Archivio

Regolamento Europeo

29 Mar 2019

Bocciato il “braccialetto” elettronico al polso degli operatori ecologici. Il Garante per la privacy ha chiesto ad una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune di utilizzare dispositivi elettronici alternativi che non ledano la dignità della persona.

La pronuncia è arrivata a conclusione di un procedimento aperto d’ufficio sull’onda dell’interesse mediatico suscitato dalla vicenda.

Nell’aprile dello scorso anno la società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili dotati anche di un gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo. Obiettivo dichiarato della società era quello di rendicontare il lavoro svolto all’Azienza municipalizzata comunale.

Solo dopo l’avvio dell’istruttoria dell’Autorità la società aveva stipulato un accordo sindacale nel  quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del gps al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore.

E’ emerso che nel modello di informativa ai dipendenti, quanto alle finalità dei sistemi si fa riferimento ad “esigenze di sicurezza [e] tutela del patrimonio aziendale” che, con riguardo all’uso dei “dispositivi mobili”, non sono menzionate né nelle note di riscontro inviate all’Autorità nel presente provvedimento né nel menzionato accordo dell’11 giugno 2018.

Pertanto, la società  dovrà provvedere ad aggiornare l’ informativa da fornire ai dipendenti ai sensi dell’art. 13 del Regolamento, escludendo il riferimento alla menzionata finalità relativamente al trattamento dei dati da effettuarsi mediante dispositivi mobili.

Il Garante Privacy, pur giudicando tale configurazione non in contrasto con i principi di necessità e proporzionalità del Regolamento Ue rispetto alle finalità perseguite dalla società, ha tuttavia ritenuto necessario individuare ulteriori misure maggiormente rispettose della dignità dei lavoratori, prescrivendo alla società:

  • di individuare i tempi di conservazione dei registri necessari a gestire le eventuali contestazioni da parte della società municipalizzata
  • di indicare preventivamente e tassativamente i casi specifici (descritti nel dettaglio) nei quali si renderà necessario interconnettere le informazioni allo scopo di poter ricostruire fatti oggetto di contestazione
  • di adottare misure tecnologiche e organizzative idonee a mantenere separate le basi di dati, in particolare quelli trattati attraverso i registri, quando la conservazione è necessaria a fini amministrativi
  • di effettuare una valutazione di impatto sulla protezione dei dati (DPIA), come previsto dal GDPR, viste le concrete caratteristiche del sistema tecnologico
  • di adottare un dispositivo che per le sue caratteristiche esteriori (morfologia) non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente.

Il sistema consente infatti  il trattamento di dati personali di lavoratori identificabili. Sebbene i “braccialetti” siano collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri dei turni di lavoro è possibile individuare il dipendente che ha effettuato le rilevazioni dei tag e, quando previsto, la relativa geolocalizzazione mediante il gps.

Il Garante ha peraltro raccomandato, come indicato anche nell’accordo sindacale, l’adozione di un dispositivo che per le sue caratteristiche esteriori non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente, considerato che dovrà essere utilizzato, anche se con diverse funzionalità, dai lavoratori per ogni turno di servizio.

Fonte: Garante Privacy

Potrebbe interessarti:

Dispositivi indossabili per tutelare i pazienti non auto sufficienti
29 Mar 2019
This is image included in the post content

Lo Studio Patrizia Meo è lieto di invitarvi all’incontro “Istruzioni GDPR. Cosa fare in pratica” di mercoledì 17 aprile, al fine di presentarvi le ultime novità in termini di adempimenti privacy.

 

DATA: mercoledì 17 aprile 2019

ORARIO: dalle ore 16.00 alle ore 18.00

SEDE: Biblioteca di Padenghe s/G, Via Roma, 4, Padenghe Sul Garda (Brescia)

DESTINATARI: imprenditori e professionisti, dipendenti che devono ancora adeguarsi al nuovo Regolamento Ue 2016/679 sulla privacy.

 

ARGOMENTI:

  • Conosciamo insieme il Regolamento UE 2016/679
  • Come predisporre un sistema di gestione privacy
  • Valutare e prevenire i rischi del trattamento dei dati
  • Videosorveglianza: come adeguarsi

 

RELATORI:

Patrizia Meo, Consulente privacy e DPO

Luisa Nizzola, Avvocato Foro di Brescia

Nino Papani, Consulente privacy e DPO

 

PERCHE` NON MANCARE: per avere un quadro semplice ma preciso in merito alle ultime novità sui principali adempimenti Privacy da attuare nell’ambito dell’attività d’impresa.

