20 Giu 2019

Il CNIL, l’Autorità per la privacy francese, con delibera del 29 maggio 2019, ha multato per 400.000 euro la società Sergic che gestisce un sito web di servizi immobiliari. L’azienda non avrebbe protetto in modo adeguato i dati degli utenti e avrebbe conservato in modo inappropriato dati personali senza procedere alla cancellazione.

La société SERGIC (ci-après la société ) est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Elle emploie 486 personnes et a réalisé en 2017 un chiffre d’affaires d’environ 43 millions d’euros.

La società francese Sergic gestisce il sito web sergic.com in cui gli utenti possono creare un profilo personale per richiedere alloggi in affitto e caricare i documenti necessari alla conclusione del contratto di locazione.

Nell’agosto del 2018, un cliente sporge denuncia al CNIL, in quanto era riuscito ad avere accesso ai documenti di altri clienti, modificando leggermente l’URL dalla sua area personale sul sito.

Il CNIL a settembre procede con una verifica on line, attestando che i documenti degli utenti erano liberamente accessibili senza previa autenticazione. Si potevano vedere documenti come: carta d’identità, dati bancari, assegni familiari.

L’autorità avvia così un controllo presso la sede della società e scopre che questa era a conoscenza di questa mancanza di sicurezza fin dal marzo 2018, ma non aveva fatto nulla per contrastarla.

Le 12 août 2018, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ) a été saisie d’une plainte d’un utilisateur du site. Le plaignant indiquait qu’une modification du caractère X dans l’adresse URL composée comme suit : https://www.crm.sergic.com/documents/upload/eresa/X.pdf , où X représente un nombre entier, lui avait permis d’accéder aux pièces justificatives qu’il avait lui-même téléchargées via le site mais également à celles téléchargées par d’autres candidats à la location. Dans sa plainte, le plaignant a fourni plusieurs exemples d’ adresses URL à partir desquelles il a pu accéder à des pièces téléchargées par des tiers. Il a indiqué avoir informé la société de ces faits dès le mois de mars 2018.

Le violazioni contestate dall’Autorità francese alla società sono due.

La prima relativa alla violazione dell’articolo 32 del GDPR. La società non ha garantito la sicurezza dei dati degli utenti, e non ha nemmeno provveduto tempestivamente a risolvere il problema o a cercare una soluzione adeguata per non consentire a soggetti terzi, non autorizzati, di accedere a tali dati.

La vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente. 

La seconda sanzione, in violazione dell’art. 5 del GDPR. L’Autorità ha constatato che la società ha conservato tutti i documenti caricati dai candidati per una durata superiore a quella necessaria in relazione ai fini del trattamento. Il CNIL ha osservato che, una volta raggiunto lo scopo del trattamento (ad esempio, la chiusura di una candidatura ad affittare una casa) i dati devono essere cancellati o, almeno, archiviati in una banca dati separata qualora fosse stato necessario per adempiere agli obblighi di legge o per gestire eventuali controversie.

Il ressort de ces différents éléments que la société SERGIC conservait en base active les données à caractère personnel des candidats n’ayant pas accédé à la location pour une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place.

La sanzione di euro 400.000 stabilita dal CNIL è stata stabilita sulla base dei seguenti parametri:

  • la gravità della violazione (La mise en œuvre d’une procédure d’authentification sur le site était une mesure élémentaire à prendre, qui aurait permis d’éviter la violation de données personnelles).
  • l’inerzia della società nell’affrontare una vulnerabilità conosciuta (a manqué de diligence dans la correction de la vulnérabilité alors qu’en présence d’une violation de données, le RGPD impose une réaction rapide).
  • il fatto che i documenti accessibili rivelassero aspetti privati della vita dei richiedenti (informations particulièrement précises sur certains aspects de leur vie privée).
  • le dimensioni dell’azienda e la sua solidità finanziaria.

