SpecialiGiovedì, 29 Luglio 2021 15:10 La Fondazione Studi dei Consulenti del Lavoro, con un approfondimento pubblicato il 27 luglio 2021, esamina gli effetti applicativi del nuovo Green pass, introdotto con il D.L. del 23 luglio 2021, n. 105 per fronteggiare l’emergenza epidemiologica da COVID-19. La previsione di una certificazione quale possibilità di accesso a determinati servizi, ottenibile anche attraverso la vaccinazione, è fattispecie che si distingue dall’imposizione dell’obbligo vaccinale: il Green pass, infatti, rappresenta una certificazione che garantisce l’accesso a determinati servizi individuati dalla legge, ed è legittimo proprio in virtù di tale circostanza, non rappresentando un obbligo generalizzato (o un divieto altrettanto esteso), bensì la più semplice sottoposizione alla verifica della sussistenza del requisito previsto dalla legge per l’accesso ai servizi di cui sopra. Idoneità all’accesso che può essere acquisita non in via esclusiva con l’inoculazione del vaccino, ma che è riconosciuta ‒ ricorrendo le condizioni previste dalla legge ‒ anche ai guariti dal contagio e a coloro che, sottoposti a tampone, ne hanno registrato l’esito negativo alla positività. Green pass e privacy – Non è previsto alcun trattamento dati ai fini privacy, così come stabilito dal comma 5 dell’art. 13 del DPCM 17 giugno 2021. Inoltre il Garante della Privacy, nel commento allo schema del DPCM, pubblicato il 9 giugno 2021, afferma che “tale app consente al verificatore di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’interessato, senza rendere visibili al verificatore le informazioni che hanno determinato l’emissione della certificazione (guarigione, vaccinazione o esito negativo del test molecolare/antigenico rapido) e senza conservare i dati relativi alla medesima oggetto di verifica. Inoltre, è previsto che tale app effettui le predette operazioni, unicamente sul dispositivo del verificatore, anche senza una connessione dati, procedendo contestualmente alla verifica dell’eventuale presenza dell’identificativo univoco della certificazione nelle liste delle certificazioni revocate (c.d. revocation list). Tali liste sono scaricate periodicamente dalla Piattaforma nazionale-DGC e includono anche quelle degli altri Stati membri acquisite tramite il gateway europeo”. Esecuzione dei controlli – L’art. 13, comma 6, del DPCM 17 giugno 2021 prevede che “il controllo relativo alla corretta esecuzione delle verifiche di cui al presente articolo è svolto dai soggetti di cui all’art. 4, comma 9, del decreto legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35.” Sarà pertanto il Prefetto, informando preventivamente il Ministro dell’Interno, ad assicurare l’esecuzione delle misure avvalendosi delle Forze di Polizia e, ove occorra, delle Forze armate, sentiti i competenti comandi territoriali. Al personale delle Forze armate impiegato, previo provvedimento del Prefetto competente, per assicurare l’esecuzione delle misure di contenimento di cui agli articoli 1 e 2, è attribuita la qualifica di agente di pubblica sicurezza. Obblighi per aziende e lavoratori – L’obbligatorietà e l’imposizione diffusa è da escludersi per via dell’art. 5 dello Statuto dei Lavoratori vieta gli accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Controlli che possono essere effettuati per le assenze soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti, mentre la facoltà di verificare l’idoneità alle mansioni è possibile solo da parte di enti pubblici ed istituti specializzati di diritto pubblico.Ciò premesso, diversi sono i casi di aziende che, su indicazione del medico competente, hanno introdotto il test (tampone o sierologico) come parte integrante del Protocollo con la supervisione del Comitato di verifica cui fanno parte sia gli RLS che le rappresentanze sindacali, anche a garanzia del rispetto dello Statuto dei Lavoratori. Lo screening, che ha una periodicità definita e il più delle volte prevede la collaborazione con Istituti Sanitari (anche a scopo di ricerca), resta comunque sempre su base volontaria. (Fonte: Fondazione Studi Consulenti del Lavoro)

 Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e l’adozione di un adeguato sistema di protezione dei dati dall’altra. Il sistema di gestione privacy con l’obiettivo della salvaguardia dei diritti fondamentali assume, non dimentichiamolo, una doppia valenza per le imprese: sicurezza informativa e sviluppo digitale; corretta gestione dei dati nelle dinamiche del diritto del lavoro. E’ proprio in questa ottica che l’adozione di un modello adeguato di protezione dei dati si inserisce perfettamente nell’ambito della responsabilità sociale di impresa. Questo perché etica, sostenibilità e responsabilità sono i pilastri non solo del GDPR ma anche di quelle imprese che guardano al futuro ed a un mondo del lavoro che sta cambiando (smart working, in primis). È proprio in questa ottica che va guardata la vicenda che ha visto intervenire il Garante. Il caso Ai fini di un procedimento