Archivio

Regolamento Europeo

24 Feb 2020

Non aver impedito che i dipendenti potessero “sbirciare” il dossier sanitario dei colleghi costerà ad un’azienda ospedaliera 30.000 euro. A tanto ammonta la sanzione comminata dal Garante privacy per tre violazioni di dati personali comunicate all’Autorità dallo stesso ospedale a conclusione di normali controlli periodici. Gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso nosocomio. In un caso l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione; negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi.

In tutti e tre gli episodi risulta accertato, per stessa ammissione dell’azienda ospedaliera, che gli accessi erano stati effettuati non per erogare prestazioni mediche, ma per esclusive ragioni personali, descritte dall’azienda come “mera curiosità”.

Gli accertamenti svolti dal Garante hanno evidenziato che le misure tecniche e organizzative adottate dall’ospedale, a tutela del dossier sanitario aziendale, non si erano dimostrate idonee ad assicurare una adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.

La violazione avrebbe potuto essere evitata se l’azienda avesse semplicemente osservato le Linee guida in materia di dossier sanitario, emanate dal Garante nel 2015, prevedendo che l’accesso al dossier sanitario fosse limitato al solo personale sanitario che interviene nel processo di cura del paziente ed avesse prestato particolare attenzione nell’individuare i profili di autorizzazione e nella formazione del personale abilitato. L’adozione preventiva di tali misure, anche alla luce dei principi di protezione dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), costituisce oggi, per effetto delle disposizioni contenute nel Regolamento Ue 679/2016, un preciso dovere per i titolari del trattamento.

Il Garante, nel prendere atto che in seguito alla vicenda l’azienda ha avviato spontaneamente la revisione delle procedure d’accesso ai dossier sanitari, ha ingiunto alla stessa di completare tale operazione entro 90 giorni e per gli illeciti commessi ha applicato una sanzione di 30.000 euro.

(Fonte Garante Privacy)

Potrebbe interessarti:

Dossier Sanitario e accessi indiscriminati
Dossier sanitario elettronico Nuove Linee Guida del Garante Privacy
Dossier Sanitario, provvedimento nei confronti di un’Azienda Ospedaliera
24 Feb 2020

Il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce. Lo ha ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.

L’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca , la “pubblicazione sul web dell’elenco dei soggetti che hanno aperto segnalazioni riservate contenute nell’applicativo” di condotte illecite ha dato luogo anche alla indicizzazione delle pagine web, fino a che l’università dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.

Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato.

In base al Regolamento spetta in primo luogo proprio al titolare del trattamento (in questo caso l’ateneo) – tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento – mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate.

Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni.

Nel provvedimento viene precisato che, come emerge chiaramente dalla documentazione acquisita nel corso dell’istruttoria, l’Ateneo si è limitato a recepire le scelte progettuali dell’azienda che ha fornito l’applicativo whistleblowing che non prevedevano la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel database utilizzato dal medesimo applicativo, non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing, in violazione dell’art. 32 del Regolamento.

La gravità della violazione risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.

Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr – tenendo comunque conto che la violazione ha riguardato solo due persone e che l’Ente ha attivamente cooperato nel corso dell’istruttoria – ha inflitto all’ateneo una sanzione amministrativa di 30.000 euro

(Fonte Garante Privacy)

10 Feb 2020

L’autorità Garante Privacy, con provvedimento del 9 gennaio 2020, ammonisce la Provincia autonoma di Trento per l’invio di una e-mail destinata, contemporaneamente e con gli indirizzi in chiaro, a sedici genitori di bambini non in regola con l’obbligo delle vaccinazioni.

Il Garante ha precisato che le informazioni contenute nella comunicazione della Provincia sono qualificabili come dati relativi alla salute dei minori. Tali dati possono essere trattati solo sulla base di un idoneo presupposto giuridico, rispettando i principi di liceità, correttezza e trasparenza nonché di minimizzazione, in modo sicuro e solo se adeguati, pertinenti e limitati rispetto alle finalità per le quali sono trattati.

