Archivio

Regolamento Europeo

26 Dic 2018

Il Garante per la protezione dei dati personali ha verificato la conformità dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento Ue 2016/679 sulla protezione dei dati personali.

La verifica – demandata all’Autorità dal decreto legislativo 101/2018 di adeguamento della normativa nazionale al Regolamento Ue – oltre ad un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo ha comportato la soppressione o la ridefinizione di talune previsioni alla luce del diverso approccio richiesto ai titolari del trattamento dal Regolamento Ue in omaggio ai principi di accountability, privacy by default e by design.

I testi dei Codici deontologici

(Fonte Garante Privacy)

21 Dic 2018

Il Garante Privacy vieta il trattamento dei dati dei dipendenti perchè lesivi della loro dignità, della loro libertà e della loro riservatezza. L’azienda in questione pubblicava nella bacheca aziendale “faccine” e punteggi associati ai volti dei lavoratori. Sistema adottato da una cooperativa toscana che opera nel settore della logistica (pulizie, facchinaggio, traslochi) per valutare l’attività dei propri dipendenti. Ogni settimana la cooperativa affiggeva nella bacheca aziendale un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano i giudizi, positivi o negativi, espressi dalla cooperativa. Nella bacheca erano affisse anche le eventuali contestazioni disciplinari.

Dagli accertamenti, scattati su segnalazione di alcuni lavoratori, è emerso che la cooperativa aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori, con relativo prelievo mensile dalla busta paga della quota di partecipazione, e pubblicava nella bacheca aziendale le valutazioni settimanali sull’attività di ciascun dipendente, cui corrispondevano l’attribuzione di un punteggio valido per il concorso, nonché le eventuali contestazioni disciplinari. Le valutazioni, espresse con sei diverse tipologie di emoticon e con giudizi sintetici quali “assenteismo”, “simulazione malattia”, “perdita di lavoro causa scarso servizio o danni”, oppure l’espressione “licenziato”, comparivano accanto alle foto dei dipendenti individuati con cognome e iniziale del nome. La valutazione negativa comportava una decurtazione dallo stipendio.

La sistematica pubblicazione attraverso affissione in bacheca delle contestazioni disciplinari, nonché la contestuale affissione del cartello “Guardiamoci in faccia…soci!”, che associa i volti dei dipendenti a “faccine” accompagnate da giudizi sintetici quali “assenteismo”, “simulazione di malattia”, “perdita del lavoro causa scarso servizio o danni”, “mancato rispetto disposizioni aziendali e/o regolamento”, “mancato rispetto programma di lavoro” (esempi tratti dal “Faccinario 2018” in atti) oppure l’espressione “licenziata” (v. documentazione in atti) costituiscono inoltre – e in definitiva – modalità di trattamento che, nel sottoporre costantemente all’osservazione dei colleghi le valutazioni sulla qualità del lavoro effettuato o sulla correttezza della prestazione, anche nell’ambito di una pubblica competizione premiale, ledono la dignità personale, la libertà e la riservatezza dei lavoratori.

Pertanto i trattamenti effettuati risultano illeciti in relazione agli artt. 5, par. 1, lett. a) e c), 6 e 7 del Regolamento (UE) 2016/679.

Nel disporre il divieto il Garante ha ricordato che il datore di lavoro può trattare le informazioni necessarie e pertinenti per la gestione del rapporto di lavoro in base a quanto previsto dalle leggi, dai regolamenti, dai contratti collettivi e dal contratto di lavoro individuale. Tra questi rientrano senza dubbio i dati necessari ad effettuare la valutazione sul corretto adempimento della prestazione lavorativa e ad esercitare il potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Ma non certo la sistematica messa a disposizione sulla bacheca aziendale delle valutazioni e dei rilievi disciplinari a tutti i dipendenti e ad eventuali visitatori, tutti soggetti non  legittimati a conoscere questo tipo di informazioni, peraltro prima della conclusione del procedimento e in assenza di eventuali repliche degli interessati.