disciplinare contro un lavoratore, in un caso dei mesi scorsi che ha fatto scalpore per l’entità della sanzione comminata (40mila euro), la società aveva utilizzato informazioni recuperate dal proprio sistema informatico violando i limiti di conservazione e registrazione stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Come ha ricordato il Garante: in base alla vigente disciplina di settore i trattamenti di dati personali possono essere effettuati mediante l’utilizzo di strumenti tecnologici qualora questi ultimi siano impiegati “esclusivamente” per il perseguimento in concreto di finalità predeterminate (per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale), così come individuate nell’autorizzazione rilasciata dall’autorità pubblica (in mancanza di accordo con le rappresentanze dei dipendenti; v. art. 4, l. 20.5.1970, n. 300). La norma di settore, richiamata espressamente dalla disciplina in materia di protezione dei dati personali, costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento. È evidente, quindi, che proprio nella prospettiva dell’integrazione delle due normative che occorre approcciarsi al sistema di protezione e gestione dati, in quanto ciò permetterà di evidenziare tutti gli eventuali limiti e debolezze delle procedure aziendali. L’imprenditore, prima di procedere alla formale contestazione, avrebbe ben dovuto tener conto che il proprio sistema informatico di monitoraggio, diversamente da quanto comunicato all’Ispettorato del lavoro e da quanto indicato nell’informativa, permetteva la raccolta illegittima di informazioni sull’attività lavorativa dei dipendenti. Non solo, dall’istruttoria è anche emerso che quei dati (che comunque non si sarebbero dovuti raccogliere) erano anche stati utilizzati per finalità ulteriori e non previste dalle medesime informative e autorizzazioni. Tra le finalità di trattamento non rientra né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro, né, tanto meno quella preordinata al perseguimento del “legittimo interesse del titolare”, che costituisce in termini generali una delle condizioni di liceità del trattamento a condizione, peraltro, che il titolare effettui preventivamente un test comparativo rispetto agli interessi o i diritti o le libertà fondamentali dell’interessato. A ciò deve pure aggiungersi che sono state riscontrate irregolarità anche nei tempi di conservazione. Dalla lettura del provvedimento, infatti, sembrerebbe che vi sia sta confusione tra dato anonimizzato, che ha tempi di conservazione pressoché illimitati, e dati pseudonimizzati (come quelli dell’azienda sanzionata) che proprio perché riconducibili a soggetti determinati in associazione ad altre informazioni (di cui il datore di lavoro era in possesso), impongono tempi di conservazione non superiori al conseguimento delle finalità di trattamento perseguite. Pertanto ancora una volta è imporrante sottolineare come l’adozione di un sistema di gestione GDPR, lungi da mettere freni allo sviluppo dell’attività imprenditoriale, deve essere utilizzato come adeguato strumento di sviluppo e tutela: la questione non è se compiere una scelta o meno, ma – nei limiti del rispetto dei diritti fondamentali – come metterla in atto. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e ha ingiunto il pagamento della sanzione. Si conclude riportando la rilevante precisazione che il Garante offre a conclusione del proprio provvedimento, laddove l’Autorità osserva, infine, che  il proprio accertamento non costituisce una duplicazione rispetto alla decisione del giudice penale, considerato che mentre la sanzione penale – alla luce della natura personale della relativa responsabilità – può essere applicata nei confronti della persona fisica ritenuta colpevole del reato, l’applicabilità della sanzione amministrativa prevista dalla disciplina in materia di protezione dei dati personali è, nel caso concreto, da valutare nei confronti di una persona giuridica. Rimane aperta la strada, quando il Legislatore riterrà di ritornare sui propri passi (a mio giudizio scelta auspicabilmente), dell’inserimento dei reati di illegittimo trattamento dei dati personali nell’ambito dei reati presupposto di cui alla legge 231/01. Avv. Emiliano Vitelli

Domenica, 23 Maggio 2021 23:20 – Federprivacy A tutti capita sovente di inoltrare qualche messaggio di testo, audio o video ricevuto tramite WhatsApp o altri social. C’è forse da preoccuparsi temendo di compiere un illecito o, addirittura, un reato? Sino a pochi anni fa, si temeva che una cosa riferita da una persona venisse poi divulgata ad altri da parte del pettegolo o della pettegola di turno. Oggi forse non è più così, perché quello che temiamo maggiormente è che un giudizio, una battuta, un messaggio audio o video o chissà cos’altro che abbiamo postato online venga poi “inoltrata” ad altri, magari divenendo di dominio pubblico. È bene chiedersi, dunque, se un comportamento simile travalichi la soglia della rilevanza giuridica. Analizzando il tema, l’avv. Guido Scorza, componente