L’e-mail andava dunque inviata a ciascun genitore separatamente, in modo personalizzato, o utilizzando lo strumento della copia conoscenza nascosta (ccn), per rendere ogni indirizzo riservato.

Di conseguenza l’Autorità, oltre ad aver dichiarato illecito il trattamento, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, consistente nella violazione degli artt. 5 e 9 del Regolamento, ha ammonito la Provincia affinché provveda a conformare i trattamenti di dati personali che comportano l’invio di comunicazioni a mezzo posta elettronica alle disposizioni e ai principi in materia di protezione dei dati personali.

Nel caso specifico il Garante ha tenuto conto del fatto che l’illecito è stato un primo e isolato evento, dovuto alla disattenzione di una dipendente. Si è trattato di un “primo e isolato evento” “a formazione istantanea e che, quindi, non si è protratto nel tempo” non dovuto a “comportamenti dolosi da parte della dipendente”, ma a “disattenzione” e, nel manifestare la massima cooperazione con l’Autorità, ha confidato “in una mancata applicazione di sanzione alcuna e, in via subordinata, nell’emanazione di un ammonimento”.

L’Autorità ha inoltre tenuto conto che la violazione gli è stata notificata dalla Provincia stessa, che, a seguito dell’accaduto, ha informato del fatto gli interessati, scusandosi e adottando atti e iniziative volte a sensibilizzare il personale al rispetto della disciplina dei dati personali:

«alle sedici famiglie coinvolte è stata inviata una raccomandata A.R: nella quale sono state informate dell’accaduto e segnalate le scuse dell’Amministrazione, nonché richiamata la necessità di riservatezza e il divieto di comunicare o divulgare i dati di cui sono venute a conoscenza». «Al riguardo non è pervenuta alcuna risposta/osservazione da parte delle famiglie».

(Fonte Garante Privacy)

2 Feb 2020

27 milioni e 800 mila euro la sanzione che l’Autorità Garante Privacy ha ingiunto alla società TIM, con Provvedimento del 15 gennaio 2020, per numerosi trattamenti illeciti di dati legati all’attività di marketing. Le violazioni hanno interessato nel complesso alcuni milioni di persone.

L’Autorità ha ricevuto centinaia di segnalazioni per la ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da Tim.

Una persona è stata chiamata 155 volte in un mese. In circa duecentomila casi, sono state contattate anche numerazioni “fuori lista”, cioè non presenti negli elenchi delle persone contattabili di Tim. Sono state rilevate poi altre condotte illecite come l’assenza di controllo da parte della società sull’operato di alcuni call center; l’errata gestione e il mancato aggiornamento delle black list dove vengono registrate le persone che non vogliono ricevere pubblicità; l’acquisizione obbligata del consenso a fini promozionali per poter aderire al programma “Tim Party” con i suoi sconti e premi.

Informazioni non corrette e non trasparenti sul trattamento dei dati per la gestione delle APP e modalità non corrette per l’acquisizione del consenso.

Non è risultata efficiente la gestione del Data Breach, così come inadeguate sono risultate l’implementazione e la gestione da parte della Società dei sistemi che trattano dati personali (con violazione del principio di privacy by design). Disallineamenti sono emersi tra le black list di Tim e quelle dei call center incaricati, così come per le registrazioni audio dei contratti stipulati telefonicamente (verbal order).  Le utenze di clienti di altri operatori, detenute da Tim in quanto gestore delle Reti, sono state conservate per un tempo superiore ai limiti di legge e inserite, senza il consenso degli interessati, in alcune campagne promozionali.

Oltre alla sanzione, l’Autorità ha imposto a Tim 20 misure correttive, tra divieti e prescrizioni. In particolare, ha vietato a Tim l’uso dei dati a fini di marketing di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali, dei soggetti presenti in black list e dei “non clienti” che non avevano dato il consenso.

La società non potrà più utilizzare neanche i dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico.

