Archivio

Privacy

29 Mar 2019

Bocciato il “braccialetto” elettronico al polso degli operatori ecologici. Il Garante per la privacy ha chiesto ad una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune di utilizzare dispositivi elettronici alternativi che non ledano la dignità della persona.

La pronuncia è arrivata a conclusione di un procedimento aperto d’ufficio sull’onda dell’interesse mediatico suscitato dalla vicenda.

Nell’aprile dello scorso anno la società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili dotati anche di un gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo. Obiettivo dichiarato della società era quello di rendicontare il lavoro svolto all’Azienza municipalizzata comunale.

Solo dopo l’avvio dell’istruttoria dell’Autorità la società aveva stipulato un accordo sindacale nel  quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del gps al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore.

E’ emerso che nel modello di informativa ai dipendenti, quanto alle finalità dei sistemi si fa riferimento ad “esigenze di sicurezza [e] tutela del patrimonio aziendale” che, con riguardo all’uso dei “dispositivi mobili”, non sono menzionate né nelle note di riscontro inviate all’Autorità nel presente provvedimento né nel menzionato accordo dell’11 giugno 2018.

Pertanto, la società  dovrà provvedere ad aggiornare l’ informativa da fornire ai dipendenti ai sensi dell’art. 13 del Regolamento, escludendo il riferimento alla menzionata finalità relativamente al trattamento dei dati da effettuarsi mediante dispositivi mobili.

Il Garante Privacy, pur giudicando tale configurazione non in contrasto con i principi di necessità e proporzionalità del Regolamento Ue rispetto alle finalità perseguite dalla società, ha tuttavia ritenuto necessario individuare ulteriori misure maggiormente rispettose della dignità dei lavoratori, prescrivendo alla società:

  • di individuare i tempi di conservazione dei registri necessari a gestire le eventuali contestazioni da parte della società municipalizzata
  • di indicare preventivamente e tassativamente i casi specifici (descritti nel dettaglio) nei quali si renderà necessario interconnettere le informazioni allo scopo di poter ricostruire fatti oggetto di contestazione
  • di adottare misure tecnologiche e organizzative idonee a mantenere separate le basi di dati, in particolare quelli trattati attraverso i registri, quando la conservazione è necessaria a fini amministrativi
  • di effettuare una valutazione di impatto sulla protezione dei dati (DPIA), come previsto dal GDPR, viste le concrete caratteristiche del sistema tecnologico
  • di adottare un dispositivo che per le sue caratteristiche esteriori (morfologia) non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente.

Il sistema consente infatti  il trattamento di dati personali di lavoratori identificabili. Sebbene i “braccialetti” siano collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri dei turni di lavoro è possibile individuare il dipendente che ha effettuato le rilevazioni dei tag e, quando previsto, la relativa geolocalizzazione mediante il gps.

Il Garante ha peraltro raccomandato, come indicato anche nell’accordo sindacale, l’adozione di un dispositivo che per le sue caratteristiche esteriori non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente, considerato che dovrà essere utilizzato, anche se con diverse funzionalità, dai lavoratori per ogni turno di servizio.

Fonte: Garante Privacy

Potrebbe interessarti:

Dispositivi indossabili per tutelare i pazienti non auto sufficienti
29 Mar 2019
This is image included in the post content

Lo Studio Patrizia Meo è lieto di invitarvi all’incontro “Istruzioni GDPR. Cosa fare in pratica” di mercoledì 17 aprile, al fine di presentarvi le ultime novità in termini di adempimenti privacy.

 

DATA: mercoledì 17 aprile 2019

ORARIO: dalle ore 16.00 alle ore 18.00

SEDE: Biblioteca di Padenghe s/G, Via Roma, 4, Padenghe Sul Garda (Brescia)

DESTINATARI: imprenditori e professionisti, dipendenti che devono ancora adeguarsi al nuovo Regolamento Ue 2016/679 sulla privacy.