Fonte: https://www.cnil.fr

 

17 Giu 2019

Risponde il dirigente scolastico del danno causato all’istituto dal pagamento di una sanzione amministrativa irrogata dal Garante della privacy per la pubblicazione online di una circolare contente dati di alunni disabili, sentenza n. 246/2019 la Corte dei Conti- Sezione Giurisdizionale per il Lazio.

La Sezione giurisdizionale per il Lazio è stata chiamata a pronunciarsi sulla pretesa fatta valere dalla Procura regionale a carico della Dirigente scolastica di un Istituto professionale e di tre docenti appartenenti all’Istituto stesso, per asserito danno indiretto cagionato all’amministrazione di appartenenza, derivante dalla pubblicazione sulla rete internet di una circolare contenente dati idonei a rivelare lo stato di salute di alunni minori affetti da disabilità.

La pubblicazione della circolare, contente dati di studenti minori di età e disabili, era stata valutata dal Garante della Protezione dei dati Personali quale lesione al diritto alla riservatezza dei minori e delle famiglie, e come tale punita con l’irrogazione di una sanzione amministrativa, per violazione dell’art. 22, comma 8 del Codice per la protezione di dati personali, per un importo di euro 20.000,00. Tale sanzione fu pagata con i fondi della scuola.

La sezione ha ritenuto il comportamento del Dirigente scolastico gravemente negligente per non aver tenuto conto della necessità della riservatezza dei dati idonei a rivelare lo stato di salute degli studenti minori dell’Istituto affetti da disabilità, ed ha consentito la divulgazione nella rete internet della circolare in forma integrale, non avendo prescritto alcun divieto di pubblicazione, né in ultimo controllato che la circolare, a differenza di quelle adottate di consueto, non venisse pubblicata sul sito web dell’Istituto.

La divulgazione del nominativo ha così leso la personalità dello studente disabile, che si è conseguentemente lamentato del trattamento illecito dei dati personali.

Tale sanzione, con decisione pur sempre riconducibile alla Dirigente scolastica, è stata pagata con fondi appartenenti all’Istituto, le cui casse risultano quindi essere state depauperate ad opera della condotta ad un tempo attiva ed omissiva della Dirigente scolastica, compendiatasi in una grave violazione della normativa a presidio della tutela del diritto alla riservatezza, a cui si è posto rimedio con il pagamento con denaro pubblico.

La Corte ha inoltre stabilito che nessuna colpa può essere addossata a chi ha scritto e pubblicato manualmente la circolare, in quanto la responsabilità di verificare la correttezza e la legittimità di una circolare è solo del dirigente scolastico e non può essere estesa ai docenti coinvolti nella stesura e nella pubblicazione.

Sul dirigente scolastico gravava l’obbligo di verificare la correttezza e la legittimità della circolare sottoscritta e di monitorarne i successivi passaggi fino anche ad impedirne la pubblicazione, in quanto il Dlgs 165/ 2001 attribuisce direttamente alla dirigenza la responsabilità dell’organizzazione e della gestione scolastica.

http://www.dirittodeiservizipubblici.it/

10 Giu 2019

2 milioni di euro, questa la sanzione comminata dal Garante Privacy ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo.

La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata designata responsabile.

La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società.

la trasmissione dei dati dei potenziali clienti in formato elettronico da parte della società albanese all’agente di vendita, ovvero la trasmissione dei modelli cartacei di proposta di adesione privi della sottoscrizione del cliente, costituisce prova evidente che i potenziali clienti non hanno avuto modo di prendere visione di alcun modello di informativa ai sensi dell’art. 13 del Codice. L’assenza di uno script contente la predetta informativa, da leggere agli interessati nel corso dei contatti telefonici, conferma che l’informativa non è stata resa neanche mediante tale strumento. Inoltre, non avendo i potenziali clienti sottoscritto alcuna proposta di adesione e non risultando in atti l’esistenza di registrazioni dei contatti telefonici operati da xxx, i trattamenti di dati personali svolti da xxx non possono essere ricompresi fra quelli per i quali non è necessario acquisire il consenso in base all’art. 24, comma 1, lett. b), del Codice (esecuzione di obblighi contrattuali o adempimento a specifiche richieste precontrattuali);

La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti.