Fra le prescrizioni, il Garante ha ingiunto a Tim di verificare la consistenza delle black list utilizzate e di acquisire tempestivamente quelle eventualmente formate dai call center per riversarle nella propria black list. Tim dovrà inoltre rivedere il programma “Tim Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing. L’azienda dovrà anche verificare la procedura per l’attivazione di tutte le app, specificare sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso. La Società dovrà inoltre implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.

Le misure e le implementazioni richieste dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento della sanzione dovrà essere effettuato entro trenta giorni.

( Fonte Garante Privacy)

 

2 Gen 2020

Il Tribunale di Padova, con il decreto 6031 del 4 ottobre 2019 ha fatto il punto sulle condizioni di liceità delle investigazioni sui dipendenti. Il ricorso ad agenzie private da parte del datore di lavoro e l’utilizzabilità in giudizio del loro operato richiede un’attenta osservanza di limiti, che sono in costante aggiornamento, data l’evoluzione delle normative che disciplinano gli interessi coinvolti e l’interpretazione che la giurisprudenza ne offre.

L’indagine commissionata dal datore di lavoro ad agenti investigativi rientra nell’ipotesi di «impiego di personale addetto alla vigilanza dell’attività lavorativa», rispetto alla quale l’articolo 3 dello Statuto dei lavoratori delimita la sfera di intervento del datore (l’articolo 3 prevede infatti che i nominativi e le mansioni specifiche del personale addetto alla vigilanza dell’attività lavorativa debbano essere comunicati ai lavoratori interessati).

Secondo l’interpretazione estensiva che la giurisprudenza ormai consolidata ha elaborato di questa disposizione, il divieto di controllo occulto sancito dalla norma non opera quando il ricorso alle investigazioni private sia diretto a verificare comportamenti che possono configurare condotte illecite o anche solo il sospetto della loro realizzazione (Cassazione, sentenze 4984/2014 e 15094/2018).

Il controllo delle agenzie investigative non deve sconfinare nella vigilanza dell’attività lavorativa vera e propria del dipendente. In particolare, non deve consistere nel controllo dell’adempimento diligente delle mansioni, che è riservato direttamente al datore di lavoro e ai suoi collaboratori. Le indagini devono invece riguardare comportamenti che abbiano rilevanza non come mero inadempimento contrattuale, ma come autonome fattispecie illecite: civili, amministrative o penali. La giurisprudenza riconosce come verifiche di condotte illecite (perpetrate o sospettate) che consentono il ricorso all’agenzia investigativa:

  • quelle relative all’attività extralavorativa svolta dal dipendente violando il divieto di concorrenza, che sia fonte di danni per il datore di lavoro (Cassazione, sentenza 12810/2017);
  • quelle riguardanti l’uso improprio da parte del dipendente dei permessi previsti dall’articolo 33 della legge 104/1992 (Cassazione sentenza 4984/2014);
  • i comportamenti adottati nel corso di una malattia, laddove i controlli non devono riguardare gli aspetti sanitari (preclusi dall’articolo 5 dello Statuto dei lavoratori) ma le condotte extralavorative che attestano l’insussistenza della malattia o dello stato di incapacità lavorativa (Cassazione, sentenza 12810/2017);
  • quelle relative allo svolgimento durante l’orario di lavoro di attività retribuita in favore di terzi (Cassazione, sentenze 5269 e 14383 del 2000);
  • le attestazioni con le quali il dipendente afferma la propria presenza in servizio a fronte di prestazione lavorativa resa invece a orario ridotto (Cassazione, sentenza 14975/2018).

Il principio è quello dei cosiddetti controlli difensivi, che la giurisprudenza ha poi esteso all’interpretazione dell’articolo 4 dello Statuto dei lavoratori sui controlli a distanza, nel testo anteriore alla riforma avvenuta con l’articolo 23 del Dlgs 151/2015.

I controlli a distanza

Le considerazioni relative al rapporto tra la nuova formulazione dell’articolo 4 e i controlli difensivi non coinvolgono l’articolo 3 dello Statuto dei lavoratori e quindi il tema del ricorso ad agenzie investigative. Il sistema normativo previsto dal riformulato articolo 4 riguarda infatti gli specifici controlli dei lavoratori tramite l’istallazione di impianti audiovisivi e strumenti tecnologici. Tra l’altro, il testo dell’articolo 3 non è stato modificato dalla riforma.

