23 Mar 2020

Con la progressiva emergenza del COVID 19, le imprese, gli enti e le strutture socio sanitarie, si trovano a prendere decisioni e iniziative importanti, in tempi ristretti, trovandosi a trattare un’ingente quantità di dati sullo stato di salute dei dipendenti e collaboratori.

In questo contesto, cosa deve fare il datore di lavoro e quali misure deve porre in essere, per non violare la normativa in materia di trattamento dei dati personali?

Le norme in materia di protezione dei dati (come il Regolamento generale sulla protezione dei dati) non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus. La lotta contro le malattie trasmissibili è un importante obiettivo condiviso da tutte le nazioni e, pertanto, dovrebbe essere sostenuta nel miglior modo possibile. Occorre tenere conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e, in ogni caso, si deve ricordare che qualsiasi misura adottata in questo contesto deve rispettare i principi generali del diritto e non può essere irrevocabile.

L’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza.

Domande e risposte:

Qual è la base giuridica del trattamento posto in essere nel contesto emergenziale dovuto al Covid-19?

La base giuridica del trattamento può essere individuata negli articoli 6 e 9 del GDPR

I dipendenti devono essere informati circa il trattamento dei dati?

Si, è necessario informare i dipendenti ai sensi della normativa privacy

Si può controllare la temperatura dei propri dipendenti o collaboratori?

La finalità deve essere la prevezione del COVID 19.  La base giuridica è l’implementazione di misure di sicurezza anti contaggio ai sensi dell’art. 1 lett. D) del DPCM 11 marzo 2020 e s.m.i.

Le strutture sanitarie attuano un monitoraggio clinico degli operatori sanitari con rilevazione della temperatura corporea prima dell’inizio del turno di lavoro, e il rilievo del rialzo dellatemperatura oltre i 37,3 °C comporta l’effettuazione del tampone naso-faringeo per ricerca di SARS-CoV-2 e l’allontanamento dal luogo dilavoro con sospensione dell’attività lavorativa (Ordinanza n. 514 del 21/03/2020 Regione Lombardia)

Per quanto tempo conservo i dati?

Fino al termine dello stato d’emergenza.

Se il dipendente presenta sintomi durante il corso dell’attività lavorativa, chi contatto?

Se il dipendente presenta sintomi da contagio Covid 19 è tenuto a dichiararlo immediatamente al datore di lavoro o all’ufficio del personale. Questi procederà:

  • con l’isolamento momentaneo in base alle disposizione dell’autorità sanitaria;
  • contatterà immediatamente i servizi sanitari competenti ed attenersi alle indicazioni fornite dagli operatori sanitari.

 

Per ulteriori approfondimenti, scrivi all’indirizzo mail: info@patriziameo.it

 

 

 

17 Mar 2020

Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board (EDPB)) ha pubblicato, il 29 gennaio 2020, a seguito della consulazione pubblica, le linee guida n. 3/2019 relative al trattamento dei dati personali in materia di videosorveglianza.

Analizziamo i punti principali.

1. Ambito di applicazione. Nelle linee guida vengono specificati i casi in cui il GDPR non trova applicazione:

  • installazione di telecamere finte che, in quanto tali, non elaborano dati personali (attenzione alla normativa italiana);
  • registrazioni effettuate da un’altitudine elevata, se i dati elaborati non sono collegati a una persona specifica;
  • videocamere integrate in un’auto per l’assistenza al parcheggio se non raccoglie informazioni relative a una persona fisica;
  • infine, le Linee guida non trovano applicazione nei casi in cui l’impianto di videosorveglianza sia utilizzato da persone fisiche nell’ambito della propria vita domestica.

2. Base giuridica. Il Comitato individua tale fondamento nel legittimo interesse (art. 6 comma 1, lett. f GDPR), che deve sempre essere oggetto di bilanciamento (LIA) o nella sussistenza di un interesse pubblico (art. 6, comma 1 lett. e GDPR). Il consenso dell’interessato invece si conferma base giuridica residuale. Quindi sarà opportuno valutare con molta attenzione quale debba considerarsi la base giuridica corretta del trattamento.