del Garante per la protezione dei dati personali, ha rilasciato un commento pubblicato sul settimanale Gente e, poi ripreso dal sito istituzionale dell’Autorità. I messaggi di posta elettronica, così come i messaggi scambiati in contesti privati sui social, costituiscono corrispondenza, essa tutelata dalle norme del codice penale. Senza entrare nel merito della norma di cui all’articolo 616 c.p., è bene solo accennare che per la condotta punita in tale norma è costituita dal prendere cognizione, sottrarre, distrarre, distruggere o sopprimere corrispondenza non diretta all’agente della condotta. La pena è, poi, maggiore qualora il contenuto venga divulgato ad altri (se ciò non costituisca un più grave reato). Per la condotta delittuosa, quindi, è necessario che la corrispondenza non sia diretta all’agente; l’inoltro di un messaggio dapprima ricevuto non rientra in questo ambito. Ciò non significa che con i messaggi ricevuti si possa far quel che si vuole. L’avvocato Scorza, invero, ha rammentato che non rientri nell’ambito di applicazione del Regolamento UE 2016/679 il trattamento effettuato da una persona fisica per l’esercizio di attività personale e domestica. Inoltre i messaggi a persone determinate, nell’ambito della propria vita di relazione non fa venir meno il carattere domestico e personale. Farlo in contesti più ampi, ove non ci sia un rapporto personale con tutti i destinatari dell’inoltro, potrebbe invece essere ritenuto trattamento a cui è applicabile il GDPR, facendo sorgere – in caso di danno che superi il limite di tolleranza – il diritto al risarcimento del danno subito. Questo perché il titolare potrebbe trattare i dati personali di un interessato comunicando mediante trasmissione ovvero diffondendo o, ancora, mettendo comunque a disposizione, dati personali senza idonea base giuridica. E’ bene ribadire che le suesposte considerazioni valgono solo se il messaggio è stato a noi indirizzato. Viceversa, si rischia di ritrovarsi nell’ambito di applicazione del codice penale. Si badi bene, quindi, agli inoltri effettuati in chat di rilevanti dimensioni delle quali siamo membri. Si può rischiare di mandare avanti a noi – “inoltrare” – un bel po’ di guai. Forse solo giudicati sfavorevolmente o, peggio ancora, costretti a risarcire il danno.

odisseoprivacy.com 17/05/2021 Il “data breach” è una violazione nella salvaguardia e nell’incolumità dei dati personali trattati in azienda o presso uno studio professionale dal Titolare o da dipendenti, collaboratori incaricati, soggetti designati, responsabili interni o esterni (Commercialista, Consulente del lavoro, medico competente, Consulente della privacy, ecc.). Si può verificare accidentalmente o fraudolentemente e consiste nella distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali trattati.  In caso di “data breach” sono compromessi la riservatezza, l’integrità e la disponibilità dei dati personali.  Vediamo quali sono i casi più comuni: l’accesso o l’acquisizione dei dati da parte di estranei non autorizzati;il furto o la perdita o la distruzione di dispositivi informatici (PC, hard disk, pen drive, CD, DVD, in cui sono registrati dati personali);la intenzionale e premeditata manipolazione di dati personali;l’impossibilità di accedere ai dati personali per cause accidentali o malevole esterne (virus, malware, hacker, phishing, ransomware, spyware, ecc.);la perdita o la distruzione di dati personali causata da incidenti, avvenimenti atmosferici (fulmini, allagamenti), incendi, blackout elettrico, altro;la diffusione non permessa dei dati personali. Il titolare (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) che subisce un data breach, deve senza indugio o indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, notificare la violazione al Garante per la protezione dei dati personali. Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati (clienti, fornitori, dipendenti, soci, iscritti, colleghi, contitolari, ecc.), utilizzando i canali più idonei, a meno che sia improbabile che la violazione comporti un rischio elevato per i diritti e le libertà delle persone fisiche o che abbia già preso misure tali da ridurne l’impatto. Gli incaricati, i soggetti designati al trattamento, i responsabili, i DPO (se esiste) che vengono a conoscenza di una violazione DEVONO informare con urgenza il titolare che DEVE attivarsi adottando le misure idonee e necessarie di cui innanzi. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere giustificate indicando i motivi del ritardo. Il titolare del trattamento, oltre a tutte le azioni di cui innanzi e a prescindere dalla notifica al Garante, inserisce tutte le violazioni dei dati personali, in un apposito registro, che aggiorna costantemente. Tale documento permette all’Autorità di effettuare eventuali verifiche sul rispetto della legge e del Regolamento 2016/679 sulla privacy. Gli esperti consulenti di odisseoprivacy.com sono a Vostra disposizione per eventuali chiarimenti e consulenze gratuite. Lo staff.