 

ISCRIZIONE OBBLIGATORIA: entro venerdì 12 aprile 2019.

La partecipazione è libera e gratuita, ma l’iscrizione obbligatoria a causa di un numero di posti limitati, è opportuno segnalare la presenza compilando lo specifico modulo.

modulo adesione

Per maggiori informazioni: 0309900647

26 Mar 2019

L’Autorità Garante Privacy ha pubblicato il piano ispettivo per il periodo gennaio-giugno 2019, con Deliberazione del 14 febbraio 2019.

L’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata ai seguenti settori:

  • trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti;
  • i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca;
  • la gestione delle carte di fidelizzazione da parte delle aziende;
  • il rilascio dell´identità digitale ai cittadini italiani (Spid);
  • il Sistema Integrato di Microdati (Sim) dell´Istat.

I controlli si concentreranno sull´adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull´informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati.

Con oltre 8 milioni di entrate di sanzioni riscosse il bilancio 2018 segna un incremento del +116%

Nel corso del 2018, l’Autorità ha adottato 175 ordinanze-ingiunzione, a fronte delle 109 del 2017 ed è stato rilevato un notevole aumento delle somme riscosse pari a 8.161.806 euro, a fronte dei 3.776.694   euro registrati nel 2017 (con una variazione positiva del +116% ).

Si segnala che nel settore privato, nel 2018, le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito, da società per attività di rating sul rischio e sulla solvibilità delle imprese, dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, da società che svolgono attività di telemarketing, da società che offrono servizi di “money transfer”. Oggetto di particolare accertamento anche i trattamenti di dati svolti da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app.

(Fonte Garante Privacy)

24 Mar 2019

Tik Tok è la nuova app che sta conquistando i giovani.  Nel 2018, TikTok è stata una delle app più scaricate nel mondo. 800 milioni di iscritti, sparsi in 150 nazioni, il 41% dei quali con un’età compresa tra 16 e 24 anni. In Italia – secondo DataMediaHub – è stata scaricata oltre 7 milioni di volte. Gli utenti attivi nel nostro Paese sono 2 milioni e 400 mila. Di questi il 65% sono donne mentre il 35% uomini. In totale, gli utenti aprono l’app in media 6 volte al giorno e per un totale di 34 minuti. Ogni mese, la media di visualizzazioni dei contenuti video presenti su TikTok è di circa 3 miliardi.

Non più muser ma tiktoker

TikTok è conosciuta anche con il nome cinese Douyin in Cina, è un social network cinese lanciato nel settembre 2016 da Zhang Yiming. Il successo della piattaforma per video cinese è dovuto anche all’inglobazione che TikTok ha fatto di Musical.ly.

L’applicazione consente agli utenti di guardare clip musicali, creare brevi clip, della durata che va da un minimo di 15 secondi fino a un massimo di 60 secondi, ai quali si possono aggiungere effetti particolari e diverse animazioni.  Gli utenti per creare i propri video musicali, scelgono la loro canzone preferita da un elenco, e possono registrare un video mentre si è intenti a ballare, cantare o recitare. “Un’esperienza personalizzata appositamente per te basata sui contenuti che guardi, ti piacciono e condi

 

vidi!” La lista musicale di Tik Tok contiene, una vasta gamma di generi musicali (hip-hop, elettronica, rock, dance) e questo garantisce una scelta maggiore. L’app trova e suggerisce all’utente le clip più rilevanti ed interessanti in base alle abitudini dell’utente, di ricerca e alle interazioni con video e creator simili, con video scelti appositamente.

Alcune di queste funzioni erano presenti già in Musical.ly, le novità di Tik Tok sono: i filtri di movimento, l’effetto “specchio deformante” della fotocamera, i filtri Vr-Type che possono essere

sbloccati con il semplice battito delle palpebre e gli effetti Chroma Key e Greenscreen che possono essere usati per creare dei bellissimi sfondi.  Le clip, oltre alla registrazione live, possono essere salvate e poi caricate da quelle salvate nella gallery del profilo. Al momento l’app è disponibile per iOS e Android.