Importante. Prima di installare un sistema di videosorveglianza, il titolare deve sempre stabile le finalità del trattamento (determinate, esplicite e legittime) e la base giudirica.

3. Informativa. Necessario fornire un’informativa agli interessati, di primo livello sottoforma di vignetta (c.d. informativa minima) che rimanda ad un’informativa estesa e completa.

La nuova vignetta predisposta dall’EDPB consente agli interessati di conoscere preventivamente quali dati personali vengono trattati entrando nel raggio di azione delle videocamere. L’informativa semplificata deve contenere, oltre ai dati di contatto del Titolare, anche quelli del Responsabile Protezione Dati, le finalità del trattamento e un breve richiamo ai diritti dell’interessato. Il cartello dovrà poi contenere indicazioni su come ottenere l’informativa completa, facendo preferibilmente uso di una fonte digitale (es QR-code o indirizzo sito Web).

Importante. L’azienda dovrà predisporre i cartelli con indicazioni precise, riportando le modalità per ottenere l’informativa completa, redatta secondo l’art. 13 GDPR.

4. Posizionamento del segnale di avvertimento. Le informazioni devono essere posizionate in modo tale che l’interessato possa riconoscere facilmente le circostanze della sorveglianza prima di entrare nell’area monitorata. L’interessato deve essere in grado di stimare quale area viene catturata da una telecamera in modo da poter evitare la sorveglianza o adattare il proprio comportamento, se necessario.

5. Conservazione delle immagini. Le Linee guida non indicano i limiti di tempo predefiniti di conservazione delle immagini, lasciando il titolare libero nella scelta che dovrà comunque essere ispirata ai principi di necessità e proporzionalità.  In particolare, nell’articolo 8 si chiarisce che “più è lungo il periodo di conservazione impostato (in particolare quando oltre le 72 ore), più devono essere fornite argomentazioni sulla legittimità dello scopo e sulla necessità di conservazione”. Pertanto, si dovrà indicare in un documento, la motivazione che spinge al prolungamento della conservazione.

6. Misure di Sicurezza. Le misure tecniche e organizzative, ai sensi dell’art. 32 del GDPR, dovrano essere adeguate per la protezione dei dati andranno pianificate prima di iniziare la raccolta e l’elaborazione delle riprese video. Il Titolare dovrà valutare la necessità di predisporre una Valutazione d’Impatto (DPIA), in quanto il Comitato ha stabilito che nella generalità dei casi, i trattamenti dei dati attraverso la videosorveglianza, richiedono l’effettuazione di una DPIA.

Attualmente, per l’Italia comunque resta sempre valido il Provvedimento del Garante dell’8 aprile 2010 sulla Videosorveglianza, che dovrà essere aggiornato.

Articolo: Patrizia Meo

(Fonte: linee guida n. 3/2019)

 

 

Potrebbero interessarti:

Provvedimento in materia di videosorveglianza – 8 aprile 2010
No al silenzio assenso per la videosorveglianza
Informativa sempre prima del raggio d’azione della telecamera
Telecamere per uso privato non sono soggette al Codice Privacy
Videosorveglianza installata da privati sulla propria abitazione, quando si applica la normativa privacy
15 Mar 2020

Il 14 marzo 2020, Cgil, Cisl e Uil hanno sottoscritto con il Governo presso la Presidenza del Consiglio un protocollo di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro. Il Documento contiene linee guida condivise tra le Parti sociali per agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio.

L’adozione del protocollo di regolamentazione ha importanti implicazioni sul fronte della protezione dei dati personali. Infatti, definisce la possibilità negli ambienti di lavoro di:
•    Misurazione della temperatura corporea
•    Redazione di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti con soggetti colpiti da COVID-19

Si evidenzia che la rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel rispetto del Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679, anche detto GDPR).