La sanzione è stata così definita:

– euro 6.000 (seimila) per ciascuna delle 78 violazioni di cui agli artt. 13 e 161 del Codice, per un totale di euro 468.000 (quattrocentosessantottomila);

– euro 10.000 (diecimila) per ciascuna delle 155 violazioni di cui agli artt. 23 e 162, comma 2-bis, del Codice, per un totale di euro 1.550.000 (un milione cinquecentocinquantamila)

(Fonte Garante Privacy)

Potrebbero interessarti:

14 Mag 2019

REGOLAMENTO UE,
UN ANNO DALLA SUA APPLICAZIONE
PRIMO BILANCIO PER I COMUNI

CONTENUTI

L’iniziativa formativa intente fare sintesi sulla normativa ad un anno di distanza dalla sua introduzione e dalla sua applicazione nei Comuni.Verrà nello specifico portatal’esperienza di alcuni Comuni che hanno fatto parte del gruppo di lavoro costituitosi in ACB, tra gli altri l’esperienza del Comune di Brescia per voce del dott. Luca Mattiello.

PROGRAMMA

Regolamento Europeo, a che punto siamo nei nostri Comuni

Il ruolo del Responsabile della Protezione dei Dati nel Comune

Responsabili e sub-responsabili del trattamento

La formazione del Personale degli Enti locali

Sicurezza dei dati e data breach

Le esperienze del Gruppo di lavoro ACB: i Comuni si raccontano.

 

Acb Servizi srl Via Creta, 42 a Brescia

12 Mag 2019

Nessun silenzio-assenso sulla richiesta di autorizzazione all’installazione e utilizzo nei luoghi di lavoro degli impianti audiovisivi e degli altri strumenti di controllo previsti dall’art. 4, comma 1, della L. n.300/1970 e successive modificazioni. A chiarirlo è il Ministero del Lavoro nell’interpello n.3/2019 in risposta all’istanza presentata dal Consiglio nazionale dell’Ordine dei Consulenti del Lavoro, precisando che la stessa norma non consente l’installazione e l’utilizzo degli impianti di controllo senza un atto espresso di autorizzazione sia di carattere negoziale, come un accordo sindacale, sia di carattere amministrativo, come un provvedimento, per via della disuguaglianza di stato tra datore di lavoro e lavoratori.

Infatti, le disposizioni contenute all’art. 4 affidano, in primis, ad un accordo tra la parte datoriale e le rappresentanze sindacali la possibilità di impiego degli impianti e degli altri strumenti che consentano anche il controllo dell’attività dei lavoratori. In mancanza di accordo, l’installazione è subordinata all’autorizzazione dell’Ispettorato del lavoro.

Già con nota del 16 aprile 2012 (prot. n. 7162) la Direzione Generale per l’attività ispettiva del Ministero aveva fornito istruzioni operative in relazione al rilascio delle autorizzazioni previste dall’articolo 4 della legge n. 300del 1970. In quella occasione era stata sottolineata la necessità di considerare i presupposti legittimanti la richiesta di installazione di impianti di controllo, ovvero l’effettiva sussistenza delle esigenze organizzative e produttive, sottolineando inoltre il necessario rispetto del Codice per la privacy, nonché dei successivi provvedimenti del Garante, in particolare delle prescrizioni del Provvedimento generale sulla videosorveglianza dell’8 aprile 2010, nel quale, tra l’altro, si afferma l’esclusione dell’applicazione del principio del silenzio-assenso in questo caso specifico.

(Fonte: Consulenti del Lavoro)

12 Mag 2019

“Abbiamo avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati: in particolare avvocati e loro assistiti”. Il presidente dell’Autorità garante per la protezione dei dati personali, Antonello Soro, risponde così all’Agi in relazione al caso del”hackeraggio delle email di migliaia di avvocati romani ad opera di Anonymous.

