 segnalazioni ufficiali di sicurezza violata. Prendendo un altro indicatore e cioè i reclami presentati al Garante, essi sono stati 2839 nel primo trimestre del 2021 e cioè quasi 30 al giorno. Anche a fronte di queste cifre, però, al di là della dimostrazione del volume di attività gestita dall’autorità di controllo, non si ha esatta consapevolezza se questi numeri depongano a favore della aumentata o diminuita effettività della tutela della protezione dei dati e della privacy individuale. Se il livello di effettività non è assicurato, allora bisogna passare da un approccio basato sul rischio a un approccio basato sulla tranquillità: l’impresa, le pubbliche amministrazioni, clienti e cittadini hanno diritto alla effettiva sicurezza del traffico dei dati personali e non solo allo sforzo per raggiungerla. Fonte: Italia Oggi del 31 maggio 2021
31. Mag 2021
Quando ‘pettegolare’ online costituisce illecito o reato
Domenica, 23 Maggio 2021 23:20 – Federprivacy A tutti capita sovente di inoltrare qualche messaggio di testo, audio o video ricevuto tramite WhatsApp o altri social. C’è forse da preoccuparsi temendo di compiere un illecito o, addirittura, un reato? Sino a pochi anni fa, si temeva che una cosa riferita da una persona venisse poi divulgata ad altri da parte del pettegolo o della pettegola di turno. Oggi forse non è più così, perché quello che temiamo maggiormente è che un giudizio, una battuta, un messaggio audio o video o chissà cos’altro che abbiamo postato online venga poi “inoltrata” ad altri, magari divenendo di dominio pubblico. È bene chiedersi, dunque, se un comportamento simile travalichi la soglia della rilevanza giuridica. Analizzando il tema, l’avv. Guido Scorza, componente del Garante per la protezione dei dati personali, ha rilasciato un commento pubblicato sul settimanale Gente e, poi ripreso dal sito istituzionale dell’Autorità. I messaggi di posta elettronica, così come i messaggi scambiati in contesti privati sui social, costituiscono corrispondenza, essa tutelata dalle norme del codice penale. Senza entrare nel merito della norma di cui all’articolo 616 c.p., è bene solo accennare che per la condotta punita in tale norma è costituita dal prendere cognizione, sottrarre, distrarre, distruggere o sopprimere corrispondenza non diretta all’agente della condotta. La pena è, poi, maggiore qualora il contenuto venga divulgato ad altri (se ciò non costituisca un più grave reato). Per la condotta delittuosa, quindi, è necessario che la corrispondenza non sia diretta all’agente; l’inoltro di un messaggio dapprima ricevuto non rientra in questo ambito. Ciò non significa che con i messaggi ricevuti si possa far quel che si vuole. L’avvocato Scorza, invero, ha rammentato che non rientri nell’ambito di applicazione del Regolamento UE 2016/679 il trattamento effettuato da una persona fisica per l’esercizio di attività personale e domestica. Inoltre i messaggi a persone determinate, nell’ambito della propria vita di relazione non fa venir meno il carattere domestico e personale. Farlo in contesti più ampi, ove non ci sia un rapporto personale con tutti i destinatari dell’inoltro, potrebbe invece essere ritenuto trattamento a cui è applicabile il GDPR, facendo sorgere – in caso di danno che superi il limite di tolleranza – il diritto al risarcimento del danno subito. Questo perché il titolare potrebbe trattare i dati personali di un interessato comunicando mediante trasmissione ovvero diffondendo o, ancora, mettendo comunque a disposizione, dati personali senza idonea base giuridica. E’ bene ribadire che le suesposte considerazioni valgono solo se il messaggio è stato a noi indirizzato. Viceversa, si rischia di ritrovarsi nell’ambito di applicazione del codice penale. Si badi bene, quindi, agli inoltri effettuati in chat di rilevanti dimensioni delle quali siamo membri. Si può rischiare di mandare avanti a noi – “inoltrare” – un bel po’ di guai. Forse solo giudicati sfavorevolmente o, peggio ancora, costretti a risarcire il danno.
25. Mag 2021
FAQ
Di seguito alcune risposte alle domande più frequenti poste dalla nuova normativa
E’ già diventato operativo da Maggio 2018 il regolamento europeo 679, approvato dalla Ue nella primavera del 2016, noto come Gdpr (General Data protection regulation). A chi si applica il regolamento?
Quali dati personali riguarda? Quali figure servono in azienda?
Cosa è il GDPR ?
È il Regolamento europeo n. 2016/679 in materia di protezione e sicurezza dei dati personali che introduce nuove regole in materia di privacy.
Il Regolamento è direttamente applicabile in tutti i 28 Stati membri dell’Unione europea.
Ogni trattamento, dalla raccolta all’elaborazione, dalla conservazione alla distruzione di un dato, indipendentemente dalle modalità con il quale venga effettuato, sarà soggetto al GDPR.
Chi si deve adeguare ?
Tutti i soggetti che compiono attività commerciali, dal libero professionista alla piccola (o piccolissima) azienda fino alla grande Azienda, che trattano dati personali attraverso processi tradizionali (cartacei) o automatizzati (personal computer). Non rientrano invece le attività a carattere personale o domestico senza connessione con un’attività commerciale o professionale.
Come si applica in azienda ?
L’attuazione del regolamento europeo sulla privacy è una azione complicata che esige una attenta analisi della struttura aziendale. Trattare in maniera approssimativa il GDPR può essere molto azzardato soprattutto per i responsabili ed il titolare.
Non trascurare la privacy e non ritenere di essere in regola quando non lo sei; innanzitutto non credere, in modo sbagliato, che tutto si riduca a qualche fascicoletto da riempire, affidati a degli esperti
Quali sono i rischi ? le Sanzioni ?
Si rischia infatti di incappare in sanzioni economiche: fino al 4% del fatturato annuale dell’azienda e fino a 20 milioni di euro. Per i casi più gravi ci sono anche conseguenze penali.
Le sanzioni saranno inflitte in modo graduale sulla base di vari fattori, come la specie, la rilevanza e la durata dell’inosservanza della non conformità. Non Rischiare invano, adeguati subito
Cosa ti offriamo ?
Un “Pacchetto GDPR chiavi in mano” – comodo ed agevole perchè pensiamo a tutto noi – è un servizio di Odisseoprivacy.com che grazie al suo gruppo di esperti qualificati offre soluzioni su misura e assistenza in ogni fase dell’adeguamento per ogni realtà (professionisti, PMI, Grandi Aziende).
Il “Pacchetto GDPR chiavi in mano” include:
- Informative indispensabili per dipendenti, clienti e fornitori;
- Lettere di nomina dei soggetti responsabili o designati al trattamento dei dati;
- Corso di formazione in azienda;
- Analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Registro del Titolare che comprende cronologicamente tutte le attività di trattamento dei dati, delle analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Informative sui trattamenti dei dati effettuati sul sito web aziendale e sui cookie utilizzati
- Vademecum contenente le procedure (dall’assunzione al licenziamento di un dipendente; dall’acquisto alla dismissione di hardware e software e molte altre) e le istruzioni in materia di analisi e valutazione dei rischi, delle misure di sicurezza e dell’obbligo, ove esistente, di nomina del Responsabile per la protezione dei dati (DPO)
CONTATTA LO STAFF
RICHIEDI MAGGIORI INFORMAZIONI O LA VISITA DI UN INCARICATO