Archivio

Regolamento Europeo

17 Set 2020
L’European Data Protection Board (EDPB) ha pubblicato le Linee-guida sulla definizione di titolare del trattamento e responsabile del trattamento ai sensi del Regolamento Europeo 679/2016, che saranno sottoposte a consultazione pubblica fino al 19 ottobre 2020.

Dopo l’entrata in vigore del Regolamento sono infatti stati sollevati vari interrogativi sulle nozioni di contitolarità, nonché sugli obblighi dei responsabili del trattamento.

Lo scopo principale di tali Linee guida è infatti quello di chiarire i diversi ruoli e la distribuzione di responsabilità di “titolare”, “contitolare” e “responsabile” del trattamento dei dati.

Nell’applicazione del GDPR il concetto di Titolare gioca un ruolo fondamentale, insieme a quello di Responsabile, per comprendere gli obblighi di conformità alle norme da rispettare e per comprendere chi sia il soggetto legalmente obbligato a evadere le richieste d’esercizio dei diritti degli interessati.

L’EDPB ha descritto quali debbano essere le caratteristiche specifiche che contraddistinguono i ruoli di Titolare, Responsabile e Contitolare nell’ambito del Regolamento.

(Fonte Garante Privacy)
15 Set 2020

La Corte di Cassazione con l’ordinanza del 3 settembre 2020 n. 18292, ha chiarito che il Comune è responsabile per aver mantenuto la pubblicazione dei dati personali di un dipendente sull’albo pretorio, oltre il termine di quindici giorni, previsti dall’art. 124 del Tuel, non avendo osservato l’obbligo di adottare le cautele, organizzative e gestionali necessarie ad evitare l’illecito.
La pubblicazione delle notizie relative alla vita privata dell’impiegato, non può ritenersi legittimata dalle ragioni di trasparenza, come l’Ente aveva sostenuto a propria difesa.

Il caso

Il Garante della Protezione dei dati personali aveva irrogato al Comune in questione, la sanzione di 4000 euro, per la violazione dell’art. 19, c. 3 D.lgs 196/03 (Codice Privay), in quanto aveva diffuso dati personali di una dipendente comunale per un periodo superiore ai 15 giorni previsti dall’art. 124 del Tuel.

Il Tribunale ha rigettato il ricorso del Comune argomentando che l’ente aveva mantenuto visibili online, per oltre un anno, sul proprio albo pretorio, molti dati personali della dipendente, che aveva avviato un contenzioso contro l’Amministrazione. Le determinazioni dirigenziali contenevano non soltanto il nome e il cognome del dipendente ma anche informazioni personali tipo lo stato di famiglia e altre circostanze sulla vita privata

La motivazione

Il Comune è stato sanzionato non per la pubblicazione sul proprio sito delle determinazioni dirigenziali, ma per aver mantenuto la pubblicazione oltre 15 giorni, art. 124 del Tuel. Non poteva essere consentita la pubblicazione di elementi qualificanti la vita privata dell’impiegato, ma solo i dati strettamente necessari alle finalità dell’istituto.

Per questi comportamenti illeciti il responsabile è il comune, titolare del trattamento e non il legale rappresentante, in deroga al principio dell’imputabilità personale della sanzione amministrativa prevista dalla L. n. 689/1981. Tale responsabilità della persona giuridica è configurabile come “colpa di organizzazione”, da intendersi come un rimprovero per aver omesso di adottare le cautele, organizzative e gestionali, per prevenire l’illecito

Corte di Cassazione, Sez. II Civile, Ordinanza del 3 settembre 2020, n. 18292

8 Set 2020

Il Regolamento Europeo prevede una novità molto importante, l’obbligo a nominare il Responsabile della Protezione dei Dati (RPD) ovvero il Data Protection Officer (DPO).

Chi deve nominare il RPD/DPO?

Il RPD/DPO è un supervisore indipendente, il quale sarà designato obbligatoriamente, dalle pubbliche amministrazioni: “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

In campo privato, il RPD/DPO è obbligatorio se le attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala, per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure localizzazione tramite app.

È obbligatorio anche per le attività che consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati, esempio ospedali, assicurazioni e istituti di credito

Quali saranno i compiti del RPD/DPO?

L’art. 39 del GDPR elenca le attività a carico del RPD/DPO, prevedendo che questi svolga “almeno” i seguenti compiti:

  1. Informare e fornire consulenza al titolare o al responsabile del trattamento
  2. Sorvegliare l’osservanza del RGPD
  3. Fornire un parere sulla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento
  4. fungere da punto di contatto per l’autorità di controllo, per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Il RPD/DPO è un professionista, in possesso di un’adeguata competenza specialistica e un certo grado di esperienza sulla data protection.

Quali sono le garanzie che possono consentire al RPD/DPO di operare con indipendenza?