Le modalità operative previste nel protocollo, quindi, costituisco un’attività di raccolta e trattamento dei dati personali relativamente a:
•    Stato di salute: il lavoratore deve informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti.
•    Misurazione temperatura corporea: il personale, i fornitori e gli addetti alle pulizie prima di accedere al luogo di lavoro potranno essere sottoposti al controllo della temperatura corporea.

Ai fini di una maggior tutela degli interessati oggetto del rilevamento dei dati personali, si suggerisce ai titolari del trattamento di:
•    Rilevare la temperatura e non registrare il dato acquisto.

•    Fornire l’informativa sul trattamento dei dati personali.

•    Definire le misure di sicurezza e organizzative adeguate a proteggere i dati personali.

In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie.

Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, è lo stesso Protocollo – in una nota – a ricordare di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati.

 

Per ulteriori approfondimenti, scrivi all’indirizzo mail: info@patriziameo.it

 

7 Mar 2020

Il Garante per la protezione dei dati personali con un provvedimento d’urgenza ha prescritto ad Aruba Pec S.p.a. l’implementazione di misure per la messa in sicurezza del proprio servizio di posta elettronica certificata, che gestisce oltre sei milioni di caselle utilizzate da soggetti pubblici (come amministrazioni centrali e locali dello Stato), società private e singoli professionisti.

Perchè un Provvedimento urgente

Il provvedimento viene emanato a seguito delle vulnerabilità rilevate durante un accertamento ispettivo in merito alla gestione del servizio pec, condotto nella seconda metà del 2019.

In questo caso, l’Autorità ha adottato un provvedimento urgente per evitare che diverse categorie di interessati coinvolti (intestatari delle caselle pec, mittenti e destinatari dei messaggi, soggetti i cui dati sono presenti all’interno dei messaggi o degli allegati) fossero esposti a gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d’identità.

La pubblicazione del provvedimento è stata però posticipata per dare modo alla società di implementare le misure prescritte e impedire che le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati. La società ha dichiarato di aver adempiuto, nei termini previsti, alle prescrizioni impartite.

Importante il cambio password

Dagli accertamenti è emerso che circa 560.000 utenti utilizzavano ancora, per l’accesso alla propria casella pec, la password iniziale, scelta per loro da uno degli 8.900 partner della società (come ordini professionali, Pa e soggetti privati) senza che fosse imposto, come avrebbe dovuto, l’obbligo di modifica al primo accesso. Le procedure informatiche adottate contenevano, poi, ulteriori gravi vulnerabilità.

Ad esempio, le password tecniche di gestione di alcuni servizi informatici erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico.

Un’altra criticità riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec. Tale operazione era per altro effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale.

Decisione del Garante

Il Garante ha quindi imposto ad Aruba Pec S.p.a. la modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in modo non sicuro, la ridefinizione delle modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza, nonché un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle pec.

Con successivo provvedimento il Garante valuterà ulteriori aspetti del trattamento dei dati svolto da Aruba Pec S.p.a., nonché il complesso delle violazioni rilevate.

(Garante Privacy)

2 Mar 2020

Soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti

Il Garante Privacy ha ricevendo numerosi quesiti da parte di soggetti pubblici e privati in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio.

Analogamente, datori di lavoro pubblici e privati hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata.

Il Garante Privacy premette che la normativa d’urgenza adottata per far fronte all’emergenza Coronavirus prevede che chiunque abbia soggiornato negli 14 gg abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, debba comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.

I datori di lavoro devono invece astenersi dal raccogliere:

  • informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa;
  • Utilizzare autocertificazioni in merito all’assenza di sintomi influenzali e vicende relative alla sfera privata.

La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.

L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

Resta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.

Al riguardo, il Ministro per la pubblica amministrazione ha recentemente fornito indicazioni operative circa l’obbligo per il dipendente pubblico e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di provenire da un’area a rischio.

In tale quadro il datore di lavoro  può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni agevolando le modalità di inoltro delle stesse, anche  predisponendo canali dedicati; permangono altresì i compiti del datore di lavoro relativi alla necessità di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.