Nelle linee guida possiamo leggere che la missione di Tik Tok è diffondere nel mondo creatività, conoscenza e momenti importanti nella vita quotidiana.

Da notare che, oltre al nome TikTok viene riportata la dicitura “include Musical.ly”, per sottolineare che le due piattaforme sono collegate.

Questione di privacy

Come quasi tutti i social, anche per TikTok bisogna avere almeno 13 anni, “DO NOT use the app if you are under 13”. Sappiamo però che questo limite può essere superato dai ragazzi inserendo una data di nascita falsa. Molti bambini, ad esempio, inseriscono l’età dei genitori.

L’app permette di avere un account pubblico, in questo modo tutti possono vedere ciò che condividono gli utenti e ottenere “Mi Piace”. Il rischio? Che i ragazzi possano essere contattati direttamente sull’app.

Se nella sezione privacy, l’utente sceglie la possibilità di creare un profilo privato, tutti i video possano essere visti solo da chi li ha creati e dai follower accettati. Con un account privato, infatti, si possono approvare o rifiutare le richieste degli utenti e limitare i messaggi in arrivo dei follower.

Il consenso privacy e la sanzione dalla FTC

La Federal Trade Commission ha multato l’applicazione TikTok con una sanzione record da 5,7 milioni di dollari per avere raccolto i dati dei minori di 13 anni senza il consenso dei genitori. E’ la più alta sanzione civile mai comminata dall’ente statunitense che regolamenta il mercato per un caso che riguarda la privacy dei bambini.

Il Children’s Online Privacy Protection Act (COPPA), parla chiaro: per gli utenti che abbiano un’età inferiore ai 13 anni è necessaria la richiesta di consenso ai genitori per il trattamento dei dati.

TikTok era a conoscenza del fatto che molti ragazzini stessero usando l’app per i video di breve durata – d’altronde, il target di riferimento, è proprio il mondo teen – ma non hanno cercato l’autorizzazione parentale prima di raccogliere nomi, indirizzi e-mail e altre informazioni personali. “Questa pena da record dovrebbe essere un promemoria per tutti i servizi online e i siti Web destinati ai bambini – ha detto il presidente della Ftc, Joe Simons – prendiamo molto sul serio l’applicazione del COPPA e non ci sarà tolleranza per le società che ignorano in modo la legge”. Sempre dalla comunicazione dell’agenzia che tutela i consumatori statunitensi si legge che, per la registrazione, venivano richiesti il numero di telefono, nome e cognome, l’immagine di profilo e una breve descrizione.

Gli account degli iscritti erano pubblici di default, il che significava che il profilo di un bambino poteva essere visto da sconosciuti. Se è vero che il sito consentiva agli utenti di modificare le impostazioni predefinite in modo che solo gli autorizzati potessero vederle, rimanevano pubbliche le immagini di profilo e le biografie. Infatti, ci furono segnalazioni in merito ad adulti che cercavano di contattare i bambini tramite l’app Musical.ly che, fino a ottobre del 2016, dava la possibilità di visualizzare vicini alla propria posizione.

Negli Stati Uniti, la legge impone che il minore di 13 anni deve ottenere il consenso dei genitori e presentarlo alla piattaforma se vuole iscriversi ai social.

In Europa, il Regolamento Europeo 2016/679 per la protezione dei dati, stabilisce all’art. 8 che, il “trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni”. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

In Italia, il D.lgs 101/2018 con il quale l’ordinamento italiano si è allineato al GDPR (settembre 2018) ha stabilito che “il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione”. Al di sotto dei 14 anni, il consenso viene autorizzato dal titolare della responsabilità genitoriale.

Rispetto al passato è stato fatto qualcosa, certamente bisognerà verificare come questo obbligo verrà controllato.

20 Feb 2019

Installare le telecamere in un condominio pone non pochi problemi. In primis chi decide se si possono installare e poi quale sono le zone che si possono riprendere.

La legge di riforma del condominio, L. n. 220/2012, ha introdotto un nuovo articolo nel Codice civile riguardante proprio le telecamere in condominio.

L’ art. 1122-ter c.c. (Impianti di videosorveglianza sulle parti comuni) stabilisce che “le deliberazioni concernenti l’installazione sulle parti comuni dell’edificio di impianti volti a consentire la videosorveglianza su di esse sono approvate dall’assemblea” con un numero di voti che rappresenti la maggioranza degli intervenuti e almeno la metà del valore dell’edificio (art. 1136, comma 2, c.c.).