Il differente campo di applicazione porta a escludere che l’utilizzazione in giudizio del materiale fotografico della relazione investigativa sia normato dall’articolo 4, comma 1, dello Statuto, che riguarda impianti «installati» dal datore di lavoro.

I requisiti dell’incarico

È essenziale che l’incarico alle agenzie investigative sia conferito per iscritto. Il loro operato deve essere conforme alla normativa sulla privacy e alla giurisprudenza della Corte europea dei diritti dell’uomo in materia.

Le verifiche tramite investigatori devono rispondere all’esigenza di assicurare la protezione di diritti. L’attività di controllo non deve essere frutto di un’iniziativa arbitraria del datore di lavoro e non deve riguardare indistintamente un gruppo di lavoratori (no a controlli di massa).

Lo strumento di indagine usato deve essere il meno invasivo fra quelli disponibili e i controlli devono essere attuati con strumenti proporzionati al fine conseguito (principio di proporzionalità). Infine, i dati raccolti devono essere trattati da chi riceve e da chi conferisce l’incarico e le indagini devono concludersi in un termine ragionevole prestabilito.

Fonte: Il sole 24 ore

23 Dic 2019

Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo.

L’Autorita Garante privacy ribadisce questi principi, nel Provvedimento del 4 dicembre 2019, dopo il reclamo presentato da un dipendente che lamentava la violazione della disciplina sulla protezione dei dati da parte della società, presso la quale aveva lavorato.

L’ex dipendente contestava, in particolare, alla società la mancata disattivazione della email aziendale e l’accesso ai messaggi ricevuti sul suo account. L’interessato era venuto a conoscenza di questi fatti per caso, nel corso di un giudizio davanti al giudice del lavoro promosso nei suoi confronti dalla sua ex azienda, avendo quest’ultima depositato agli atti una email giunta sulla sua casella di posta un anno dopo la cessazione dal servizio.

Dagli accertamenti svolti dall’Autorità è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente. L’account aziendale è rimasto attivo per un periodo di tempo significativo (pari a circa un anno e sette mesi, durante il quale la società ha acceduto alle comunicazioni ivi pervenute), fino alla cancellazione effettuata dalla società (il 3 maggio 2018) a seguito della diffida presentata dal reclamante.

Il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

L’adozione di tali misure tecnologiche – ha spiegato il Garante – consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).

Nel provvedimento “Linee guida del Garante per posta elettronica e Internet” (adottato dall´Autorità il 1° marzo 2007 e pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007), il Garante ha ritenuto che “il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati- riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali” (punto 5.2 lett. b) e che ciò, trasposto in ambito lavorativo, comporta la possibilità che il lavoratore o soggetti terzi coinvolti (i cui diritti devono essere parimenti tutelati), possano vantare una legittima aspettativa di riservatezza su talune forme di comunicazione; rilevato che tali esigenze di tutela devono essere tenute in considerazione anche nell’ipotesi in cui venga a cessare il rapporto di lavoro tra le parti.

Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.

(Fonte Garante Privacy)

20 Dic 2019

Il Garante Privacy aggiorna il decalogo “Privacy e scuola”, dopo l’entrata in vigore del GDPR (Regolamento europeo per la protezione dei dati personali), pubblicando sul sito un elenco di domande più frequenti rivolte all’Autorità e le relative risposte.

Di particolare interesse,  la conferma della liceità della richiesta di una copia della carta d’identità del delegante e del delegato. Facendo riferimento al principio della responsabilità (accountability), che deve muovere ogni soggetto pubblico, il Garante ha risposto: “ è facoltà delle istituzioni scolastiche regolare e modulare tale modalità, assicurando al tempo stesso le cautele necessarie a garantire l’identificabilità dei soggetti coinvolti e che i dati eventualmente raccolti siano protetti (da accessi abusivi, rischi di perdita o manomissione) con adeguate misure di sicurezza.”