Nel caso in cui, nel corso dell’attività lavorativa, il dipendente che svolge mansioni a contatto con il pubblico (es. URP, prestazioni allo sportello) venga in relazione con un caso sospetto di Coronavirus, lo stesso, anche tramite il datore di lavoro, provvederà a comunicare la circostanza ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati.

Le autorità competenti hanno, inoltre, già previsto le misure di prevenzione generale alle quali ciascun titolare dovrà attenersi per assicurare l’accesso dei visitatori a tutti i locali aperti al pubblico nel rispetto delle disposizioni d’urgenza adottate.

Pertanto, il Garante, accogliendo l’invito delle istituzioni competenti a un necessario coordinamento sul territorio nazionale delle misure in materia di Coronavirus, invita tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e  dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.

Roma, 2 marzo 2020

(Garante privacy)

24 Feb 2020

di Carola Frediani – Guerre di rete
Off-Facebook: la tua attività fuori dal social che arriva al social
La profilazione e il passaggio di dati tra entità diverse sono così invisibili e pervasive che non mi ero mai resa conto di un dettaglio: l’app che ho sullo smartphone per fare acquisti alle macchinette del caffè e di altri generi di conforto trasmette dati a Facebook. Non ci avevo pensato perché non avevo usato il login via Facebook, né il sito del servizio, né ricordo di aver letto di connessioni nelle condizioni d’uso della app. Ad ogni modo questo è quello che avviene: la mia app trasmette quello che mangio e bevo (ma a che livello di dettaglio?) a Facebook (che ora sa che quanto ami il caffé, o le noci…). Nulla di trascendentale, ma a livello psicologico molto istruttivo.
Tutto nasce da una nuova sezione di Facebook – Off-Facebook Activity – che ora ti dice chi, fuori da Facebook (un sito, una app, una società), condivide i tuoi dati con il social network.
“L’attività fuori da Facebook è un riepilogo delle attività che le aziende e le organizzazioni condividono con noi relativamente alle tue interazioni, ad esempio quando visiti i loro siti web o utilizzi le loro app”, scrive Facebook. “Le interazioni sono le tue azioni su un’app o un sito web. Includono: l’apertura di un’app; l’accesso a un’app tramite Facebook; la visualizzazione di contenuti; la ricerca di un articolo; l’aggiunta di un articolo al carrello; un acquisto; una donazione”
Lo fa attraverso tre strumenti di Facebook per le aziende: il pixel di Facebook, l’SDK di Facebook e Facebook Login. Il Facebook Login è il più evidente, ed è probabilmente alla base di molti dei siti che troverete nella sezione Off-Facebook Activity. Ma il pixel e l’SDK sono probabilmente meno visibili, e saranno quelli che vi faranno dire: ah davvero questa app sta passando i miei dati a Facebook? Troverete app di fitness, se le usate, e app che vedono quello che mangiate.
“Ma in questo caso poco si può recriminare a Facebook”, commenta a Guerre di Rete Matteo Flora, ad di The Fool ed esperto di social media. “Il compito di segnalare l’utilizzo o meno di un tracciante è dello sviluppatore della app o del sito web, che spesso e volentieri omettono di farlo. Il problema vero è anche che se conoscere la presenza di un tracciante su un sito web è semplice, ritrovarla in una applicazione è ben più complesso e non certo alla portata di tutti. Probabilmente è questo il ragionamento che ha spinto Facebook a questa nuova funzionalità, che rimette i dati nelle mani dei proprietari”.
Qui la sezione di Facebook che vi consiglio di visitare (e si può disattivare l’attività futura): https://www.facebook.com/off_facebook_activity/activity_list

di Carola Frediani – Guerre di rete

@carolafrediani

24 Feb 2020

Non aver impedito che i dipendenti potessero “sbirciare” il dossier sanitario dei colleghi costerà ad un’azienda ospedaliera 30.000 euro. A tanto ammonta la sanzione comminata dal Garante privacy per tre violazioni di dati personali comunicate all’Autorità dallo stesso ospedale a conclusione di normali controlli periodici. Gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso nosocomio. In un caso l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione; negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi.