“Sin da ora – sottolinea Soro – emerge l’assoluta inadeguatezza delle misure di sicurezza correlate alla gestione di un servizio, quale la pec, che dovrebbe garantire la massima riservatezza e su cui, peraltro, si basa l’intera architettura del processo telematico”.

Il Presidente Antonello Soro, interviene con questo comunicato stampa dopo l’attacco di Anonymous alle caselle pec degli avvocati di Roma, circa 30mila e-mail certificate violate, comprese quella della sindaca Virginia Raggi.

«Salve cittadini Italiani, oggi Anonymous, con questa operazione e con l’avvicinarsi dell’anniversario della loro cattura, vuole ricordare i vecchi Amici Aken e Otherwise arrestati nel Maggio 2015», si legge nel post del network pro-Wikileaks che annuncia l’operazione di hackeraggio. E conclude: «Non avete capito che Anonymous non ha leader? Arrestati 2 altri 100 ne nascono. Abbiamo continuato la nostra lotta, e nonostante gli arresti noi non ci arrendiamo».

Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia Postale è ora al lavoro per accertare l’esatta portata della violazione rivendicata da Anonymous Italia. Al momento la Procura capitolina non ha formalmente aperto un fascicolo di indagine ma il Cnaipic è intervenuta per acquisire dati ed elementi per le indagini successive.

L’attacco informatico subito dall’Ordine degli Avvocati di Roma – sottolinea il presidente Antonino Galletti – «rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza». «I tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine capitolino – spiega – sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili – conclude – saranno naturalmente denunciati all’autorità giudiziaria».

 

Fonte: Il Sole 24 Ore, Garante Privacy

1 Mag 2019

Sanzione di 16 mila euro al medico che ha utilizzato circa 3.500 indirizzi di ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo. L’Autorità Garante Privacy aveva avviato un’istruttoria a seguito di alcuni articoli di stampa che segnalavano la vicenda. Il medico si è difeso affermando di aver scritto ai suoi ex pazienti, che aveva avuto in cura presso un importante Istituto oncologico, per informarli della sua nuova sede di lavoro, avendo cessato il suo rapporto professionale presso l’Istituto. Con l’occasione, aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, già assessore alla Sanità e al Welfare, e aveva ritenuto di rispettare le norme consentendo ai destinatari di opporsi alla ricezione dei messaggi, mediante un link posto in calce alla mail.

Il Garante ha giudicato un tale trattamento di dati personali illecito per diversi profili.

In primo luogo, il medico non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex pazienti per finalità diverse da quelle di cura, per le quali erano stati raccolti, senza aver acquisito uno specifico e autonomo consenso.

…… Nel caso di specie, risulta accertato che la parte ha acquisito xxx la mailing list contenente i nominativi e gli indirizzi e-mail dei propri pazienti, al momento della cessazione del proprio rapporto di lavoro; tuttavia, non risulta provato né documentato in atti che sia stata resa l’informativa agli interessati, al momento dell’acquisizione da parte del dott. XX dei suddetti dati, così come previsto dall’art. 13, comma 4, del Codice. Per quanto riguarda, invece, la violazione di cui all’art. 162, comma 2-bis, del Codice, si rappresenta che la condotta illecita contestata alla parte si riferisce all’utilizzo dei dati personali per finalità differenti da quelli di cura (che avevano giustificato l’originario trattamento), senza che gli interessati avessero espresso il proprio specifico e autonomo consenso. Infatti, la missiva oggetto dell’istruttoria, non si limitava a rendere noto ai pazienti gli spostamenti del professionista, ma indicava chiaramente il sostegno a un candidato nell’ambito delle consultazioni elettorali che si sarebbero svolte di lì a poco in Lombardia. Aspetto senz’altro censurabile sotto il profilo della protezione dei dati personali, posto che si tratta di una finalità perseguita dal dott. XX senza che gli interessati avessero espresso alcuna manifestazione di consenso al riguardo; ….