A cura di:  Francesco Maldera – Pubblicato il  10 Maggio 2021 Tratto da ictsecuritymagazine.com L’autonomia dell’Europa nel mondo digitale “Solo un’Europa unita può affrontare le sfide della digitalizzazione. È per il nostro mercato unico – il più grande nel mondo – che noi dobbiamo definire standard per i big data, l’intelligenza artificiale, e l’automazione. E che, con questo, possiamo sostenere i valori, i diritti e l’identità degli Europei. Ma possiamo farlo solo se rimaniamo uniti.” Questa è una delle frasi chiave pronunciate da Jean‑Claude Junker nel discorso sullo stato dell’Unione (Europea) per il 2018 denominato “L’ora della sovranità europea”[i]. Sembrano passati secoli. Il mondo è cambiato, anche a causa della pandemia. Forse, nel contingente, stiamo affrontando altre sfide: la necessità di sviluppare un’autonomia nella ricerca sanitaria, l’esigenza di aumentare la capacità produttiva di presidi medici e farmaceutici. Rimane, tuttavia, sullo sfondo il senso dell’intervento di Junker: sostenere i diritti, i valori e l’identità che hanno fondato e che guidano l’Unione Europea. Sostenerli nello spazio digitale che, com’è noto, soffre di due elementi critici: è un mondo dominato, dal punto di vista economico e nonostante le frasi fatte sulla “libertà del web”, dagli Over The Top (Amazon, Google, Microsoft, Facebook, ecc.);è intrinsecamente vulnerabile e, quindi, potenzialmente “campo di battaglia” per qualsiasi contrapposizione o conflitto (geopolitico, commerciale, religioso, ecc.) senza la necessità di un contatto fisico o di un confronto “muscolare”. Quindi, se, da un lato, l’Unione Europea non tarda ad intervenire normativamente nella difesa dei propri valori, anche nel mondo digitale (GDPR[ii], Law Enforcement Directive – LED[iii], Proposta di Regolamento sull’intelligenza artificiale[iv], ecc.), dall’altro emerge un’obiettiva difficoltà a dare concretezza a questi princìpi in un mondo interconnesso e nel quale piccoli e grandi turbamenti, spesso esogeni rispetto ai confini europei, possono interferire con i diritti e le libertà degli individui. Per questo, la Commissione Europea ritiene strategico recuperare autonomia o, se si vuole, sovranità negli ambiti applicativi del digitale. La UE sembra dire “Le norme servono ma, ancora di più, serve riuscire ad applicarle; e se non riusciamo a indurre i nostri partner stranieri, cerchiamo, se possibile, di farne a meno, diventando partner di noi stessi”. Una strada tutta in salita che ha avuto, come tassello fondamentale, l’approvazione del Regolamento UE 2019/881 (d’ora in poi “Regolamento ENISA”)[v]. L’evoluzione dell’ENISA Il Regolamento ENISA ha, appunto, come scopo principale quello di: definire nuovi compiti, attività ed obiettivi per l’Agenzia dell’Unione Europea per la Cibersicurezza (appunto ENISA); infatti, l’ENISA era un’istutuzione già esistente (denominata Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione) istituita con Regolamento UE 2013/526[vi]; tuttavia, il legislatore europeo ha inteso sviluppare il suo ruolo, proprio nell’ottica del rafforzamento dell’autonomia continentale in ambiti che erano diventati strategici e che, appunto, richiedevano un solido centro di competenze che unificasse l’impegno degli stati membri nella cybersecurity;introdurre certificazioni di sicurezza per prodotti, servizi e processi TIC (cioè basati sulla Tecnologia dell’Informazione e della Comunicazione). L’ENISA, proprio nell’obiettivo di rilanciare l’autonomia digitale dell’Unione Europea, ha pubblicato lo scorso 23 aprile, un documento intitolato “Cybersecurity Research Directions for the EU’s Digital Strategic Autonomy”[vii] che fornisce molti elementi sull’impegno da profondere per raggiungere lo scopo. Il documento individua sette aree che l’ENISA ritiene fondamentali per la ricerca e per lo sviluppo delle relative applicazioni: sicurezza dei dati;piattaforme software affidabili;gestione e risposta alle minacce cyber;piattaforme hardware affidabili;crittografia;strumenti e procedure di sicurezza centrate sull’utente;sicurezza delle comunicazioni digitali. Per ciascuna di queste aree, cercheremo di spiegare quali siano le raccomandazioni e le prospettive che l’ENISA propone. Sicurezza dei dati Il fronte della sicurezza dei dati si biforca nella necessità di proteggere i dati personali (la cui normativa europea, GDPR e LED, è particolarmente protettiva dei diritti e le libertà delle persone fisiche) ma anche di tutelare gli “altri dati”, per esempio quelli riferiti ai segreti industriali. La “minaccia” che l’ENISA vede incombere, soprattutto sui dati personali, è l’intelligenza artificiale; la mole di dati riferiti ai nostri spostamenti, ai nostri acquisti, ecc. e che sono “trattenuti” dai player più grandi costituiscono, senz’altro, il terreno su cui operano algoritmi di intelligenza artificiale che “imparano” a conoscerci sempre meglio. Rispetto all’intelligenza artificiale l’ENISA, quindi, raccomanda di studiare soluzioni che: possano sistematicamente individuare le vulnerabilità degli algoritmi affinché si riduca il rischio che una minaccia possa sfruttarle e, quindi, interferire indebitamente nel loro funzionamento e, di conseguenza, nei diritti e nelle libertà degli individui;possano “dare contezza” delle modalità con le quali operano gli algoritmi per rispettare il principio di trasparenza nei confronti delle persone così come prescrive l’art. 13 della Proposta di Regolamento sull’intelligenza artificiale. Piattaforme software affidabili Questa è l’area più critica, per complessità, affrontata dall’ENISA perché il software agisce a vari livelli e, quindi, l’autonomia richiede che siano assicurati: sistemi operativi e middleware affidabili attraverso il rafforzamento di un sistema di competenze che possa garantirne la conoscenza profonda a partire dalle fasi di sviluppo;componenti software delle piattaforme affidabili nelle loro componenti che cooperano con i sensori che, ormai, sono diffusi sia in ambiente industriale che domestico;un mercato del cloud aperto affinché sia limitato il rischio che gli utenti rimangano prigionieri di un determinato fornitore (lock‑in). Gestione e risposta alle minacce cyber L’enorme quantità di dati acquisiti dai Security Operations Center (SOC) rende proficuamente applicabili a quest’area le tecniche di analytics e di intelligenza artificiale. L’ENISA, quindi, indica la necessità di un impegno specifico della ricerca europea nello sviluppo di applicazioni che gestiscano questa enorme mole di dati e che forniscano elementi significativi ai responsabili della cybersecurity, limitando al massimo i falsi positivi ed i falsi negativi. In quest’area, tuttavia, esiste anche la necessità di avere un quadro standard della catena di rilevazione‑mitigazione‑risposta, tendendo a sviluppare, in particolare, modalità e strumenti più efficaci di protezione degli end‑point (p.e. smartphone). Quest’ultima necessità riveste particolare importanza, soprattutto a seguito della pandemia, considerata la diffusione prevedibile (ed in parte già attuale) della telemedicina e del lavoro agile. Piattaforme hardware affidabili Le modalità di progettazione dell’hardware suggerite dall’ENISA devono seguire standard che: assicurino la catena dell’integrità, durante le fasi di avvio dei dispositivi (bootstrap), nel passaggio tra hardware, firmware e software;disvelino le caratteristiche tecniche di ogni componente evitando di riferirsi ai modelli black‑box o, più banalmente, al paradigma (spesso utilizzato anche molti grandi player) basta‑che‑funzioni. Questa tendenza deve essere sostenuta perché, ormai, le competenze degli attaccanti sono tali che permettono loro di sfruttare ogni elemento di debolezza, compresi quelli connessi all’hardware. Crittografia Per questa area, tendenzialmente molto vicina alla matematica applicata, l’ENISA invita gli stati membri ad investire nelle nuove frontiere di ricerca (crittografia post‑quantum) ma, soprattutto, a: introdurre le nuove tecniche di cifratura nell’ambito dei protocolli di comunicazione;realizzare un’infrastruttura europea per la verifica delle chiavi pubbliche nelle tecniche di cifratura basate su chiavi asimmetriche. Strumenti e procedure di sicurezza centrate sull’utente L’ENISA, nel prendere atto che sono disponibili una molteplicità di strumenti di “protezione dell’utente”, non può che rilevare la circostanza che esiste un gap, finora non colmato, tra le funzionalità disponibili e le conoscenze e competenze dell’utente medio. Per colmare tale gap, suggerisce di: sviluppare metodi e strumenti che vadano concretamente incontro alle necessità dell’utente e che supportino la sua attività anziché agire come barriera (spesso rimossa volontariamente) alla sua produttività;sviluppare metodi e strumenti che permettano all’utente di poter verificare autonomamente la fiducia che può accordare agli elementi ICT con i quali interagisce (siano essi sistemi di messaggistica piuttosto che piattaforme cloud). Sicurezza delle comunicazioni digitali La sicurezza della “catena comunicativa” è considerata