L’articolo chiarisce i tanti dubbi sull’installazione degli impianti di videosorveglianza (sulle parti comuni) e stabilisce che le deliberazioni che interessano l’installazione di impianti di videosorveglianza sulle parti comuni dell’edificio devono essere approvate dall’assemblea. Pertanto, l’assemblea decide se installare l’impianto di videosorveglianza, e dovrà avere come obiettivo quello di tutelare la sicurezza di cose e persone, ovvero beni comuni e i condomini o i loro familiari. Non si potrà, ad esempio, puntare una telecamera in condominio che riprende il terrazzo o la finestra del vicino.

La videosorveglianza nel condominio dovrà rispettare le regole previste dal provvedimento generale del Garante in materia di videosorveglianza dell’8 aprile 2010, in vigore con il Regolamento UE 2016/679. Disposizioni richiamate nel vademecum “Il condominio e la privacy” redatto dal Garante della privacy.

L’installazione delle videocamere è ammissibile solo per ragioni di sicurezza e vi è l’obbligo a carico dell’amministratore di Condominio di posizionare appositi cartelli informativi in luoghi visibili e aperti al pubblico che indichino la presenza delle telecamere, eventualmente avvalendosi del modello predisposto dal Garante. Le telecamere devono riprendere solo le aree comuni da controllare (accessi, garage…), possibilmente evitando la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (strade, edifici, esercizi commerciali ecc.).

L’amministratore avrà anche l’obbligo di stabilire i tempi minimi di conservazione delle immagini. Le registrazioni possono essere conservate per un periodo limitato tendenzialmente non superiore alle 24-48 ore, poi devono essere cancellate. Si dovrà individuare il personale abilitato a visionare le registrazioni (soggetti autorizzati) e indicare il responsabile del trattamento dei dati. Infine, I dati raccolti (riprese, immagini) devono essere protetti con idonee e preventive misure di sicurezza.

Telecamere del singolo condomino

Quando l’installazione di sistemi di videosorveglianza viene effettuata da persone fisiche per fini esclusivamente personali e le immagini non vengono né comunicate sistematicamente a terzi, né diffuse (ad esempio attraverso apparati tipo web cam) non si applicano le norme previste dal Codice della privacy. L’area videosorvegliata è proprietà privata e non zona comune. In questo specifico caso, ad esempio, non è necessario segnalare l’eventuale presenza del sistema di videosorveglianza con un apposito cartello. Rimangono comunque valide le disposizioni in tema di responsabilità civile e di sicurezza dei dati. È tra l’altro necessario – anche per non rischiare di incorrere nel reato di interferenze illecite nella vita privata – che il sistema di videosorveglianza sia installato in maniera tale che l’obiettivo della telecamera posta di fronte alla porta di casa riprenda esclusivamente lo spazio privato e non tutto il pianerottolo o la strada, ovvero il proprio posto auto e non tutto il garage. Le riprese possono considerarsi di utilizzo esclusivamente personale, sarà opportuno che il singolo condomino assicuri il diritto alla riservatezza delle persone. Per la Cassazione si commette reato di interferenze illecite nella vita privata quando il singolo condomino è in grado di controllare chi va e chi viene, non a casa sua ma a quella degli altri.

Se però la zona ripresa è di accesso libero a tutti il discorso cambia: ecco perché è lecita l’installazione di un sistema di videosorveglianza che riprende il vialetto di ingresso.

Non compie violazione della privacy il condomino che installi, per motivi di sicurezza, allo scopo di tutelarsi dall’intrusione di soggetti estranei, alcune telecamere per visionare gli spazi rientranti tra le parti comuni dell’edificio (come un vialetto e l’ingresso comune dell’edificio), Sentenza Cassazione Penale, Sezione V, 26 novembre 2008, n° 44156, anche se tali riprese sono effettuate contro la volontà dei condomini. Nel caso specifico, la ripresa di quanto avveniva nelle zone di uso comune non protette, per quanto effettuata contro la volontà dei condomini, non era d’altro canto effettuata né clandestinamente né fraudolentemente.

Si configura reato quando concorrono due elementi: 1) l’indebita interferenza in uno dei luoghi indicati nell’articolo 614 c.p. (violazione di domicilio) realizzata con telecamere e 2) l’attinenza delle notizie o immagini alla vita privata che si svolge in quei luoghi. In assenza di uno di questi requisiti, non c’è reato.