 

ARGOMENTI:

  • Conosciamo insieme il Regolamento UE 2016/679
  • Come predisporre un sistema di gestione privacy
  • Valutare e prevenire i rischi del trattamento dei dati
  • Videosorveglianza: come adeguarsi

 

RELATORI:

Patrizia Meo, Consulente privacy e DPO

Luisa Nizzola, Avvocato Foro di Brescia

Nino Papani, Consulente privacy e DPO

 

PERCHE` NON MANCARE: per avere un quadro semplice ma preciso in merito alle ultime novità sui principali adempimenti Privacy da attuare nell’ambito dell’attività d’impresa.

 

ISCRIZIONE OBBLIGATORIA: entro venerdì 12 aprile 2019.

La partecipazione è libera e gratuita, ma l’iscrizione obbligatoria a causa di un numero di posti limitati, è opportuno segnalare la presenza compilando lo specifico modulo.

modulo adesione

Per maggiori informazioni: 0309900647

26 Mar 2019

L’Autorità Garante Privacy ha pubblicato il piano ispettivo per il periodo gennaio-giugno 2019, con Deliberazione del 14 febbraio 2019.

L’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata ai seguenti settori:

  • trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti;
  • i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca;
  • la gestione delle carte di fidelizzazione da parte delle aziende;
  • il rilascio dell´identità digitale ai cittadini italiani (Spid);
  • il Sistema Integrato di Microdati (Sim) dell´Istat.

I controlli si concentreranno sull´adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull´informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati.

Con oltre 8 milioni di entrate di sanzioni riscosse il bilancio 2018 segna un incremento del +116%

Nel corso del 2018, l’Autorità ha adottato 175 ordinanze-ingiunzione, a fronte delle 109 del 2017 ed è stato rilevato un notevole aumento delle somme riscosse pari a 8.161.806 euro, a fronte dei 3.776.694   euro registrati nel 2017 (con una variazione positiva del +116% ).

Si segnala che nel settore privato, nel 2018, le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito, da società per attività di rating sul rischio e sulla solvibilità delle imprese, dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, da società che svolgono attività di telemarketing, da società che offrono servizi di “money transfer”. Oggetto di particolare accertamento anche i trattamenti di dati svolti da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app.

(Fonte Garante Privacy)

24 Mar 2019

Tik Tok è la nuova app che sta conquistando i giovani.  Nel 2018, TikTok è stata una delle app più scaricate nel mondo. 800 milioni di iscritti, sparsi in 150 nazioni, il 41% dei quali con un’età compresa tra 16 e 24 anni. In Italia – secondo DataMediaHub – è stata scaricata oltre 7 milioni di volte. Gli utenti attivi nel nostro Paese sono 2 milioni e 400 mila. Di questi il 65% sono donne mentre il 35% uomini. In totale, gli utenti aprono l’app in media 6 volte al giorno e per un totale di 34 minuti. Ogni mese, la media di visualizzazioni dei contenuti video presenti su TikTok è di circa 3 miliardi.

Non più muser ma tiktoker

TikTok è conosciuta anche con il nome cinese Douyin in Cina, è un social network cinese lanciato nel settembre 2016 da Zhang Yiming. Il successo della piattaforma per video cinese è dovuto anche all’inglobazione che TikTok ha fatto di Musical.ly.

L’applicazione consente agli utenti di guardare clip musicali, creare brevi clip, della durata che va da un minimo di 15 secondi fino a un massimo di 60 secondi, ai quali si possono aggiungere effetti particolari e diverse animazioni.  Gli utenti per creare i propri video musicali, scelgono la loro canzone preferita da un elenco, e possono registrare un video mentre si è intenti a ballare, cantare o recitare. “Un’esperienza personalizzata appositamente per te basata sui contenuti che guardi, ti piacciono e condi

 

vidi!” La lista musicale di Tik Tok contiene, una vasta gamma di generi musicali (hip-hop, elettronica, rock, dance) e questo garantisce una scelta maggiore. L’app trova e suggerisce all’utente le clip più rilevanti ed interessanti in base alle abitudini dell’utente, di ricerca e alle interazioni con video e creator simili, con video scelti appositamente.