(Fonte Garante Privacy)

16 Dic 2018

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

 

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?
La notifica deve contenere almeno le informazioni sinteticamente riportate in questa pagina (art. 33, par. 3 del Regolamento (UE) 2016/679):

– una descrizione della natura della violazione dei dati personali, che comprenda, se possibile:

a) le categorie e il numero approssimativo di persone interessate;

b) le categorie e il volume approssimativo di dati personali interessati;

– il nome e i riferimenti di contatto del responsabile della protezione dei dati (se designato dal titolare) o comunque di un referente competente a fornire informazioni;

– una descrizione delle possibili conseguenze della violazione dei dati personali;

– una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure adottate per mitigare eventuali effetti negativi;

SOLO in caso di notifica effettuata oltre il termine prescritto di 72 ore, una descrizione dei motivi del ritardo.

La notifica va trasmessa al Garante per la protezione dei dati personali, inviandola all’indirizzo: protocollo@pec.gpdp.it

LE AZIONI DEL GARANTE

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

(Fonte Garante Privacy)

16 Dic 2018

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

Il Garante privacy ha affermato, a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale, che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili – ha osservato l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso, invece, l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

….

In base alla disciplina di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, di seguito Codice) vigente all’epoca cui si riferiscono i fatti oggetto dei reclami, si osserva quanto segue.

Le informazioni relative all’adesione sindacale costituiscono dati sensibili cui trovano anzitutto applicazione gli artt. 3, 11 e 20 e 112 del Codice (art. 4, comma 1, lett. d), del Codice). …..

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo o inibitorio.

L’Autorità si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

 

(Fonte Garante Privacy)

12 Dic 2018

Prime sanzioni in applicazione del Reg. 679/2016 in materia di trattamento dei dai personali. L’Autorità Garante portoghese (Comissão Nacional de Protecção de Dados – CNPD), ha adottato un provvedimento nei confronti del Centro Hospitalar Barreiro Montijo, con una sanzione di € 400.000, i trattamenti contestati riguardano dati sanitari dei pazienti, quindi dati particolari ai sensi dell’art. 9 del Reg. 679/2016.

Nell’aprile 2018, la CNDP aveva ispezionato il Centro Hospitalar Barreiro Montijo del distretto di Setúbal a seguito di segnalazione di un sindacato dei medici che contestava come il personale non sanitario accedesse ai sistemi informatici del nosocomio con privilegi propri dello staff medico.

In particolare l’Autorità aveva contestato:

  • la totale mancanza di un qualsiasi documento/procedura dove fosse prevista la corrispondenza o i criteri per stabilire tale corrispondenza tra le competenze funzionali degli utenti del sistema informatico e i relativi profili di accesso;
  • la totale mancanza anche di un documento/procedura dove fossero stabilite le regole per la creazione degli account degli utenti del sistema informatico dell’ospedale;
  • il non corretto utilizzo dei profili e dei codici di accesso previsti nei sistemi gestionali utilizzati dall’ospedale. In particolare l’ospedale utilizza due sistemi gestionali messi a disposizione dal Ministero della Salute portoghese, uno (SONHO) per la gestione amministrativa dell’ospedale, l’altro (SClinico) dove vengono registrate le informazioni cliniche dei pazienti.

In sede ispettiva la CNDP appurava come nel sistema fossero attive 985 utenze con profilo di autorizzazione riservato al personale medico benché fossero 296 i medici operativi nell’ospedale. La struttura aveva pertanto conferito a quasi 600 dipendenti un accesso indiscriminato e ingiustificato ai dati dei pazienti.

L’Autorità portoghese ha pertanto elevato:

  • una multa da 300 mila euro per mancato rispetto della confidenzialità e limitazione degli accessi ai dati dei soggetti ricoverati;
  • una multa da 100 mila euro per non aver assicurato “su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art.32 GDPR).

Fonte: https://www.hipaajournal.com/first-hospital-gdpr-violation-penalty-issued-portuguese-hospital-to-pay-e400000-gdpr-fine/

2 Dic 2018
27 Ott 2018

Senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti.

La violazione contestata, parte dall’installazione di un sistema di raccolta di dati biometrici della mano per rilevare le presenze dei dipendenti, installata da una società che opera nel settore dei servizi ambientali. La società era stata condannata a pagare una sanzione di 66 mila euro, per aver violato il Codice sulla protezione dei dati personali.