dall’ENISA il principale building‑block della sicurezza dei sistemi informativi. In particolare, l’ENISA invita a curare tutti gli anelli della catena e a proporre modelli di gestione di tutti gli apparati, con particolare attenzione ai dispositivi intermedi, fisici o virtuali, per i quali gli aggiornamenti di sicurezza sono, spesso, trascurati. Conclusioni Sarebbe stato auspicabile, a fronte delle prospettive indicate dall’ENISA, che nel Piano Nazionale di Ripresa e Resilienza[viii] italiano fossero presenti incisivi interventi volti a: migliorare la percezione dei cittadini dei rischi presenti in rete;investire in attività di ricerca e sviluppo specificatamente volte a fronteggiare le sfide del cyberspazio. Purtroppo, invece, spiace constatare che sono previsti solo marginali interventi (Investimento 1.5: Cybersecurity e Investimento 1.7: Competenze digitali di base) nell’ambito della missione M1C1.1 Digitalizzazione della PA. Troppo poco per far crescere i nostri cittadini. Note [i]       https://ec.europa.eu/info/sites/default/files/soteu2018-speech_en_0.pdf [ii]      https://eur-lex.europa.eu/eli/reg/2016/679/oj [iii]     https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680 [iv]     https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:52021PC0206 [v]      https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32019R0881 [vi]     https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32013R0526&from=IT [vii]    https://www.enisa.europa.eu/publications/cybersecurity-research-directions-for-the-eu2019s-digital-strategic-autonomy/at_download/fullReport [viii]   https://www.pmi.it/app/uploads/2021/04/pnrr.pdf Lo staff di Odisseo condivide le conclusioni

Primo Piano – FederprivacyMercoledì, 14 Luglio 2021 10:09 Con provvedimento del 26 novembre 2020, n.256 l’Autorità Garante ha adottato una ordinanza-ingiunzione nei confronti di una struttura ricettiva, che, tra le altre cose, aveva omesso di apporre i cartelli informativi sulla videosorveglianza, che, come noto, sono stati recentemente oggetto di revisione da parte del Comitato Europeo per la protezione dei dati personali con le Linee Guida n.3/2019. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy) Il caso affrontato dall’Autorità Garante – scaturito da una segnalazione – ha riguardato un trattamento di dati personali effettuato da un hotel attraverso un sistema di videosorveglianza. Il Nucleo speciale tutela privacy e frodi tecnologiche, su incarico del Garante, ha accertato che presso la struttura non era presente alcun cartello informativo relativo all’impianto di videosorveglianza. Ciò – afferma il Garante – risulta in contrasto con quanto stabilito dall’art. 13 del Regolamento (UE) 2016/679, in base al quale il titolare è tenuto a fornire all’interessato, prima dell’inizio dei trattamenti, tutte le informazioni relative alle caratteristiche essenziali del trattamento. La stessa Corte di Cassazione ha statuito che: “L’installazione di un impianto di videosorveglianza all’interno di un esercizio commerciale, costituendo trattamento di dati personali, deve formare oggetto di previa informativa, ex art. 13 del d.lgs. n. 196 del 2003, resa ai soggetti interessati prima che facciano accesso nell’area videosorvegliata, mediante supporto da collocare perciò fuori del raggio d’azione delle telecamere che consentono la raccolta delle immagini delle persone e danno così inizio al trattamento stesso”. (Cass. 5 luglio 2016, n. 13663). L’obbligo dell’informativa è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. art. 5, par. 1, lett. a) del Regolamento. Conseguentemente, il trattamento dei dati personali, effettuato dalla struttura alberghiera nel caso de quo attraverso il sistema di videosorveglianza, è stato ritenuto illecito in relazione agli artt. 5, par. 1, lett. a) e 13 del Regolamento e oggetto di sanzione amministrativa pecuniaria pari ad euro tremila, tenuto conto delle condizioni economiche del contravventore, determinate con riferimento al bilancio di esercizio. Il caso affrontato ci ripropone un tema “classico” in materia di videosorveglianza: i c.d. cartelli informativi. Quest’ultimi sono stati trattati recentemente dall’European Data Protection Board con le linee Guida n.3/2019 sul trattamento dei dati personali attraverso dispositivi video. Le linee guida introducono il concetto di informativa a più livelli. In particolare, l’EDPB prevede che: “alla luce della quantità di informazioni che devono essere fornite all’interessato, i titolari del trattamento possono seguire un approccio “a più livelli”, optando per una combinazione di metodi, al fine di rispettare il principio della trasparenza (WP 260, par. 35; WP 89, p. 22). Con riferimento alla videosorveglianza le informazioni più importanti potrebbero essere mostrate attraverso un cartello (primo livello), mentre le ulteriori informazioni obbligatorie potrebbero essere fornite con altri mezzi (secondo livello)”. (Linee guida Capitolo 7, § 109). Proseguono, specificando che: “Il primo livello riguarda il modo in cui il Titolare del trattamento interagisce con l’interessato. In questa fase i Titolari possono usare un cartello di avvertimento contenente le informazioni di base.