Alcune di queste funzioni erano presenti già in Musical.ly, le novità di Tik Tok sono: i filtri di movimento, l’effetto “specchio deformante” della fotocamera, i filtri Vr-Type che possono essere

sbloccati con il semplice battito delle palpebre e gli effetti Chroma Key e Greenscreen che possono essere usati per creare dei bellissimi sfondi.  Le clip, oltre alla registrazione live, possono essere salvate e poi caricate da quelle salvate nella gallery del profilo. Al momento l’app è disponibile per iOS e Android.

Nelle linee guida possiamo leggere che la missione di Tik Tok è diffondere nel mondo creatività, conoscenza e momenti importanti nella vita quotidiana.

Da notare che, oltre al nome TikTok viene riportata la dicitura “include Musical.ly”, per sottolineare che le due piattaforme sono collegate.

Questione di privacy

Come quasi tutti i social, anche per TikTok bisogna avere almeno 13 anni, “DO NOT use the app if you are under 13”. Sappiamo però che questo limite può essere superato dai ragazzi inserendo una data di nascita falsa. Molti bambini, ad esempio, inseriscono l’età dei genitori.

L’app permette di avere un account pubblico, in questo modo tutti possono vedere ciò che condividono gli utenti e ottenere “Mi Piace”. Il rischio? Che i ragazzi possano essere contattati direttamente sull’app.

Se nella sezione privacy, l’utente sceglie la possibilità di creare un profilo privato, tutti i video possano essere visti solo da chi li ha creati e dai follower accettati. Con un account privato, infatti, si possono approvare o rifiutare le richieste degli utenti e limitare i messaggi in arrivo dei follower.

Il consenso privacy e la sanzione dalla FTC

La Federal Trade Commission ha multato l’applicazione TikTok con una sanzione record da 5,7 milioni di dollari per avere raccolto i dati dei minori di 13 anni senza il consenso dei genitori. E’ la più alta sanzione civile mai comminata dall’ente statunitense che regolamenta il mercato per un caso che riguarda la privacy dei bambini.

Il Children’s Online Privacy Protection Act (COPPA), parla chiaro: per gli utenti che abbiano un’età inferiore ai 13 anni è necessaria la richiesta di consenso ai genitori per il trattamento dei dati.

TikTok era a conoscenza del fatto che molti ragazzini stessero usando l’app per i video di breve durata – d’altronde, il target di riferimento, è proprio il mondo teen – ma non hanno cercato l’autorizzazione parentale prima di raccogliere nomi, indirizzi e-mail e altre informazioni personali. “Questa pena da record dovrebbe essere un promemoria per tutti i servizi online e i siti Web destinati ai bambini – ha detto il presidente della Ftc, Joe Simons – prendiamo molto sul serio l’applicazione del COPPA e non ci sarà tolleranza per le società che ignorano in modo la legge”. Sempre dalla comunicazione dell’agenzia che tutela i consumatori statunitensi si legge che, per la registrazione, venivano richiesti il numero di telefono, nome e cognome, l’immagine di profilo e una breve descrizione.

Gli account degli iscritti erano pubblici di default, il che significava che il profilo di un bambino poteva essere visto da sconosciuti. Se è vero che il sito consentiva agli utenti di modificare le impostazioni predefinite in modo che solo gli autorizzati potessero vederle, rimanevano pubbliche le immagini di profilo e le biografie. Infatti, ci furono segnalazioni in merito ad adulti che cercavano di contattare i bambini tramite l’app Musical.ly che, fino a ottobre del 2016, dava la possibilità di visualizzare vicini alla propria posizione.

Negli Stati Uniti, la legge impone che il minore di 13 anni deve ottenere il consenso dei genitori e presentarlo alla piattaforma se vuole iscriversi ai social.