Come chiarito dal Garante nel Provvedimento generale in materia di propaganda elettorale del 6 marzo 2014, “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti“.

Nonostante la sanzione sia stata comminata in base al vecchio Codice, i principi che la ispirano restano validi anche in base al nuovo Regolamento Ue, come di recente precisato nel provvedimento dell’Autorità del 7 marzo 2019.

(Fonte Garante Privacy)

Potrebbe interessarti: Provvedimento in materia di propaganda elettorale e comunicazione politica – 18 aprile 2019
(In corso di pubblicazione sulla Gazzetta Ufficiale)
28 Apr 2019

Il Garante Privacy ha approvato un provvedimento sull’uso corretto dei dati degli elettori in vista delle elezioni europee del 26 maggio. Il rispetto delle norme in materia di protezione dei dati è essenziale “per mantenere la fiducia dei cittadini e garantire il regolare svolgimento in tutte le fasi delle consultazioni elettorali”.

Nel provvedimento, in corso di pubblicazione sulla G.U., l’Autorità si sofferma, in particolare, sull’uso di messaggi politici e propagandistici inviati agli utenti dei social network (come Facebook e Linkedin) o su altre piattaforme di messaggistica (come Skype, Whatsapp, Messenger), ribadendo che tale uso deve rispettare le norme in materia di protezione dei dati  Come dimostrato da casi recenti di profilazione massiva degli elettori, è fondamentale proteggere il processo elettorale ed evitare rischi di interferenze e turbative esterne.

Queste, in sintesi, le indicazioni del Garante.

  1. Dati utilizzabili senza consenso

Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza consenso i dati contenuti nelle liste elettorali detenute dai Comuni. Possono essere usati anche altri elenchi e registri pubblici in materia di elettorato passivo e attivo (es. elenco dei cittadini residenti all’estero aventi diritto al voto o degli elettori italiani che votano all’estero per le elezioni del Parlamento europeo) e altre fonti documentali, detenute da soggetti pubblici, accessibili da chiunque. Si possono utilizzare senza previo consenso anche i dati degli aderenti a partiti o movimenti politici o di soggetti che hanno con essi contatti regolari.

  1. Dati utilizzabili solo con il previo consenso

E’ necessario il consenso informato invece per poter utilizzare recapiti telefonici contenuti negli elenchi telefonici e quindi per effettuare chiamate o inviare sms e mail.

Attenzione ai dati reperiti sul web.

Sebbene risulti agevole la reperibilità di dati personali in Internet (quali recapiti telefonici o indirizzi di posta elettronica) questo non comporta la libera disponibilità degli stessi né autorizza il trattamento di tali dati per qualsiasi finalità, ma soltanto per gli scopi sottesi alla loro pubblicazione. Sarà necessario il consenso per poter trattare i dati reperibili sul web, in particolare, ad esempio:

  • dati raccolti automaticamente in Internet tramite appositi software (v. c.d. web or data scraping);
  • liste di abbonati ad un provider;
  • dati pubblicati su siti web per specifiche finalità di informazione aziendale, comunicazione commerciale o attività associativa;
  • dati consultabili in Internet solo per le finalità di applicazione della disciplina sulla registrazione dei nomi a dominio;
  • dati pubblicati dagli interessati sui social network.

Inoltre, i messaggi politici e propagandistici inviati agli utenti di social network (come Facebook o Linkedin), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina in materia di protezione dei dati (artt. 5, 6, 7, 13, 24, 25 del Regolamento). La medesima disciplina è altresì applicabile ai messaggi inviati utilizzando altre piattaforme, come Skype, WhatsApp, Viber, Messanger.

Necessario il consenso anche per i dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria.