In tutti e tre gli episodi risulta accertato, per stessa ammissione dell’azienda ospedaliera, che gli accessi erano stati effettuati non per erogare prestazioni mediche, ma per esclusive ragioni personali, descritte dall’azienda come “mera curiosità”.

Gli accertamenti svolti dal Garante hanno evidenziato che le misure tecniche e organizzative adottate dall’ospedale, a tutela del dossier sanitario aziendale, non si erano dimostrate idonee ad assicurare una adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.

La violazione avrebbe potuto essere evitata se l’azienda avesse semplicemente osservato le Linee guida in materia di dossier sanitario, emanate dal Garante nel 2015, prevedendo che l’accesso al dossier sanitario fosse limitato al solo personale sanitario che interviene nel processo di cura del paziente ed avesse prestato particolare attenzione nell’individuare i profili di autorizzazione e nella formazione del personale abilitato. L’adozione preventiva di tali misure, anche alla luce dei principi di protezione dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), costituisce oggi, per effetto delle disposizioni contenute nel Regolamento Ue 679/2016, un preciso dovere per i titolari del trattamento.

Il Garante, nel prendere atto che in seguito alla vicenda l’azienda ha avviato spontaneamente la revisione delle procedure d’accesso ai dossier sanitari, ha ingiunto alla stessa di completare tale operazione entro 90 giorni e per gli illeciti commessi ha applicato una sanzione di 30.000 euro.

(Fonte Garante Privacy)

Potrebbe interessarti:

Dossier Sanitario e accessi indiscriminati
Dossier sanitario elettronico Nuove Linee Guida del Garante Privacy
Dossier Sanitario, provvedimento nei confronti di un’Azienda Ospedaliera
24 Feb 2020

Il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce. Lo ha ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.

L’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca , la “pubblicazione sul web dell’elenco dei soggetti che hanno aperto segnalazioni riservate contenute nell’applicativo” di condotte illecite ha dato luogo anche alla indicizzazione delle pagine web, fino a che l’università dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.

Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato.

In base al Regolamento spetta in primo luogo proprio al titolare del trattamento (in questo caso l’ateneo) – tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento – mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate.

Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni.

Nel provvedimento viene precisato che, come emerge chiaramente dalla documentazione acquisita nel corso dell’istruttoria, l’Ateneo si è limitato a recepire le scelte progettuali dell’azienda che ha fornito l’applicativo whistleblowing che non prevedevano la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel database utilizzato dal medesimo applicativo, non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing, in violazione dell’art. 32 del Regolamento.

La gravità della violazione risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.

Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr – tenendo comunque conto che la violazione ha riguardato solo due persone e che l’Ente ha attivamente cooperato nel corso dell’istruttoria – ha inflitto all’ateneo una sanzione amministrativa di 30.000 euro

(Fonte Garante Privacy)

10 Feb 2020

L’autorità Garante Privacy, con provvedimento del 9 gennaio 2020, ammonisce la Provincia autonoma di Trento per l’invio di una e-mail destinata, contemporaneamente e con gli indirizzi in chiaro, a sedici genitori di bambini non in regola con l’obbligo delle vaccinazioni.

Il Garante ha precisato che le informazioni contenute nella comunicazione della Provincia sono qualificabili come dati relativi alla salute dei minori. Tali dati possono essere trattati solo sulla base di un idoneo presupposto giuridico, rispettando i principi di liceità, correttezza e trasparenza nonché di minimizzazione, in modo sicuro e solo se adeguati, pertinenti e limitati rispetto alle finalità per le quali sono trattati.

L’e-mail andava dunque inviata a ciascun genitore separatamente, in modo personalizzato, o utilizzando lo strumento della copia conoscenza nascosta (ccn), per rendere ogni indirizzo riservato.

Di conseguenza l’Autorità, oltre ad aver dichiarato illecito il trattamento, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, consistente nella violazione degli artt. 5 e 9 del Regolamento, ha ammonito la Provincia affinché provveda a conformare i trattamenti di dati personali che comportano l’invio di comunicazioni a mezzo posta elettronica alle disposizioni e ai principi in materia di protezione dei dati personali.