In Europa, il Regolamento Europeo 2016/679 per la protezione dei dati, stabilisce all’art. 8 che, il “trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni”. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

In Italia, il D.lgs 101/2018 con il quale l’ordinamento italiano si è allineato al GDPR (settembre 2018) ha stabilito che “il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione”. Al di sotto dei 14 anni, il consenso viene autorizzato dal titolare della responsabilità genitoriale.

Rispetto al passato è stato fatto qualcosa, certamente bisognerà verificare come questo obbligo verrà controllato.

20 Feb 2019

Installare le telecamere in un condominio pone non pochi problemi. In primis chi decide se si possono installare e poi quale sono le zone che si possono riprendere.

La legge di riforma del condominio, L. n. 220/2012, ha introdotto un nuovo articolo nel Codice civile riguardante proprio le telecamere in condominio.

L’ art. 1122-ter c.c. (Impianti di videosorveglianza sulle parti comuni) stabilisce che “le deliberazioni concernenti l’installazione sulle parti comuni dell’edificio di impianti volti a consentire la videosorveglianza su di esse sono approvate dall’assemblea” con un numero di voti che rappresenti la maggioranza degli intervenuti e almeno la metà del valore dell’edificio (art. 1136, comma 2, c.c.).

L’articolo chiarisce i tanti dubbi sull’installazione degli impianti di videosorveglianza (sulle parti comuni) e stabilisce che le deliberazioni che interessano l’installazione di impianti di videosorveglianza sulle parti comuni dell’edificio devono essere approvate dall’assemblea. Pertanto, l’assemblea decide se installare l’impianto di videosorveglianza, e dovrà avere come obiettivo quello di tutelare la sicurezza di cose e persone, ovvero beni comuni e i condomini o i loro familiari. Non si potrà, ad esempio, puntare una telecamera in condominio che riprende il terrazzo o la finestra del vicino.

La videosorveglianza nel condominio dovrà rispettare le regole previste dal provvedimento generale del Garante in materia di videosorveglianza dell’8 aprile 2010, in vigore con il Regolamento UE 2016/679. Disposizioni richiamate nel vademecum “Il condominio e la privacy” redatto dal Garante della privacy.

L’installazione delle videocamere è ammissibile solo per ragioni di sicurezza e vi è l’obbligo a carico dell’amministratore di Condominio di posizionare appositi cartelli informativi in luoghi visibili e aperti al pubblico che indichino la presenza delle telecamere, eventualmente avvalendosi del modello predisposto dal Garante. Le telecamere devono riprendere solo le aree comuni da controllare (accessi, garage…), possibilmente evitando la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (strade, edifici, esercizi commerciali ecc.).

L’amministratore avrà anche l’obbligo di stabilire i tempi minimi di conservazione delle immagini. Le registrazioni possono essere conservate per un periodo limitato tendenzialmente non superiore alle 24-48 ore, poi devono essere cancellate. Si dovrà individuare il personale abilitato a visionare le registrazioni (soggetti autorizzati) e indicare il responsabile del trattamento dei dati. Infine, I dati raccolti (riprese, immagini) devono essere protetti con idonee e preventive misure di sicurezza.

Telecamere del singolo condomino

Quando l’installazione di sistemi di videosorveglianza viene effettuata da persone fisiche per fini esclusivamente personali e le immagini non vengono né comunicate sistematicamente a terzi, né diffuse (ad esempio attraverso apparati tipo web cam) non si applicano le norme previste dal Codice della privacy. L’area videosorvegliata è proprietà privata e non zona comune. In questo specifico caso, ad esempio, non è necessario segnalare l’eventuale presenza del sistema di videosorveglianza con un apposito cartello. Rimangono comunque valide le disposizioni in tema di responsabilità civile e di sicurezza dei dati. È tra l’altro necessario – anche per non rischiare di incorrere nel reato di interferenze illecite nella vita privata – che il sistema di videosorveglianza sia installato in maniera tale che l’obiettivo della telecamera posta di fronte alla porta di casa riprenda esclusivamente lo spazio privato e non tutto il pianerottolo o la strada, ovvero il proprio posto auto e non tutto il garage. Le riprese possono considerarsi di utilizzo esclusivamente personale, sarà opportuno che il singolo condomino assicuri il diritto alla riservatezza delle persone. Per la Cassazione si commette reato di interferenze illecite nella vita privata quando il singolo condomino è in grado di controllare chi va e chi viene, non a casa sua ma a quella degli altri.