1) La scuola deve rendere l’informativa?

Sì. Tutte le scuole – sia quelle pubbliche, sia quelle private – hanno l’obbligo di far conoscere agli “interessati” (studenti, famiglie, professori, etc.) come vengono trattati i loro dati personali. Devono cioè rendere noto – attraverso un’adeguata informativa con le modalità ritenute più opportune, eventualmente anche online – quali dati raccolgono, come li utilizzano e a quale fine.

2) È possibile accedere ai propri dati personali detenuti dagli istituti scolastici?

Sì. Ogni persona ha diritto di conoscere se sono conservate informazioni che la riguardano, di farle rettificare se erronee o non aggiornate. Per esercitare questi diritti è possibile rivolgersi direttamente al “titolare del trattamento” (in genere l’istituto scolastico di riferimento). Se la scuola non risponde o il riscontro non è adeguato, è possibile rivolgersi al Garante o alla magistratura ordinaria.

3) È possibile accedere alla documentazione relativa ad alunni e studenti in possesso della scuola?

Sì. È possibile accedere agli atti e ai documenti amministrativi detenuti dalla scuola ai sensi dalla legge n. 241 del 1990 (artt. 22 ss.)

4) In caso di delega per prelevare il proprio figlio a scuola, è necessario fornire copia della carta d’identità del delegante e del delegato?

Sulla base del principio generale di accountability, è facoltà delle istituzioni scolastiche regolare e modulare tale modalità, assicurando al tempo stesso le cautele necessarie a garantire l’identificabilità dei soggetti coinvolti e che i dati eventualmente raccolti siano protetti (da accessi abusivi, rischi di perdita o manomissione) con adeguate misure di sicurezza.

5) Gli esiti degli scrutini o degli esami di Stato sono pubblici?

Sì. Le informazioni sul rendimento scolastico sono soggette ad un regime di conoscibilità stabilito dal MIUR. Nel pubblicare i voti degli scrutini e degli esami nei tabelloni, l’istituto scolastico deve evitare, però, di fornire informazioni sulle condizioni di salute degli studenti o altri dati personali non pertinenti. Il riferimento alle “prove differenziate” sostenute, ad esempio, dagli studenti con disturbi specifici di apprendimento (DSA) non va inserito nei tabelloni, ma deve essere indicato solamente nell’attestazione da rilasciare allo studente.

6) Le scuole possono trattare le categorie particolari di dati personali?

Le scuole possono trattare le categorie particolari di dati personali (es. dati sulle convinzioni religiose, dati sulla salute) solo se espressamente previsto da norme di legge o regolamentari. In ogni caso non possono essere diffusi i dati relativi alla salute: non è consentito, ad esempio, pubblicare online una circolare contenente i nomi degli studenti con disabilità oppure quegli degli alunni che seguono un regime alimentare differenziato per motivi di salute.

7) Nelle comunicazioni scuola-famiglia possono essere inseriti dati personali degli alunni?

No, nelle circolari, nelle delibere o in altre comunicazioni non rivolte a specifici destinatari non possono essere inseriti dati personali che rendano identificabili gli alunni (ad esempio, quelli coinvolti in casi di bullismo o quelli cui siano state comminate sanzioni disciplinari o interessati da altre vicende delicate).

8) Chi può trattare i dati degli allievi disabili o con disturbi specifici dell’apprendimento (DSA)?

La conoscenza di tali dati è limitata ai soli soggetti a ciò legittimati dalla normativa scolastica e da quella specifica di settore, come ad esempio i docenti, i genitori e gli operatori sanitari che congiuntamente devono predisporre il piano educativo individualizzato (L. n. 104/92, L. n. 328/2000 e D.Lgs. n. 66/2017).

9) L’utilizzo degli smartphone all’interno delle scuole è consentito?