I giudici di prima istanza, però, accolgono il ricorso della società in quanto riteneva che le apparecchiature non prelevavano e non trattavano dati, utilizzati come «individualizzanti e non come identificanti». In più, non esisteva alcuna banca dati. Ragione per cui, andava escluso il “trattamento” e non scattava la tutela prevista dal Codice. Sulla base di questo il Tribunale aveva condannato il Garante a pagare 30 mila euro per responsabilità aggravata.

La Cassazione è di diverso avviso e accoglie il ricorso del Garante analizzando, in concreto, il funzionamento del dispositivo. Con il sistema utilizzato il dato biometrico relativo alla mano del lavoratore viene trasformato in un modello di riferimento, consistente in un codice, che consentirebbe l’identificazione personale attraverso operazioni di confronto tra codice numerico ricavato da ogni accesso e quello originariamente raccolto.

Pertanto, ad ogni utilizzo del “badge” il sistema è in grado di verificare che il cartellino che si sta usando è della stessa mano utilizzata per configurarlo.

In questo contesto sbaglia il Tribunale ad affermare che il dipendente non viene identificato attraverso i suoi dati, ma tramite il badge il cui uso non è stato contestato. La Suprema corte ricorda che il Codice definisce “trattamento”, qualunque operazione che riguardi «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati». “Dato personale” è «qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale». Sono dati identificativi tutti quelli che permettono di “riconoscere” direttamente l’interessato.

La norma considera, espressamente, irrilevante, ai fini del trattamento, la mancata registrazione in una banca dati «essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea». Ad escludere il trattamento non basta che il modello archiviato consista in un numero non associabile al dato fisico, né che partendo dal numero, non sia possibile ricostruire l’immagine della mano perché l’algoritmo è unidirezionale e irreversibile. Quello che importa è che attraverso la conservazione dell’algoritmo, si può risalire al lavoratore e quindi di identificarlo.

Sulla base di queste considerazioni la società tratta dati biometrici e ciò comporta la notificazione al Garante.

(CORTE DI CASSAZIONE, SEZ. II CIVILE – ORDINANZA 15 ottobre 2018, n.25686)

9 Ott 2018

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Modello di “registro semplificato” delle attività di trattamento del titolare per PMI (ALLEGATO 1

Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI (ALLEGATO 2)

(Fonte Garante Privacy)

26 Set 2018

Il CNF ha predisposto un apposito vademecum e mette a disposizione di tutti gli avvocati un modello di informativa e un modello di registro dei trattamenti da utilizzare per la gestione della privacy all’interno dello studio.

Gli studi legali, indipendentemente dalla loro dimensione, dalla struttura e dall’area di attività dovranno adeguarsi al Regolamento UE 2016/679. La protezione dei dati personali del cliente, oltre ad essere essenziale per garantire il segreto professionale, rappresenta un fattore di trasparenza e confidenzialità nel rapporto.

Al fine di evitare i pericoli della perdita di tali dati, gli avvocati dovranno prestare particolare attenzione a che:

  • Le finalità di trattamento dei dati e la loro trasmissione siano chiaramente definite;
  • Le misure di sicurezza (tanto informatica che fisica) siano precisamente individuate, definite e attuate;
  • Le persone coinvolte (segreteria, praticanti, colleghi, collaboratori a qualsiasi titolo) siano adeguatamente informate e coinvolte nel processo di protezione dei dati personali.

L’avvocato dovrà anche tenere presente che il progresso tecnologico deve comunque rispettare gli obblighi deontologici e normativi: pertanto, anche nelle ipotesi in cui lo studio abbia esternalizzato a terzi alcuni servizi (ad esempio l’utilizzo di una segreteria virtuale, la conservazione dei dati su cloud), o utilizzi propri mezzi di comunicazione a terzi (sito web, blog, servizi di consultazione on line, utilizzo di siti terzi), dovrà prestare la massima attenzione a che i dati siano trattati in modo sicuro e nel rispetto delle norme.

Riportiamo i documenti pubblicati dal CNF

(Fonte www.consiglionazionaleforense.it)

30 Giu 2018

Una società di trasporto pubblico ferroviario  potrà dotare  di body cam (videocamere indossabili) gli addetti alla sicurezza e  i capitreno per contrastare e prevenire aggressioni furti e atti vandalici, in aumento negli ultimi anni. Ma dovrà adottare precise misure a tutela della riservatezza delle persone riprese [doc. web n. 8995107].

(Fonte Garante Privacy)