Se però la zona ripresa è di accesso libero a tutti il discorso cambia: ecco perché è lecita l’installazione di un sistema di videosorveglianza che riprende il vialetto di ingresso.

Non compie violazione della privacy il condomino che installi, per motivi di sicurezza, allo scopo di tutelarsi dall’intrusione di soggetti estranei, alcune telecamere per visionare gli spazi rientranti tra le parti comuni dell’edificio (come un vialetto e l’ingresso comune dell’edificio), Sentenza Cassazione Penale, Sezione V, 26 novembre 2008, n° 44156, anche se tali riprese sono effettuate contro la volontà dei condomini. Nel caso specifico, la ripresa di quanto avveniva nelle zone di uso comune non protette, per quanto effettuata contro la volontà dei condomini, non era d’altro canto effettuata né clandestinamente né fraudolentemente.

Si configura reato quando concorrono due elementi: 1) l’indebita interferenza in uno dei luoghi indicati nell’articolo 614 c.p. (violazione di domicilio) realizzata con telecamere e 2) l’attinenza delle notizie o immagini alla vita privata che si svolge in quei luoghi. In assenza di uno di questi requisiti, non c’è reato.

Nel caso sopra, l’imputato aveva fornito ai vicini la possibilità di controllare quanto visualizzato dalle telecamere mediante i televisori all’interno delle loro case, ed era stato provato in giudizio che l’angolazione delle telecamere consentiva la visuale solo incidentale di piccole porzioni di uno sporto e di un poggiolo. La ripresa delle aree comuni non poteva, di conseguenza, ritenersi in alcun modo invasiva della sfera privata dei condomini.

 

11 Feb 2019

Il Garante per la privacy risponde, con lettera del 22 gennaio 2019, al quesito presentato dal Consiglio Nazionale dei consulenti del lavoro e alle richieste di numerosi professionisti in riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, dei relativi compiti e responsabilità, dei consulenti del lavoro.

Il Regolamento (UE) 679/2016, definisce il ruolo di titolare (“controller”; ex art. 4, n. 7 e 24) e responsabile (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione della relativa responsabilità, come già prefigurato dalla Direttiva 95/46/CE.

Secondo quanto previsto dall’art. 4, n. 7 “«Titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Quanto al responsabile, l’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

Pertanto, l’Autorità ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamentoquando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

E dunque i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento.

Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare (attività esternalizzata). E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.

Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.

Qualora il consulente si avvalga normalmente di collaboratori di propria fiducia questi, in base alle concrete operazioni di trattamento affidate, potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento. Più specificamente, in base all’art. 2-quaterdecies del Codice il responsabile può prevedere che “specifici compiti e funzioni connessi al trattamento siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”. Oppure, diversamente, i collaboratori potranno assumere in concreto il ruolo di subresponsabili, qualora sia demandata “l’esecuzione di specifiche attività di trattamento per conto del titolare” (v. art. 28, par. 4 del Regolamento).

Nell’ipotesi in cui il trattamento dei dati relativi ai propri clienti da parte del consulente del lavoro (i.e. i dati del datore di lavoro che gli trasmette i dati dei suoi dipendenti), la base giuridica che facoltizza il trattamento in capo al soggetto in questione – che in tale caso rivestirà il ruolo di titolare del trattamento – è rinvenibile nell’esecuzione del contratto (art. 6, par. 1, lett. b, del Regolamento).