Vi sono numerose garanzie che possono consentire al RPD/DPO di operare in modo indipendente, come indicato al considerando 97 del regolamento:

  • non riceve istruzioni da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD/DPO;
  • non deve essere penalizzato o rimosso dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD/DPO;
  • non deve essere in conflitto di interessi con eventuali ulteriori compiti e funzioni.

Il RPD/DPO non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile. A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT).

8 Ago 2020

Gli enti locali devono valutare con particolare attenzione se, in base alla normativa, possono rendere pubblici i dati personali, spesso anche particolarmente riservati, contenuti in delibere e in altri documenti. Lo ha ribadito il Garante per privacy in alcuni provvedimenti sanzionatori adottati il 2 luglio 2020 nei confronti di una Regione, di due Comuni e di un’Unione di Comuni.

Il primo provvedimento riguarda una Regione che aveva pubblicato sul proprio sito un documento riguardante l’esecuzione di una sentenza civile relativa a un debito maturato dall’ente.

che all’url http://…, era visualizzabile e liberamente scaricabile il documento intitolato «XX» del XX, a firma del Responsabile del XX, contenente dati personali dei segnalanti (nominativo e residenza), relativi a un debito maturato dalla Regione nei loro confronti in esecuzione di una sentenza esecutiva con specificazione dell’ammontare.

Alle proteste dei segnalanti, l’amministrazione aveva risposto giustificando la pubblicazione online sulla base di alcune disposizioni di natura contabile.

Nel caso specifico, però, il Garante ha ricordato che i dati personali contenuti in quei documenti potevano essere giustamente usati per controlli della magistratura contabile sui debiti fuori bilancio, ma che le norme citate non prevedevano la diffusione di quei dati.

Per tali motivi, in relazione alla condotta tenuta, le argomentazioni riportate dalla Regione xxx non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione, in quanto la pubblicazione sul sito web istituzionale dei dati personali dei segnalanti sopra descritti è avvenuta e in maniera non conforme al principio di minimizzazione dei dati e in assenza di idonei presupposti normativi, in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 19 comma 3 del Codice (vigente all’epoca dei fatti e il cui contenuti è ora riprodotto nei medesimi termini nel nuovo art. 2-ter, commi 1 e 3, del Codice).

Tenendo conto della collaborazione da parte dell’amministrazione che “si è subito attivata per oscurare i dati personali oggetto della segnalazione una volta ricevuta la richiesta d’informazioni del Garante, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere, stante anche quanto affermato dalla Regione, appare di natura colposa – attenuandone i possibili effetti negativi”, il Garante ha comminato alla Regione una sanzione pecuniaria di 4.000 euro.

L’Autorità ha accolto anche il reclamo nei confronti di due enti locali, un Comune e l’Unione Comunale a cui esso appartiene, che avevano pubblicato sui rispettivi siti web, nella sezione amministrazione trasparente o nell’albo online, atti amministrativi riferibili al reclamante, diffondendo anche dati personali relativi a condanne penali e a reati. Nel corso dell’istruttoria, le due amministrazioni hanno sostenuto che la pubblicazione fosse obbligatoria ai sensi della normativa sulla trasparenza e sulla pubblicità legale degli atti e che, in ogni caso, la persona interessata fosse difficilmente identificabile, in quanto negli atti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome. Una delle due amministrazioni, tra l’altro, aveva affermato che la pubblicazione era stata avallata anche dal Responsabile per la protezione dei dati (Rpd/Dpo) dell’ente.

Il Garante ha però rilevato che le normative citate non consentivano la diffusione di quei dati personali, tra cui quelli relativi a condanne penali e reati. L’interessato, inoltre, poteva facilmente essere identificato dai colleghi, da conoscenti e da numerosi altri soggetti in ambito locale. Il Comune e l’Unione di Comuni hanno ricevuto due sanzioni pecuniarie rispettivamente di 4.000 e 6.000 euro.

L’ultimo provvedimento riguarda, invece, un Comune che aveva inviato per posta elettronica, ad alcune testate locali, un “decreto di citazione” con i dati, riferibili anche a vicende penali e a misure di sicurezza e prevenzione, di cinque persone, tra cui tre testimoni citati a comparire. L’ente locale aveva giustificato la trasmissione del documento ai giornalisti con il fine di tutelare la propria immagine ed esercitare il legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa. Anche in questo caso, però, il Garante ha rilevato che la comunicazione di tali dati non fosse giustificata dalla presunta “esecuzione di un compito connesso all’esercizio di pubblici poteri” o da un’altra base normativa, come quella sulla trasparenza. Al Comune è quindi stata comminata una sanzione di 2.000 euro.