Nel caso sopra, l’imputato aveva fornito ai vicini la possibilità di controllare quanto visualizzato dalle telecamere mediante i televisori all’interno delle loro case, ed era stato provato in giudizio che l’angolazione delle telecamere consentiva la visuale solo incidentale di piccole porzioni di uno sporto e di un poggiolo. La ripresa delle aree comuni non poteva, di conseguenza, ritenersi in alcun modo invasiva della sfera privata dei condomini.

 

11 Feb 2019

Il Garante per la privacy risponde, con lettera del 22 gennaio 2019, al quesito presentato dal Consiglio Nazionale dei consulenti del lavoro e alle richieste di numerosi professionisti in riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, dei relativi compiti e responsabilità, dei consulenti del lavoro.

Il Regolamento (UE) 679/2016, definisce il ruolo di titolare (“controller”; ex art. 4, n. 7 e 24) e responsabile (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione della relativa responsabilità, come già prefigurato dalla Direttiva 95/46/CE.

Secondo quanto previsto dall’art. 4, n. 7 “«Titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Quanto al responsabile, l’art. 4, n. 8 del Regolamento definisce “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

Pertanto, l’Autorità ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamentoquando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

E dunque i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento.

Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare (attività esternalizzata). E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.

Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.

Qualora il consulente si avvalga normalmente di collaboratori di propria fiducia questi, in base alle concrete operazioni di trattamento affidate, potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento. Più specificamente, in base all’art. 2-quaterdecies del Codice il responsabile può prevedere che “specifici compiti e funzioni connessi al trattamento siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”. Oppure, diversamente, i collaboratori potranno assumere in concreto il ruolo di subresponsabili, qualora sia demandata “l’esecuzione di specifiche attività di trattamento per conto del titolare” (v. art. 28, par. 4 del Regolamento).

Nell’ipotesi in cui il trattamento dei dati relativi ai propri clienti da parte del consulente del lavoro (i.e. i dati del datore di lavoro che gli trasmette i dati dei suoi dipendenti), la base giuridica che facoltizza il trattamento in capo al soggetto in questione – che in tale caso rivestirà il ruolo di titolare del trattamento – è rinvenibile nell’esecuzione del contratto (art. 6, par. 1, lett. b, del Regolamento).

Qualora, invece, il consulente del lavoro agisca in veste di responsabile del trattamento, la base normativa che legittima il trattamento dei dati personali, anche “sensibili” riguardanti i clienti del datore di lavoro va individuata in capo al suo cliente (ovverosia il datore di lavoro/titolare) ai sensi dell’art. 9, par. 2, lett. b), del Regolamento: infatti, la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento.

Il consulente del lavoro dovrà predisporre delle misure di sicurezza adeguate al rischio, anche in qualità di responsabile. Quindi adotterà le misure tecniche ed organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (v. art. 32, par. 1 del Regolamento). Il Garante riconosce in questo caso, un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.

(Fonte Garante Privacy)

 

26 Dic 2018

Il Garante per la protezione dei dati personali ha verificato la conformità dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento Ue 2016/679 sulla protezione dei dati personali.

La verifica – demandata all’Autorità dal decreto legislativo 101/2018 di adeguamento della normativa nazionale al Regolamento Ue – oltre ad un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo ha comportato la soppressione o la ridefinizione di talune previsioni alla luce del diverso approccio richiesto ai titolari del trattamento dal Regolamento Ue in omaggio ai principi di accountability, privacy by default e by design.

I testi dei Codici deontologici

(Fonte Garante Privacy)

21 Dic 2018

Il Garante Privacy vieta il trattamento dei dati dei dipendenti perchè lesivi della loro dignità, della loro libertà e della loro riservatezza. L’azienda in questione pubblicava nella bacheca aziendale “faccine” e punteggi associati ai volti dei lavoratori. Sistema adottato da una cooperativa toscana che opera nel settore della logistica (pulizie, facchinaggio, traslochi) per valutare l’attività dei propri dipendenti. Ogni settimana la cooperativa affiggeva nella bacheca aziendale un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano i giudizi, positivi o negativi, espressi dalla cooperativa. Nella bacheca erano affisse anche le eventuali contestazioni disciplinari.