Qualora, invece, il consulente del lavoro agisca in veste di responsabile del trattamento, la base normativa che legittima il trattamento dei dati personali, anche “sensibili” riguardanti i clienti del datore di lavoro va individuata in capo al suo cliente (ovverosia il datore di lavoro/titolare) ai sensi dell’art. 9, par. 2, lett. b), del Regolamento: infatti, la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento.

Il consulente del lavoro dovrà predisporre delle misure di sicurezza adeguate al rischio, anche in qualità di responsabile. Quindi adotterà le misure tecniche ed organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (v. art. 32, par. 1 del Regolamento). Il Garante riconosce in questo caso, un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.

(Fonte Garante Privacy)

 

16 Dic 2018

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

Il Garante privacy ha affermato, a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale, che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili – ha osservato l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso, invece, l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

….

In base alla disciplina di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, di seguito Codice) vigente all’epoca cui si riferiscono i fatti oggetto dei reclami, si osserva quanto segue.

Le informazioni relative all’adesione sindacale costituiscono dati sensibili cui trovano anzitutto applicazione gli artt. 3, 11 e 20 e 112 del Codice (art. 4, comma 1, lett. d), del Codice). …..

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo o inibitorio.

L’Autorità si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

 

(Fonte Garante Privacy)

27 Ott 2018

Senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti.

La violazione contestata, parte dall’installazione di un sistema di raccolta di dati biometrici della mano per rilevare le presenze dei dipendenti, installata da una società che opera nel settore dei servizi ambientali. La società era stata condannata a pagare una sanzione di 66 mila euro, per aver violato il Codice sulla protezione dei dati personali.

I giudici di prima istanza, però, accolgono il ricorso della società in quanto riteneva che le apparecchiature non prelevavano e non trattavano dati, utilizzati come «individualizzanti e non come identificanti». In più, non esisteva alcuna banca dati. Ragione per cui, andava escluso il “trattamento” e non scattava la tutela prevista dal Codice. Sulla base di questo il Tribunale aveva condannato il Garante a pagare 30 mila euro per responsabilità aggravata.

La Cassazione è di diverso avviso e accoglie il ricorso del Garante analizzando, in concreto, il funzionamento del dispositivo. Con il sistema utilizzato il dato biometrico relativo alla mano del lavoratore viene trasformato in un modello di riferimento, consistente in un codice, che consentirebbe l’identificazione personale attraverso operazioni di confronto tra codice numerico ricavato da ogni accesso e quello originariamente raccolto.

Pertanto, ad ogni utilizzo del “badge” il sistema è in grado di verificare che il cartellino che si sta usando è della stessa mano utilizzata per configurarlo.

In questo contesto sbaglia il Tribunale ad affermare che il dipendente non viene identificato attraverso i suoi dati, ma tramite il badge il cui uso non è stato contestato. La Suprema corte ricorda che il Codice definisce “trattamento”, qualunque operazione che riguardi «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati». “Dato personale” è «qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale». Sono dati identificativi tutti quelli che permettono di “riconoscere” direttamente l’interessato.

La norma considera, espressamente, irrilevante, ai fini del trattamento, la mancata registrazione in una banca dati «essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea». Ad escludere il trattamento non basta che il modello archiviato consista in un numero non associabile al dato fisico, né che partendo dal numero, non sia possibile ricostruire l’immagine della mano perché l’algoritmo è unidirezionale e irreversibile. Quello che importa è che attraverso la conservazione dell’algoritmo, si può risalire al lavoratore e quindi di identificarlo.

Sulla base di queste considerazioni la società tratta dati biometrici e ciò comporta la notificazione al Garante.

(CORTE DI CASSAZIONE, SEZ. II CIVILE – ORDINANZA 15 ottobre 2018, n.25686)

9 Ott 2018

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Modello di “registro semplificato” delle attività di trattamento del titolare per PMI (ALLEGATO 1

Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI (ALLEGATO 2)

(Fonte Garante Privacy)

27 Ago 2018

La messa in rete su un sito Internet di una fotografia, liberamente accessibile su un altro sito Internet con l’autorizzazione dell’autore, necessita di una nuova autorizzazione da parte di tale autore.