Spetta alle istituzioni scolastiche disciplinare l’utilizzo degli smartphone all’interno delle aule o nelle scuole stesse. In ogni caso, laddove gli smartphone siano utilizzati per riprendere immagini o registrare conversazioni, l’utilizzo dovrà avvenire esclusivamente per fini personali e nel rispetto dei diritti delle persone coinvolte.

10) Violano la privacy le riprese video e le fotografie raccolte dai genitori durante le recite, le gite e i saggi scolastici?

No. Le immagini, in questi casi, sono raccolte per fini personali e destinate a un ambito familiare o amicale. Va però prestata particolare attenzione alla eventuale pubblicazione delle medesime immagini su Internet e sui social network. In caso di diffusione di immagini dei minori diventa infatti indispensabile ottenere il consenso da parte degli esercenti la potestà genitoriale.

11) È possibile registrare la lezione da parte dell’alunno?

Sì. È lecito registrare la lezione per scopi personali, ad esempio per motivi di studio individuale, compatibilmente con le specifiche disposizioni scolastiche al riguardo. Per ogni altro utilizzo o eventuale diffusione, anche su Internet, è necessario prima informare le persone coinvolte nella registrazione (professori, studenti…) e ottenere il loro consenso.

12)  Gli allievi con DSA possono utilizzare liberamente strumenti didattici che consentano loro anche di registrare (c.d. “strumenti compensativi e aumentativi”)?

Sì. La specifica normativa di settore (L. n. 170/2010) prevede che gli studenti che presentano tali disturbi hanno il diritto di utilizzare strumenti di ausilio per una maggiore flessibilità didattica. In particolare, viene stabilito che gli studenti con diagnosi DSA possono utilizzare gli strumenti di volta in volta previsti dalla scuola nei piani didattici personalizzati che li riguardano (ivi compreso il registratore o il pc). In questi casi non è necessario richiedere il consenso delle persone coinvolte nella registrazione.

13) Gli istituti scolastici possono pubblicare sui propri siti internet le graduatorie di docenti e personale ATA?

Sì. Questo consente a chi ambisce a incarichi e supplenze di conoscere la propria posizione e il proprio punteggio. Tali liste devono però contenere solo il nome, il cognome, il punteggio e la posizione in graduatoria. È invece eccedente la pubblicazione dei numeri di telefono e degli indirizzi privati dei candidati.

14) Si possono installare telecamere all’interno degli istituti scolastici?

Sì, ma l’eventuale installazione di sistemi di videosorveglianza presso le scuole deve garantire il diritto dello studente alla riservatezza. Può risultare ammissibile l’utilizzo di tali sistemi in casi di stretta indispensabilità, al fine di tutelare l’edificio e i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate. È inoltre necessario segnalare la presenza degli impianti con cartelli. Le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche. Se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato. [Progetti di revisione della disciplina sull’utilizzo degli strumenti di videosorveglianza negli istituti scolastici sono attualmente all’attenzione del Parlamento.]

15) Le scuole possono consentire a soggetti legittimati di svolgere attività di ricerca tramite questionari, da sottoporre agli alunni, contenenti richieste di informazioni personali?

Sì, ma soltanto se i ragazzi e, nel caso di minori, chi esercita la responsabilità genitoriale, siano stati preventivamente informati sulle modalità di trattamento e sulle misure di sicurezza adottate per proteggere i dati personali degli alunni e, ove previsto, abbiano acconsentito al trattamento dei dati. Ragazzi e genitori devono, comunque, avere sempre la facoltà di non aderire all’iniziativa.

(Fonte Grante Privacy)

18 Nov 2019

Il Tribunale di Bari si è pronunciato con l’ordinanza del 7 novembre scorso all’interno del procedimento civile 6359/2017, affermando che il consenso dell’interessato può essere revocato in un secondo momento. La persona ritratta può sempre cambiare idea, indipendentemente dalla liberatoria sottoscritta. E la richiesta di cancellazione deve essere esaudita.

Il giudice ha chiarito che l’immagine e la riservatezza sono due diritti assoluti e non possono subire limiti, salvi i casi cui la pubblicazione è obbligatoria per legge (esigenze di giustizia, vitali, pubblico interesse, esecuzioni contrattuali). L’entrata in vigore del Regolamento Ue 679/2016 (il Gdpr) del 25 maggio 2018 ha rafforzato questo concetto.