Nel caso specifico il Garante ha tenuto conto del fatto che l’illecito è stato un primo e isolato evento, dovuto alla disattenzione di una dipendente. Si è trattato di un “primo e isolato evento” “a formazione istantanea e che, quindi, non si è protratto nel tempo” non dovuto a “comportamenti dolosi da parte della dipendente”, ma a “disattenzione” e, nel manifestare la massima cooperazione con l’Autorità, ha confidato “in una mancata applicazione di sanzione alcuna e, in via subordinata, nell’emanazione di un ammonimento”.

L’Autorità ha inoltre tenuto conto che la violazione gli è stata notificata dalla Provincia stessa, che, a seguito dell’accaduto, ha informato del fatto gli interessati, scusandosi e adottando atti e iniziative volte a sensibilizzare il personale al rispetto della disciplina dei dati personali:

«alle sedici famiglie coinvolte è stata inviata una raccomandata A.R: nella quale sono state informate dell’accaduto e segnalate le scuse dell’Amministrazione, nonché richiamata la necessità di riservatezza e il divieto di comunicare o divulgare i dati di cui sono venute a conoscenza». «Al riguardo non è pervenuta alcuna risposta/osservazione da parte delle famiglie».

(Fonte Garante Privacy)

2 Feb 2020

27 milioni e 800 mila euro la sanzione che l’Autorità Garante Privacy ha ingiunto alla società TIM, con Provvedimento del 15 gennaio 2020, per numerosi trattamenti illeciti di dati legati all’attività di marketing. Le violazioni hanno interessato nel complesso alcuni milioni di persone.

L’Autorità ha ricevuto centinaia di segnalazioni per la ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da Tim.

Una persona è stata chiamata 155 volte in un mese. In circa duecentomila casi, sono state contattate anche numerazioni “fuori lista”, cioè non presenti negli elenchi delle persone contattabili di Tim. Sono state rilevate poi altre condotte illecite come l’assenza di controllo da parte della società sull’operato di alcuni call center; l’errata gestione e il mancato aggiornamento delle black list dove vengono registrate le persone che non vogliono ricevere pubblicità; l’acquisizione obbligata del consenso a fini promozionali per poter aderire al programma “Tim Party” con i suoi sconti e premi.

Informazioni non corrette e non trasparenti sul trattamento dei dati per la gestione delle APP e modalità non corrette per l’acquisizione del consenso.

Non è risultata efficiente la gestione del Data Breach, così come inadeguate sono risultate l’implementazione e la gestione da parte della Società dei sistemi che trattano dati personali (con violazione del principio di privacy by design). Disallineamenti sono emersi tra le black list di Tim e quelle dei call center incaricati, così come per le registrazioni audio dei contratti stipulati telefonicamente (verbal order).  Le utenze di clienti di altri operatori, detenute da Tim in quanto gestore delle Reti, sono state conservate per un tempo superiore ai limiti di legge e inserite, senza il consenso degli interessati, in alcune campagne promozionali.

Oltre alla sanzione, l’Autorità ha imposto a Tim 20 misure correttive, tra divieti e prescrizioni. In particolare, ha vietato a Tim l’uso dei dati a fini di marketing di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali, dei soggetti presenti in black list e dei “non clienti” che non avevano dato il consenso.

La società non potrà più utilizzare neanche i dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico.

Fra le prescrizioni, il Garante ha ingiunto a Tim di verificare la consistenza delle black list utilizzate e di acquisire tempestivamente quelle eventualmente formate dai call center per riversarle nella propria black list. Tim dovrà inoltre rivedere il programma “Tim Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing. L’azienda dovrà anche verificare la procedura per l’attivazione di tutte le app, specificare sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso. La Società dovrà inoltre implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.

Le misure e le implementazioni richieste dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento della sanzione dovrà essere effettuato entro trenta giorni.

( Fonte Garante Privacy)