Serve il consenso anche per l’utilizzo dei dati di persone contattate in occasione di singole specifiche iniziative (es. petizioni, proposte di legge, referendum, raccolte di firme) e di quelli di sovventori occasionali.

Chi intende utilizzare, acquisendole da terzi, liste cosiddette “consensate” (dati raccolti previa informativa e consenso), è tenuto a verificare che siano stati effettivamente rispettati gli adempimenti di legge. Lo stesso vale per i servizi di propaganda elettorale curata da terzi a favore di movimenti, partiti, candidati.

  1. Dati non utilizzabili

Non sono in alcun modo utilizzabili i dati raccolti o usati per lo svolgimento di attività istituzionali come l’anagrafe della popolazione residente; gli archivi dello stato civile; le liste elettorali di sezione già utilizzate nei seggi; gli elenchi di iscritti ad albi e collegi professionali; gli indirizzi di posta elettronica tratti dall’Indice nazionale dei domicili digitali.

Non sono utilizzabili i dati resi pubblici sulla base di atti normativi per finalità di pubblicità o di trasparenza come, ad esempio quelli presenti nei documenti pubblicati nell’albo pretorio on line; quelli relativi agli esiti di concorsi; quelli riportati negli organigrammi degli uffici pubblici contenenti recapiti telefonici ed indirizzi mail.

Non si possono infine utilizzare dati raccolti da titolari di cariche elettive e di altri incarichi pubblici nell’esercizio del loro mandato elettivo o dell’attività istituzionale.

  1. Informativa a cittadini

Gli elettori devono essere sempre informati sull’uso che verrà fatto dei loro dati personali. Se i dati sono ottenuti direttamente presso gli interessati, l’informativa va data all’atto della raccolta. Per i dati acquisiti da altre fonti è necessario che gli interessati siano informati in un tempo ragionevole al massimo entro un mese. Qualora tale adempimento sia però impossibile o comporti uno sforzo sproporzionato, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono esimersi dall’informativa, a condizione che adottino misure adeguate per tutelare i diritti e le libertà dei cittadini, utilizzando, per esempio, modalità pubbliche di informazione.

  1. Sanzioni

Il Garante ricorda che la violazione della disciplina sui dati comporta sanzioni che possono essere anche molto onerose, come previsto dal Gdpr, fino a 20 milioni di euro.

Inoltre, in ragione delle recenti modifiche introdotte dal legislatore europeo al Regolamento Ue 1141/2014 sullo statuto e il finanziamento di partiti e fondazioni politiche europee, l’Autorità europea per i partiti politici e le fondazioni politiche europee – se viene a conoscenza di una decisione di un’Autorità nazionale di protezione dati da cui sia possibile evincere che la violazione delle norme sia connessa ad attività volte ad influenzare o a tentare di influenzare l’esito delle elezioni europeeè tenuta ad avviare una procedura di verifica, all’esito della quale potranno essere applicate sanzioni pecuniarie che potrebbero ammontare, nei casi più gravi, al 5% del bilancio annuale del partito o della fondazione.

(fonte Garante Privacy)

 

29 Mar 2019

Bocciato il “braccialetto” elettronico al polso degli operatori ecologici. Il Garante per la privacy ha chiesto ad una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune di utilizzare dispositivi elettronici alternativi che non ledano la dignità della persona.

La pronuncia è arrivata a conclusione di un procedimento aperto d’ufficio sull’onda dell’interesse mediatico suscitato dalla vicenda.

Nell’aprile dello scorso anno la società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili dotati anche di un gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo. Obiettivo dichiarato della società era quello di rendicontare il lavoro svolto all’Azienza municipalizzata comunale.

Solo dopo l’avvio dell’istruttoria dell’Autorità la società aveva stipulato un accordo sindacale nel  quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del gps al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore.

E’ emerso che nel modello di informativa ai dipendenti, quanto alle finalità dei sistemi si fa riferimento ad “esigenze di sicurezza [e] tutela del patrimonio aziendale” che, con riguardo all’uso dei “dispositivi mobili”, non sono menzionate né nelle note di riscontro inviate all’Autorità nel presente provvedimento né nel menzionato accordo dell’11 giugno 2018.