(vedi allegato). Quest’ultime possono essere fornite unitamente ad una icona al fine di fornire in maniera facilmente visibile, comprensibile e chiaramente leggibile, una panoramica significativa sul trattamento svolto (articolo 12 GDPR)”. (Capitolo 7.1, § 110). È interessante notare come il fac-simile di cartello informativo proposto (primo livello), oltre a riportare i dati del titolare del trattamento e le finalità del sistema di videosorveglianza, contempli anche gli estremi del data protection officer, ove presente. Infine, le linee guida precisano come: “Le informazioni dovrebbero essere posizionate ad una distanza ragionevole rispetto ai luoghi ripresi (WP 89, p.22) di modo che l’interessato possa facilmente essere edotto sulla presenza dell’impianto di sorveglianza prima di farvi ingresso (all’incirca ad una altezza d’uomo). Non è necessario specificare la precisa ubicazione dell’apparecchiatura di sorveglianza, purché non vi siano dubbi sull’area soggetta a ripresa e sul contesto della sorveglianza (WP 89, p.22). L’interessato deve essere in grado di stimare l’area oggetto di ripresa, affinché la possa evitare o acquisire un comportamento idoneo se necessario”. Capitolo 7.1, § 111 L’importanza del cartello informativo e la modalità di fruizione è stata ribadita recentemente anche dall’Autorità Garante nelle Faq sulla Videosorveglianza del dicembre 2020. Il Garante ha precisato che: “L’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB [vedi modello ] che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese). L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso).

Federprivacy – Lunedì, 31 Maggio 2021 09: Superano i 292 milioni di euro le sanzioni per violazioni della privacy applicate in Europa. Sono state, secondo Privacy Affairs, 661 in tutta l’Unione, di cui 73 in Italia, che è al secondo posto per provvedimenti sanzionatori emanati, preceduta solo dalla Spagna (222). Leggermente diverse sono le cifre fornite da Enforcement Tracker, che fino a maggio 2021 conta un totale di 283 milioni di euro spalmati in 638 sanzioni. Per questa seconda fonte viene confermata la graduatoria per nazioni per numero di sanzioni e si mette in evidenza però che l’Italia è prima per importi delle sanzioni irrogate (oltre 76 milioni). Sempre secondo www.enforcementtracker.com le violazioni più punite (euro166 milioni e 245 sanzioni) sono la mancanza di una base giuridica del trattamento (ad esempio mancanza di consenso) e il mancato rispetto delle misure di sicurezza (oltre 66 milioni e 146 sanzioni). Nella parte bassa di questa classifica ci sono anche 5 sanzioni per mancata nomina del responsabile della protezione dei dati o Dpo (euro 186 mila e 5 sanzioni). Tra l’altro, a riguardo dei Dpo, in Italia al Garante della privacy sono pervenute quasi 60 mila comunicazioni di designazioni di questi esperti privacy. Questi dati, da un lato, testimoniano l’attività, sanzionatoria e non, delle autorità di controllo, ma, dall’altro lato, non sono in grado di far capire se sia o meno aumentata la protezione della privacy. Per questo profilo, gli indicatori potrebbero essere il numero di violazioni della sicurezza cioè dei cosiddetti data breach. Il garante della privacy, nel primo trimestre del 2021, ha ricevuto 413 notificazioni di data breach e questo dopo le 421 del trimestre precedente. Ciò significa che in Italia ci sono al giorno oltre 4 segnalazioni ufficiali di sicurezza violata. Prendendo un altro indicatore e cioè i reclami presentati al Garante, essi sono stati 2839 nel primo trimestre del 2021 e cioè quasi 30 al giorno. Anche a fronte di queste cifre, però, al di là della dimostrazione del volume di attività gestita dall’autorità di controllo, non si ha esatta consapevolezza se questi numeri depongano a favore della aumentata o diminuita effettività della tutela della protezione dei dati e della privacy individuale. Se il livello di effettività non è assicurato, allora bisogna passare da un approccio basato sul rischio a un approccio basato sulla tranquillità: l’impresa, le pubbliche amministrazioni, clienti e cittadini hanno diritto alla effettiva sicurezza del traffico dei dati personali e non solo allo sforzo per raggiungerla. Fonte: Italia Oggi del 31 maggio 2021