Così se due amici acconsentono alla pubblicazione delle proprie fotografie sui social network, un litigio successivo potrebbe giustificare la richiesta di cancellazione di quelle stesse immagini, a prescindere dalla dimostrazione del danno subito. Non conta sostenere che la posa sorridente equivalga al consenso implicito perché l’interessato può sempre cambiare idea e negare che le fotografie continuino a restare online.

Nel caso specifico su cui si è pronunciato il tribunale di Bari, oltre alle foto del ricorrente, erano state condivise su Facebook anche le immagini dei suoi figli minorenni. Ancora una volta il giudice richiama l’attenzione sulla tutela rafforzata del diritto all’immagine dei minori. Così la signora, che non si è costituita in giudizio, è stata condannata a rimuovere le fotografie, a pagare le spese processuali e, visti i rapporti anche pregressi tra le parti, a versare la somma esigua di due euro per ogni giorno di ritardo nell’esecuzione dell’ordine di cancellazione.

La condotta della donna «deve considerarsi del tutto illecita poiché, a fronte della conoscenza dell’espresso dissenso dell’interessato, l’omessa cancellazione delle foto dal proprio profilo Facebook realizza un abuso dell’immagine altrui».

La pubblicazione delle fotografie che ritraggono una persona sui social network rappresenta un trattamento dei dati personali che, in base a quanto stabilito degli articoli 10 del Codice civile, 96 della legge sul diritto d’autore e articolo 6 del Gdpr non può prescindere dal consenso dell’interessato.

(Fonte Sole 24 Ore)

30 Ott 2019

Le società che forniscono apparecchiature per l’alta diagnostica non possono utilizzare per i propri scopi i dati dei pazienti sottoposti agli accertamenti medici. Le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo. E’ quanto spiega l’Ufficio del Garante privacy in una nota a conclusione di un’istruttoria nell’ambito della quale sono emersi illeciti trattamenti di dati effettuati da un’azienda sanitaria e dalla società alla quale lo stesso ente, in due occasioni, aveva messo a disposizione copie di immagini della Tac, contenenti informazioni sulla salute di alcuni pazienti.

La società una volta ricevute le immagini, attraverso un software, aveva anche effettuato un’operazione di estrazione, anonimizzazione e pseudonimizzazione di dati. Copia delle immagini rielaborate era stata poi allegata alla documentazione necessaria per partecipare a una gara d’appalto e in seguito depositata nell’ambito di un contenzioso giudiziario. Poiché i fatti risalgono al periodo antecedente la piena applicazione del Regolamento europeo (Gdpr), i trattamenti sono stati valutati alla luce del Codice privacy allora vigente.

Intervenuto a seguito di una segnalazione, il Garante ha ritenuto illecito il trattamento effettuato dalla azienda sanitaria che ha messo a disposizione della società le immagini della Tac, determinando così una “comunicazione” di informazioni sulla salute di alcuni pazienti identificati in assenza di un’adeguata base normativa. Parimenti illecito è stato ritenuto dall’Autorità il trattamento svolto dalla società. La designazione della stessa come “responsabile del trattamento” da parte dell’azienda sanitaria non giustifica l’acquisizione delle immagini della Tac.

Le operazioni eseguite perseguono, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile. Tra queste rientrano, ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.

Il Garante quindi, rilevati gli illeciti trattamenti svolti dall’azienda sanitaria e dalla società, ha avviato i relativi procedimenti sanzionatori.

Fonte Garante Privacy

30 Ott 2019

L’Autorità per la protezione dei dati personali greca (Hellenic Data Protection Authority), con Decisione n° 26/2019, ha sanzionato una multinazione a pagare 150 mila euro per non aver individuato correttamente la base giuridica del trattamento dei dati personali dei propri dipendenti e non aver rispettato il principio di accountability, in conformità al Reg. UE 2016/679.