Dagli accertamenti, scattati su segnalazione di alcuni lavoratori, è emerso che la cooperativa aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori, con relativo prelievo mensile dalla busta paga della quota di partecipazione, e pubblicava nella bacheca aziendale le valutazioni settimanali sull’attività di ciascun dipendente, cui corrispondevano l’attribuzione di un punteggio valido per il concorso, nonché le eventuali contestazioni disciplinari. Le valutazioni, espresse con sei diverse tipologie di emoticon e con giudizi sintetici quali “assenteismo”, “simulazione malattia”, “perdita di lavoro causa scarso servizio o danni”, oppure l’espressione “licenziato”, comparivano accanto alle foto dei dipendenti individuati con cognome e iniziale del nome. La valutazione negativa comportava una decurtazione dallo stipendio.

La sistematica pubblicazione attraverso affissione in bacheca delle contestazioni disciplinari, nonché la contestuale affissione del cartello “Guardiamoci in faccia…soci!”, che associa i volti dei dipendenti a “faccine” accompagnate da giudizi sintetici quali “assenteismo”, “simulazione di malattia”, “perdita del lavoro causa scarso servizio o danni”, “mancato rispetto disposizioni aziendali e/o regolamento”, “mancato rispetto programma di lavoro” (esempi tratti dal “Faccinario 2018” in atti) oppure l’espressione “licenziata” (v. documentazione in atti) costituiscono inoltre – e in definitiva – modalità di trattamento che, nel sottoporre costantemente all’osservazione dei colleghi le valutazioni sulla qualità del lavoro effettuato o sulla correttezza della prestazione, anche nell’ambito di una pubblica competizione premiale, ledono la dignità personale, la libertà e la riservatezza dei lavoratori.

Pertanto i trattamenti effettuati risultano illeciti in relazione agli artt. 5, par. 1, lett. a) e c), 6 e 7 del Regolamento (UE) 2016/679.

Nel disporre il divieto il Garante ha ricordato che il datore di lavoro può trattare le informazioni necessarie e pertinenti per la gestione del rapporto di lavoro in base a quanto previsto dalle leggi, dai regolamenti, dai contratti collettivi e dal contratto di lavoro individuale. Tra questi rientrano senza dubbio i dati necessari ad effettuare la valutazione sul corretto adempimento della prestazione lavorativa e ad esercitare il potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Ma non certo la sistematica messa a disposizione sulla bacheca aziendale delle valutazioni e dei rilievi disciplinari a tutti i dipendenti e ad eventuali visitatori, tutti soggetti non  legittimati a conoscere questo tipo di informazioni, peraltro prima della conclusione del procedimento e in assenza di eventuali repliche degli interessati.

(Fonte Garante Privacy)

16 Dic 2018

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

 

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?
La notifica deve contenere almeno le informazioni sinteticamente riportate in questa pagina (art. 33, par. 3 del Regolamento (UE) 2016/679):

– una descrizione della natura della violazione dei dati personali, che comprenda, se possibile:

a) le categorie e il numero approssimativo di persone interessate;

b) le categorie e il volume approssimativo di dati personali interessati;

– il nome e i riferimenti di contatto del responsabile della protezione dei dati (se designato dal titolare) o comunque di un referente competente a fornire informazioni;

– una descrizione delle possibili conseguenze della violazione dei dati personali;

– una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure adottate per mitigare eventuali effetti negativi;

SOLO in caso di notifica effettuata oltre il termine prescritto di 72 ore, una descrizione dei motivi del ritardo.

La notifica va trasmessa al Garante per la protezione dei dati personali, inviandola all’indirizzo: protocollo@pec.gpdp.it

LE AZIONI DEL GARANTE

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

(Fonte Garante Privacy)

16 Dic 2018

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

Il Garante privacy ha affermato, a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale, che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili – ha osservato l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso, invece, l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

….

In base alla disciplina di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, di seguito Codice) vigente all’epoca cui si riferiscono i fatti oggetto dei reclami, si osserva quanto segue.

Le informazioni relative all’adesione sindacale costituiscono dati sensibili cui trovano anzitutto applicazione gli artt. 3, 11 e 20 e 112 del Codice (art. 4, comma 1, lett. d), del Codice). …..

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo o inibitorio.

L’Autorità si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

 

(Fonte Garante Privacy)