Blog: le notizie dal mondo della Privacy

Sicurezza informatica in outsourcing: vantaggi e soluzioni per PMI

di Redazione odisseoprivacy.it scritto il 27 agosto 2021 Garantire la cybersecurity in azienda con un piano strategico e competenze specifiche: affidarsi a un Security Provider qualificato in outsourcing può fare la differenza. Le piccole e medie imprese, esattamente come le aziende di grandi dimensioni, subiscono continuamente attacchi che hanno come bersaglio la sicurezza informatica. La digitalizzazione che ormai coinvolge la stragrande maggioranza delle imprese, inoltre, sta rendendo ancora più cogente e concreto questo pericolo. Anche le piccole attività che si affacciano al digitale devono fare uno sforzo in più per proteggersi in modo sicuro, efficace e conforme al Regolamento Europeo sulla privacy 2016/679 (DGPR). Qual è la strategia più efficace per proteggere i dati dei […]

Videosorveglianza e data breach sotto la lente del Garante Privacy

Flash News FederprivacyDomenica, 22 Agosto 2021 14:3 Meglio non trascurare le regolarità dei sistemi di videosorveglianza pubblici e privati, valutando attentamente la base giuridica del trattamento, la durata della conservazione delle immagini, le informative, e facendo particolare attenzione ai data breach e al trattamento eventuale di dati biometrici.  Con deliberazione 22 luglio 2021 [doc.web 9689657], lo ha chiarito il Garante per la protezione dei dati personali, che ogni semestre fornisce indicazioni generali sui controlli da effettuare di propria iniziativa o tramite il Nucleo Speciale Privacy e Frodi Telematiche della Guardia di finanza. Per il secondo semestre del 2021 sotto osservazione saranno soprattutto gli impianti di videosorveglianza pubblici e privati. In […]

I criteri per progettare un sistema di Videosorveglianza conforme ai princìpi di privacy by design e by default

FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e […]

Green pass nei luoghi di lavoro: obblighi, privacy e gestione delle criticità

SpecialiGiovedì, 29 Luglio 2021 15:10 La Fondazione Studi dei Consulenti del Lavoro, con un approfondimento pubblicato il 27 luglio 2021, esamina gli effetti applicativi del nuovo Green pass, introdotto con il D.L. del 23 luglio 2021, n. 105 per fronteggiare l’emergenza epidemiologica da COVID-19. La previsione di una certificazione quale possibilità di accesso a determinati servizi, ottenibile anche attraverso la vaccinazione, è fattispecie che si distingue dall’imposizione dell’obbligo vaccinale: il Green pass, infatti, rappresenta una certificazione che garantisce l’accesso a determinati servizi individuati dalla legge, ed è legittimo proprio in virtù di tale circostanza, non rappresentando un obbligo generalizzato (o un divieto altrettanto esteso), bensì la più semplice sottoposizione alla verifica […]

Arrivano le clausole contrattuali tipo dalla Commissione Europea

A cura di:  Francesco Maldera – Pubblicato il  30 Giugno 2021 L’importanza dei partner Quando si sceglie un partner bisogna stare attenti: il rapporto deve basarsi sulla fiducia. Di solito, nei nostri rapporti personali, scegliamo il partner dopo una lunga frequentazione e gli affidiamo una parte dei nostri segreti, dei nostri sogni, della nostra vita solo quando abbiamo la certezza che sia ridotto al minimo il rischio che ci maltratti. Queste scelte, di solito, hanno quattro caratteristiche: le facciamo in modo poco consapevole, diremmo quasi “naturale”, “istintivo”;non esiste un “regolamento” del rapporto; tra amici o tra fidanzati la relazione si evolve spontaneamente senza formalizzazioni (o formalismi) che specifichino gli obblighi reciproci;esistono momenti di “alti” e “bassi” ovvero situazioni in […]

Il consenso va acquisito per ciascun passaggio dei dati tra più titolari.

Il consenso, inizialmente rilasciato da un cliente ad una società, anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni, infatti, non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso.  A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati […]

Privacy dipendenti, violazione con sanzione duplice: penale ed amministrativa.

 Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e […]

Il ruolo del datore di lavoro e del medico competente nell’ambito del Covid-19 Speciali Mercoledì, 26 Maggio 2021 18:12

Mercoledì, 26 Maggio 2021 18:12 Dall’inizio della pandemia da Covid-19 il Garante per la protezione dei dati personali (“Garante Privacy”), pur riconoscendo l’interesse preminente alla tutela della salute, è intervenuto a garanzia della protezione dei dati personali. In un contesto del tutto emergenziale, il Garante Privacy ha introdotto un regime eccezionale e derogatorio volto ad attribuire al datore di lavoro un certo margine di elasticità per il trattamento dei dati – anche particolari – dei lavoratori (es. dati contenuti all’interno di autodichiarazioni circa contatti stretti con positivi o soggiorni in Paesi vietati dall’OMS nei ultimi 14 giorni, dati sulla temperatura corporea pur senza annotazione del dato relativo alla salute). Tuttavia, […]

Ecco perché il Data Protection Officer deve essere anche resiliente e assertivo

Federprivacy – Giovedì, 27 Maggio 2021 10:39 Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data Protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di DPO. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Ovviamente, si tratta delle tre principali competenze che è fondamentale ritrovare nel profilo di un aspirante Responsabile della Protezione dei Dati, ma come un tavolo a tre gambe sta in piedi fino a quando non si verificano imprevisti che […]

Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso

NEWSLETTER N. 477 del 19 maggio 2021 Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy. L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare […]

Cosa è il “data breach”?

odisseoprivacy.com 17/05/2021 Il “data breach” è una violazione nella salvaguardia e nell’incolumità dei dati personali trattati in azienda o presso uno studio professionale dal Titolare o da dipendenti, collaboratori incaricati, soggetti designati, responsabili interni o esterni (Commercialista, Consulente del lavoro, medico competente, Consulente della privacy, ecc.). Si può verificare accidentalmente o fraudolentemente e consiste nella distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali trattati.  In caso di “data breach” sono compromessi la riservatezza, l’integrità e la disponibilità dei dati personali.  Vediamo quali sono i casi più comuni: l’accesso o l’acquisizione dei dati da parte di estranei non autorizzati;il furto o la perdita o la distruzione di dispositivi […]

Se la cancellazione dei dati è affidata a terzi serve il certificato di avvenuta distruzione

Lunedì, 10 Maggio 2021 09:36 Come si cancellano i dati personali? Il primo scoglio da superare è la diversità di approccio operativo da quello normativo: il professionista tende a organizzare i dati per cliente oppure per incarico mentre la legge vuole che si cancellino i dati quando non più necessari allo scopo. Ne consegue che all’interno di una pratica o cartella informatica possano coesistere dati ancora necessari e dati che non lo sono più. Quindi, per prima cosa, occorre selezionare il necessario dal superfluo, salvo che questa cernita sia già connaturata alla tipologia di carteggio, come avviene nell’ipotesi di una pratica di causa. Giunto il momento della cancellazione – cioè […]

Commissione Europea, proposta di regolamento sull’Intelligenza Artificiale

Privacy & SocietàSabato, 24 Aprile 2021 22:18 Mercoledì 21 aprile 2021 la Commissione europea ha consegnato una proposta di regolamento sull’Intelligenza Artificiale. L’iniziativa si inserisce in un contesto di grande fermento a livello non soltanto dell’Unione ma anche del Consiglio d’Europa (ove è stato costituito un comitato ad hoc sull’Intelligenza Artificiale, il CAHAI) in cui da tempo la tematica forma oggetto di ampio dibattito tra attori istituzionali e stakeholders.  Si tratta di un programma ambizioso, che mira a rendere l’Ue un vero e proprio hub strategico grazie alla combinazione tra il primo atto giuridico diretto a regolare i sistemi di Intelligenza Artificiale (che ambisce a restituire certezza giuridica) e un piano […]

Siglato il protocollo d’intesa tra il Garante Privacy e Guardia di Finanza

Dal Garante per la PrivacyMercoledì, 31 Marzo 2021 14:59 Il Comandante Generale della Guardia di Finanza, Gen. C.A. Giuseppe Zafarana, e il Presidente dell’Autorità Garante per la Protezione dei Dati Personali, Prof. Avv. Pasquale Stanzione, hanno rinnovato oggi a Roma, presso la caserma “Piave”, sede del Comando Generale del Corpo, il Protocollo d’intesa relativo alla collaborazione tra le due istituzioni. L’accordo prevede l’implementazione delle sinergie in essere finalizzate al miglioramento dell’efficacia complessiva delle attività connesse alla vigilanza sul rispetto delle norme che disciplinano la tutela dei dati personali, in virtù delle nuove attribuzioni affidate al Garante dalla normativa nazionale e comunitaria. Gli ambiti del partenariato vedono il ruolo attivo del Gruppo Privacy […]

Anche la mia attività deve adeguarsi ?

Anche la mia attività deve adeguarsi ?

Dal 25 maggio 2018 è in vigore il GDPR sulla privacy, le prescrizioni riguardano i dati personali di cittadini UE. Deve quindi essere valutato se l’azienda tratta dati personali e in che misura. Ricordiamo ad esempio che alcune prescrizioni non si applicano ad aziende con meno di 250 dipendenti, se non in alcuni casi che sono ben specificati nel Regolamento. Anche un piccolo studio professionale è chiamato a rispettare il regolamento qualora tratti dati personali (clienti, lavoratori) in maniera sistematica, in relazione alla propria attività.  Anche una piccola azienda con pochi dipendenti che tuttavia gestisce grosse liste di utenti (es.: clienti e-commerce, iscritti a mailing list, ecc.) è tenuta a verificare la […]

I cartelli informativi nella Videosorveglianza alla luce delle Linee Guida n.3/2019 dell’European Data Protection Board

Primo Piano – FederprivacyMercoledì, 14 Luglio 2021 10:09 Con provvedimento del 26 novembre 2020, n.256 l’Autorità Garante ha adottato una ordinanza-ingiunzione nei confronti di una struttura ricettiva, che, tra le altre cose, aveva omesso di apporre i cartelli informativi sulla videosorveglianza, che, come noto, sono stati recentemente oggetto di revisione da parte del Comitato Europeo per la protezione dei dati personali con le Linee Guida n.3/2019. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy) Il caso affrontato dall’Autorità Garante – scaturito da una segnalazione – ha riguardato un trattamento di dati personali effettuato da un hotel attraverso un sistema di videosorveglianza. Il Nucleo speciale tutela privacy e frodi tecnologiche, […]