Il Garante ha condotto un’indagine in merito alla legittimità del trattamento di dati personali degli impiegati della società scaturito da un reclamo presentato da un’organizzazione sindacale, nel quale veniva rilevato come il datore di lavoro avesse erroneamente individuato il consenso del dipendente quale base giuridica del trattamento.

La richiesta del consenso ai dipendenti era illegittima, scorretta e non trasparente alla luce del disposto dell’articolo 5 del Gdpr.  Il datore di lavoro, si legge nella sintesi del provvedimento, pubblicata sul sito dell’autorità ellenica, ha dato ai dipendenti la falsa impressione che stesse trattando i loro dati secondo la base giuridica del consenso, mentre in realtà stava trattando i loro dati sotto una base giuridica diversa, sulla quale, tra l’altro, i dipendenti non erano mai stati informati.

Il consenso del dipendente non va bene, in quanto non può essere considerato come liberamente concesso nell’ambito del rapporto di lavoro a causa dell’evidente squilibrio tra le parti. Le basi giuridiche corrette per questo trattamento sono il contratto di lavoro, l’adempimento di obblighi di legge del titolare del trattamento o il suo legittimo interesse, che consiste nel funzionamento regolare ed efficace dell’azienda.

Il Garante mette in evidenza,  come i dipendenti siano stati indotti a pensare che la legittimità del trattamento si fondasse sul consenso, in violazione del principio di trasparenza e degli art. 13 e 14 del Reg. UE 2016/679, e si sono visti negare un corretto esercizio dei diritti privacy, in quanto questi ultimi variano a seconda della base giuridica determinata a fondamento del trattamento.

In addition, the company gave employees the false impression that it was processing their personal data under the legal basis of consent, while in reality it was processing their data under a different legal basis about which the employees had never been informed. This was in violation of the principle of transparency and thus in breach of the obligation to provide information under Articles 13(1)(c) and 14(1)(c) of the GDPR.

Altro aspetto importante sottolineato nella decisione è che la scelta del consenso del dipendente come base giuridica deve essere effettuata come ultima ratio, proprio per le sue caratteristiche di irreversibilità: infatti, la revoca del consenso è considerata alla stregua di un divieto definitivo di effettuare il trattamento, che comporta l’impossibilità di trattare i dati anche identificando una diversa base giuridica.

Infine, il Garante greco ha constatato la violazione del principio di accountability o responsabilizzazione (art. 5 par. 2 del Reg. UE 2016/679). Questo in quanto l’azienda non è stata in grado di soddisfare la richiesta dell’Autorità di documentare la propria scelta in merito alla base giuridica del trattamento dei dati personali dei dipendenti.

E’ stato rilevato come le modalità concrete di gestione abbiano comportato un trasferimento dell’onere della prova dell’accountability dal titolare all’interessato: in particolare, è stato richiesto ai dipendenti di firmare un documento con il quale riconoscevano che i loro dati personali – trattati dall’azienda – fossero direttamente collegati, pertinenti e appropriati al rapporto di lavoro e all’organizzazione dell’attività lavorativa stessa. L’Autorità ha specificato, invece, che è onere di ciascun titolare adottare un modello di compliance privacy tale da dimostrare la corretta applicazione dei principi di cui all’art. 5 del Reg. UE 2016/679.

The principle of accountability constitutes the core of the compliance model adopted by the GDPR. Under this principle, the controller should implement the necessary measures to comply with the principles set out in Article 5(1) of the GDPR and demonstrate their effectiveness, without the DPA having to submit individual — specific questions and requests to assess compliance while exercising its investigative powers.

Il Garante ha imposto alla società delle misure correttive tali da comportare l’immediato adeguamento della Società al Regolamento, in conformità alla Decisione. Inoltre ha comminato una sanzione amministrativa pecuniaria di 150 mila euro, calcolato sulla base del bilancio della società, pubblicato per il periodo 1-7-2017 al 20-6-2018.

FONTE: Summary of Hellenic DPA’s Decision n° 26/2019 (Hellenic Data Protection Authority)