Speciali Lunedì,17 Maggio 2021 08: Bastano uno smartphone o una chiavetta usb per registrare conversazioni dal vivo o telefoniche e raccogliere informazioni, per poi utilizzarle e renderle pubbliche per le ragioni più diverse. Lo ha fatto di recente Fedez, nella diatriba con la Rai. Ma si tratta di una pratica che, per quanto diffusa, non sempre è lecita. Il crinale dell’illecito civile – In generale è possibile registrare dialoghi se si è presenti alla conversazione, anche all’insaputa dei partecipanti. Così come è sempre legittimo registrare le telefonate a noi dirette. I contenuti delle registrazioni potrebbero servire, ad esempio, per difendersi in giudizio o per finalità di studio (Cassazione a Sezioni Unite, 36747 del 28 maggio 2003). Diffondere una telefonata a noi diretta potrebbe però integrare una violazione della legge in materia di privacy (decreto legislativo 101/2018 che ha recepito il regolamento Ue Gdpr, 679/2016) in quanto la voce è un dato personale. Ma se esiste un legittimo interesse alla diffusione del video o della registrazione, come può essere quello di cronaca, non occorre il consenso degli interessati. Per la Cassazione è anche legittimo mettere in vivavoce una conversazione telefonica senza avvertire l’interlocutore, perché chi intrattiene la telefonata accetta il rischio che il suo contenuto possa anche essere diffuso a terzi. Ma la condotta potrebbe – in certi casi – rappresentare un illecito civile o deontologico (Cassazione, 15003 del 27 febbraio 2013). È possibile anche registrare le videoconferenze alle quali si partecipa per finalità private (di studio, di ricerca). Non è consentito, invece, divulgarle senza il consenso degli interessati, perché, nella maggior parte dei casi, è difficile sostenere il legittimo interesse alla divulgazione. Un caso particolare è quello delle conversazioni tra il lavoratore e il suo datore di lavoro: per la giurisprudenza il lavoratore può sempre registrarle al fine di produrle in giudizio. Le registrazioni sono infatti riproduzioni meccaniche in base all’articolo 2712 del Codice civile e possono essere ammesse come prova nel processo civile. Le registrazioni quindi non integrano né un illecito civile né disciplinare (Corte d’appello di Milano, 369 del 20 febbraio 2019). Quando si commette un reato – Non è invece consentito divulgare le conversazioni acquisite fraudolentemente senza il consenso degli interessati, a meno che la divulgazione non serva per l’esercizio del diritto di difesa o di cronaca, in base all’articolo 617-septies del Codice penale (Cassazione, 24288 del 10 giugno 2016). Per integrare il reato le registrazioni devono essere compiute «fraudolentemente», ad esempio da parte di persone che non erano presenti alla conversazione e con mezzi idonei a eludere la percezione di essere registrati. Così anche lasciare un registratore acceso in una stanza, all’insaputa dei presenti, per registrare conversazioni tra terze persone è un reato. Può infatti integrare gli estremi dell’articolo 617 del Codice penale che punisce con la reclusione da sei mesi a quattro anni chiunque fraudolentemente prende cognizione di comunicazioni tra persone a lui non dirette. L’articolo 617 fa riferimento alle sole conversazioni telefoniche, ma va letto insieme all’articolo 623-bis, che allarga il campo a qualunque captazione illecita, non soltanto quelle telefoniche. Commette il reato di cognizione illecita di comunicazioni, previsto dall’articolo 617 del Codice penale, anche il marito separato che, preoccupato per le interferenze pericolose della madre sui figli, registra le telefonate tra di loro, pur avendo avvertito la moglie delle sue intenzioni. La stessa pena della reclusione da 6 mesi a 4 anni si applica a chi diffonde la telefonata (Cassazione, 41192 del 3 ottobre 2014). Integra infine il reato di intercettazione abusiva di conversazioni, previsto dall’articolo 617-bis, comma 1, del Codice penale e punito con la reclusione da uno a quattro anni installare un programma spia nel telefono di qualcuno per registrare le conversazioni e leggere i messaggi (Cassazione, 15071 del 18 marzo 2019). Fonte: Il Sole 24 Ore del 17 maggio 2021