Pertanto, la società  dovrà provvedere ad aggiornare l’ informativa da fornire ai dipendenti ai sensi dell’art. 13 del Regolamento, escludendo il riferimento alla menzionata finalità relativamente al trattamento dei dati da effettuarsi mediante dispositivi mobili.

Il Garante Privacy, pur giudicando tale configurazione non in contrasto con i principi di necessità e proporzionalità del Regolamento Ue rispetto alle finalità perseguite dalla società, ha tuttavia ritenuto necessario individuare ulteriori misure maggiormente rispettose della dignità dei lavoratori, prescrivendo alla società:

  • di individuare i tempi di conservazione dei registri necessari a gestire le eventuali contestazioni da parte della società municipalizzata
  • di indicare preventivamente e tassativamente i casi specifici (descritti nel dettaglio) nei quali si renderà necessario interconnettere le informazioni allo scopo di poter ricostruire fatti oggetto di contestazione
  • di adottare misure tecnologiche e organizzative idonee a mantenere separate le basi di dati, in particolare quelli trattati attraverso i registri, quando la conservazione è necessaria a fini amministrativi
  • di effettuare una valutazione di impatto sulla protezione dei dati (DPIA), come previsto dal GDPR, viste le concrete caratteristiche del sistema tecnologico
  • di adottare un dispositivo che per le sue caratteristiche esteriori (morfologia) non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente.

Il sistema consente infatti  il trattamento di dati personali di lavoratori identificabili. Sebbene i “braccialetti” siano collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri dei turni di lavoro è possibile individuare il dipendente che ha effettuato le rilevazioni dei tag e, quando previsto, la relativa geolocalizzazione mediante il gps.

Il Garante ha peraltro raccomandato, come indicato anche nell’accordo sindacale, l’adozione di un dispositivo che per le sue caratteristiche esteriori non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente, considerato che dovrà essere utilizzato, anche se con diverse funzionalità, dai lavoratori per ogni turno di servizio.

Fonte: Garante Privacy

Potrebbe interessarti:

Dispositivi indossabili per tutelare i pazienti non auto sufficienti
29 Mar 2019
This is image included in the post content

Lo Studio Patrizia Meo è lieto di invitarvi all’incontro “Istruzioni GDPR. Cosa fare in pratica” di mercoledì 17 aprile, al fine di presentarvi le ultime novità in termini di adempimenti privacy.

 

DATA: mercoledì 17 aprile 2019

ORARIO: dalle ore 16.00 alle ore 18.00

SEDE: Biblioteca di Padenghe s/G, Via Roma, 4, Padenghe Sul Garda (Brescia)

DESTINATARI: imprenditori e professionisti, dipendenti che devono ancora adeguarsi al nuovo Regolamento Ue 2016/679 sulla privacy.

 

ARGOMENTI:

  • Conosciamo insieme il Regolamento UE 2016/679
  • Come predisporre un sistema di gestione privacy
  • Valutare e prevenire i rischi del trattamento dei dati
  • Videosorveglianza: come adeguarsi

 

RELATORI:

Patrizia Meo, Consulente privacy e DPO

Luisa Nizzola, Avvocato Foro di Brescia

Nino Papani, Consulente privacy e DPO

 

PERCHE` NON MANCARE: per avere un quadro semplice ma preciso in merito alle ultime novità sui principali adempimenti Privacy da attuare nell’ambito dell’attività d’impresa.

 

ISCRIZIONE OBBLIGATORIA: entro venerdì 12 aprile 2019.

La partecipazione è libera e gratuita, ma l’iscrizione obbligatoria a causa di un numero di posti limitati, è opportuno segnalare la presenza compilando lo specifico modulo.

modulo adesione

Per maggiori informazioni: 0309900647