Infatti, con siffatta messa in rete, la fotografia viene messa a disposizione di un pubblico nuovo.

La corte di Giustizia Europea con sentenza del 7 agosto 2018 resa nella causa C-161/17, ha fornito la corretta interpretazione della nozione di “comunicazione al pubblico”, ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29/CE sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione.

La messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet, va qualificata come “messa a disposizione” e, di conseguenza, come “atto di comunicazione”. Pertanto necessita di una nuova autorizzazione dell’autore.

La domanda di pronuncia pregiudiziale sottoposta ai giudici europei è stata presentata nell’ambito di una controversia che vedeva coinvolto un fotografo che aveva autorizzato i gestori di un sito Internet dedicato ai viaggi a pubblicare sul loro sito una delle sue foto. Un’alunna di un istituto scolastico, ha scaricato la foto in oggetto a partire da tale sito (dove essa era liberamente accessibile) per illustrare un progetto scolastico. Quest’ultimo è stato in seguito pubblicato sul sito Internet della scuola.

Per questa ragione il fotografo ha intrapreso un’azione dinanzi ai giudici tedeschi per vietare di riprodurre la sua foto. Altresì, ha reclamato il pagamento di una somma di € 400 a titolo di risarcimento danni.

A tale riguardo, il fotografo ha sostenuto di aver concesso un diritto d’uso solamente al gestore del sito Internet di viaggio e ha affermato che la messa in rete della fotografia sul sito Internet della scuola, costituisce una violazione del suo diritto d’autore. In tale contesto, il Bundesgerichtshof (Corte federale di giustizia, Germania) ha chiesto alla Corte di giustizia di interpretare la direttiva sul diritto d’autore, ai sensi della quale l’autore di un’opera ha, in linea di principio, il diritto esclusivo di autorizzare o vietare la comunicazione dell’opera al pubblico.

Innanzitutto, la Corte ricorda che una fotografia può essere protetta dal diritto d’autore alla condizione che essa costituisca una creazione intellettuale dell’autore, che ne rifletta la personalità e si manifesti attraverso le scelte libere e creative di quest’ultimo nella realizzazione di tale fotografia.

Quindi, ogni utilizzazione di un’opera effettuata da un terzo in assenza del previo consenso dell’autore deve essere considerata lesiva dei diritti dell’autore di detta opera.

Il problema nel caso in esame è se la messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet (la fotografia era stata copiata, tra i due caricamenti in rete, su un server privato), deve essere qualificata come «messa a disposizione» e, di conseguenza, come «atto di comunicazione».

La messa in rete di un’opera protetta dal diritto d’autore su un sito Internet diverso da quello sul quale è stata effettuata la comunicazione iniziale con l’autorizzazione del titolare del diritto d’autore, nelle circostanze come quelle di cui trattasi, dev’essere qualificata come messa a disposizione di un pubblico nuovo. Il pubblico preso in considerazione dal titolare del diritto d’autore nel momento in cui ha autorizzato la comunicazione della sua opera sul sito Internet sul quale quest’ultima è stata inizialmente pubblicata, è costituito dai soli utilizzatori di detto sito, e non dagli utilizzatori del sito Internet sul quale l’opera è stata successivamente messa in rete senza l’autorizzazione di detto titolare e dagli altri internauti.

Un sito differente si rivolge ad un pubblico differente, anche se i mezzi tecnici di comunicazione sono i medesimi.

Cosa diversa sarebbe stato se l’alunna avesse utilizzato solo un collegamento ipertestuale (un link) che avesse rimandato direttamente alla fotografia. In questo modo, i diritti del titolare sarebbero stati tutelati.

Infine, il fatto che il titolare del diritto d’autore non avesse posto restrizioni alle possibilità di utilizzo della fotografia da parte degli internauti non è rilevante.

(Corte di Giustizia UE, Seconda Sezione, sentenza 7 agosto 2018, causa C-161/17)