(Fonte Garante Privacy)

 

14 Lug 2020

Continua l’attività di controllo del Garante per la protezione dei dati personali nei confronti degli operatori telefonici anche a seguito delle centinaia di segnalazioni e reclami che settimanalmente pervengono all’Autorità per lamentare casi di “marketing selvaggio”.

Il Garante della Privacy ha sanzionato un operatore telefonico per circa 17 milioni di euro per “numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali”, mentre un altro gestore telefonico, “che è stato trovato carente sotto altri profili, in particolare in merito alle modalità di accesso dei propri dipendenti ai dati di traffico”, è stato sanzionato per 800.000 euro.

Il nuovo provvedimento è stato adottato all’esito di una complessa attività istruttoria ed ispettiva. Gli utenti lamentavano la ricezione di contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate. In numerosi casi, inoltre i segnalanti dichiaravano di non esser stati messi in grado di poter esercitare il proprio diritto di revoca del consenso o di opposizione al trattamento dei loro dati per finalità di marketing (anche a causa di imprecisioni nell’indicazione dei canali di contatto presenti nell’informativa). In altri casi veniva lamentata la pubblicazione di dati personali negli elenchi telefonici pubblici nonostante l’opposizione (a volte reiterata) degli interessati.

Dall’istruttoria è inoltre emerso che le app  erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore.

Al di là di queste lacune “di sistema”, gli accertamenti del Garante hanno messo in luce diversi gravi illeciti nella filiera dei partner commerciali di Wind Tre, anche con impropria attivazione di contratti. Per queste violazioni, uno dei partner del gestore telefonico – che aveva sub affidato (peraltro senza alcun atto giuridico) intere fasi dei trattamenti a call-center che raccoglievano i dati illecitamente – è stato multato per 200mila euro dal Garante e si è visto imporre il divieto di utilizzare i dati raccolti e trattati da agenti presenti sul territorio nazionale (denominati “procacciatori”) in totale spregio delle norme in materia di protezione dati.

Le argomentazioni portate a propria difesa da Wind Tre e la serie di misure correttive implementate dalla società, anche riguardo alla centralizzazione delle campagne promozionali, non sono state ritenute adeguate dal Garante. Oltre a sanzionare la società telefonica per 16.729600 euro, l’Autorità ha vietato il trattamento dei dati acquisiti senza consenso e le ha ordinato di adottare misure tecniche e organizzative per un effettivo controllo della filiera dei partner, nonché procedure per rispettare la volontà degli utenti di non essere disturbati.

(Fonte Garante Privacy)

9 Lug 2020

Il Garante per la privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.

Il caso

La banca si avvale di una società terza per la gestione delle pratiche di finanziamento per la cessione del quinto dello stipendio.

Utilizzando le credenziali di accesso dei dipendenti autorizzati di questa terza parte, ignoti – profittando di una vulnerabilità dell’applicativo di gestione delle pratiche – effettuano accessi abusivi a quelle di oltre 760 mila clienti, relative a istanze di finanziamento sia per cessione del quinto sia per credito al consumo. Gli accessi abusivi avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).

Violazione delle misure minime di sicurezza

L’accertamento ispettivo e l’istruttoria evidenziano che l’esfiltrazione dei dati personali dei clienti da parte di ignoti malintenzionati era stata resa possibile grazie a «un’errata progettazione del sistema di autorizzazione dell’applicativo» di gestione delle pratiche di finanziamento. A causa di ciò, «gli operatori potevano accedere a una qualsiasi pratica di finanziamento (sia di “prestito al consumo” che di “cessione del quinto dello stipendio”) (…) indipendentemente dal profilo di autorizzazione a loro attribuito». In tal modo la banca si è resa responsabile della carente adozione di un adeguato sistema di autorizzazione come previsto dal disciplinare tecnico, allegato B) al codice privacy (regole 12 e 13).

Codice Privacy

L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.

Sanzione

Sulla base delle violazioni riscontrate, l’Autorità ha irrogato la sanzione pecuniaria complessiva di 600.000 euro calcolata come segue:

  • euro 120.000 per la violazione delle misure minime di sicurezza (art. 162.2, in relazione all’art. 33)
  • euro 180.000 per le trasgressioni relative al provvedimento 192/2011 [art. 162.2-ter, in relazione all’art. 154.1, lett. c)]
  • euro 300.000 in applicazione dell’art. 164-bis.2, considerato l’ingente numero di interessati coinvolti.

(Fonte Garante Privacy)

8 Lug 2020

L’Autorità Garante Privacy, interviene aggiornando le FAQ Covid 19, sull’uso di app di contact tracing e dispositivi in ambito aziendale.

In merito al “contact tracing“, l’Autorità fa presente che l’app dovrà essere disciplinata dall’art. 6, d.l. 30.4.2020, n. 28 (Sistema di allerta Covid-19).

Sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?

La funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28.

Secondo punto delle FAQ. Applicativi utilizzati in azienda che non trattano dati.

Gli applicativi, per esempio, utilizzati per la misurazione della temperatura o che consentono l’accesso in azienda a persone con la mascherina, possono essere utilizzate senza registrazione dei dati. In questo caso, il titolare del trattamento, dovrà dimostrare, secondo il principio dell’accountability, il rispetto delle misure adottate e perchè l’applicativo sia necessario per certe finalità.

Al fine di contenere il rischio di contagio sul luogo di lavoro sono disponibili applicativi che non trattano dati personali?

Sì, il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Ciò nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (es. attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.

Si pensi alle applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; oppure alle funzioni di taluni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione). Si pensi, altresì, ad applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione). In questi casi spetta comunque al titolare verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi o di falsi positivi o negativi.

⏺ Esempio. Dispositivi che emettono la vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita. Tale dispositivo non dovrà tracciare chi indossa il dispositivo e non dovrà registrare alcuna informazione.
⏺ Esempio. Applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina. Anche questi dispositivi non dovranno registrare alcuna immagine o altra informazione. Si pensi ai termoscanner, integrati con i badge di timbratura o riconoscimento facciale.

(Fonte Garante Privacy)

Per ulteriori approfondimenti inviate una mail a: info@patriziameo.it

23 Giu 2020

Servizi sociali e scuola nell’emergenza COVID.
Sicurezza e trattamento dei dati.

Evento organizzato dall’Associazione Comuni Bresciani

Data: 22 luglio 2020

Ora: 10.00 – 12.00

Le iscrizioni vanno formalizzate entro il 15/07/20 tramite il portale: www.associazionecomunibresciani.eu/elenco-corsi/

Relatore:
Mario Mazzeo, Avvocato in Roma e D.P.O.
Patrizia Meo, consulente privacy e D.P.O.

Live webinar: contenuti del corso

  • Privacy: concetti e principi fondamentali
  • La privacy al tempo del Covid: le semplificazioni in materia di trattamento dati personali
  • Servizi sociali e privacy: contattare e aiutare gli utenti, le cautele nel trattamento dei dati relativi alla salute e le sovvenzioni economiche
  • La privacy a scuola: Covid, lezioni a distanza e sicurezza

1 Giu 2020

Attacco hacker all’ospedale “San Raffaele” di Milano, nonostante i tentativi dell’ospedale di minimizzare l’accaduto.

L’accaduto è stato divulgato attraverso un tweet degli hacker di LulzSec Ita, che  ha apportato anche prove dell’accaduto, con un dump dei dati di utenti e pazienti dell’ospedale. La domanda fatta da parte del collettivo hacker: “avete comunicato al Garante il databreach di due mesi fa?”.

I dump rivelati da Anonymous Italia e LulzSec Ita, però, sembrerebbero contenere non soltanto indirizzi e-mail e password di alcuni operatori sanitari, 2.400 indirizzi email accompagnati dalle relative password appartenenti ai sanitari e un elenco di nomi, cognomi, date di nascita, codice fiscale, nazionalità e comune di residenza di oltre 600 pazienti. Tra queste la password di Roberto Burioni: è nome.cognome.

Purtroppo, l’ospedale non ha comunicato all’Autorità Garante Privacy l’accaduto, né secondo gli hacker avrebbe chiuso le falle. Tanto che l’ospedale stesso nega di dover intervenire e che sia un data breach. In primo momento, avevano comunicato che i dati riguardavano una app “dismessa da anni e circoscritta” e dunque la sottrazione delle informazioni era limitata a password e utenze non più in uso. La stessa nota ufficiale aveva categoricamente escluso che “dati sensibili” erano stati oggetto di accesso abusivo o sottrazione.

(Fonte La Repubblica)

23 Mag 2020

1. Misurazione della temperatura, test sierologici

2. Smartworking: essere smart al tempo del Covid19

Evento organizzato dall’Associazione Comuni Bresciani

Ora: 15.00 – 16.00

Le iscrizioni vanno formalizzate tramite il portale: www.associazionecomunibresciani.eu/elenco-corsi/

Relatore:
Patrizia Meo, consulente privacy e D.P.O.

Live webinar: contenuti degli incontri

Lunedì 25 maggio 2020
Misurazione della temperatura, test sierologici e App, cosa fare in pratica.
La tutela dei dati e l’emergenza Covid
Le indicazione del Garante Privacy

 

Mercoledì 3 giugno 2020
Smartworking: essere smart al tempo del Covid19.
Cos’è lo smarworking;
Tutela della privacy e controllo del dipendente;
Le misure di sicurezza e utilizzo degli strumenti per l’esecuzione della prestazione lavorativa;
Linee guida Agid per lavorare in sicurezza.