Archivio

Senza categoria

18 Mar 2019

Il Garante con Provvedimento del n. 55 del 7 marzo 2019, chiarisce le modalità di applicazione del Regolamento UE 2016/679 nella sanità.

I chiarimenti si sono resi necessari a seguito dei numerosi quesiti ricevuti dall’autorità sul trattamento dei dati, relativi alla salute in ambito sanitario.

Una delle domande ricorrenti riguarda il consenso.Quando deve essere richiesto

L’art. 9 par. 2 lett. h) del Regolamento prevede:

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità

e ancora al par. 3

I dati personali ….. possono essere trattati … “se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.

Sulla base di quanto previsto dall’art. 9, il medico non dovrà, come in passato richiedere il consenso al paziente. Vediamo nello specifico.

Il professionista sanitario soggetto al segreto professionale, non deve più richiedere il consenso del paziente per trattamenti necessari alla prestazione sanitaria richiesta dall’interessato. Ciò, sia che operi in qualità di libero professionista (presso uno studio medico) sia presso una struttura pubblica o privata. Tale eccezione si applica per i trattamenti necessari per le finalità di cura, cioè essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (considerando 53 del Regolamento).

I trattamenti, non strettamente necessari alla cura, richiedono, invece, il consenso dell’interessato o un altro presupposto di liceità (artt. 6 e 9, par. 2 Regolamento). Tra questi trattamenti rientrano le app mediche, i dati delle farmacie per le tessere fedeltà; campagne promozionali o commerciali (es. promozioni su programmi di screening; contratto di servizi amministrativi, come quelli alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali.

Richiede il consenso, anche, la refertazione on line, in quanto previsto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013).

L’autorità chiarisce, anche i trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico, che possono essere effettuati con l’acquisizione del consenso. Il Garante ricorda che il consenso è richiesto da norme specifiche anteriori al Regolamento UE, fatte salve dall’art. 75 del Codice Privacy. L’eliminazione del consenso potrebbe essere ammissibile alla luce del nuovo quadro normativo, vedremo quindi cosa succederà.

Rimane confermato il consenso per i trattamenti effettuati tramite il Dossier Sanitario, sempre in applicazione delle Linee Guida del 04 giugno 2015. Sulla base dell’art. 2 septies del Codice, sarà il Garante, eventualmente, ad individuare i trattamenti che non necessitano di consenso. Anche qui, speriamo in ulteriori interventi.

Informativa sul trattamento.

Le informative, dovranno essere aggiornate ed integrate, con riferimento alle novità degli artt. 13 e 14 del Regolamento. Secondo il principio di trasparenza, previsto dall’art. 5 par. 1 lett. a) del Regolamento, il Titolare deve informare l’interessato sui principali elementi del trattamento. Che sono appunto elencati nell’art. 13 e nell’art. 14. Informativa che deve essere soprattutto comprensibile per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice.

L’autorità suggerisce di predisporre delle informative in maniera progressiva. Le informazioni relative a particolari attività di trattamento (es. fornitura di presidi sanitari, finalità di ricerca) potrebbero essere resi, in un secondo momento, solo ai pazienti interessati da tali servizi.

Per quanto attiene invece alla conservazione dei dati (“limitazione della conservazione” art. 5 par. 1 lett. e) del Regolamento), il titolare può indicare in assenza di una disposizione normativa che stabilisce i termini, i criteri utilizzati per determinarlo. Ricordiamo ad esempio, il certificato di idoneità sportiva agonistica, deve essere conservato per cinque anni. Le cartelle cliniche, unitamente ai referti, vanno conservati illimitatamente.

Responsabile della Protezione dei Dati (RPD/DPO)

Il Garante chiarisce ulteriormente, chi deve nominare il Responsabile della Protezione dei dati, dopo le numerose richieste di chiarimenti da parte degli operatori del settore sanitario.

Le aziende sanitarie, devono nominare il RPD, in quanto “organismo pubblico”, come da art. 37, par. 1 lett c), attività che consistono sul trattamento, su larga scala, di dati sulla salute.

Lo stesso vale per un ospedale privato, per una casa di cura o una residenza socio assistenziale (RSA).

Il singolo professionista sanitario, che opera in regime di libera professione, non è tenuto a nominare un RPD. Come non sono tenute le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (in questo caso l’obbligo scatta in caso di effettuazione di trattamenti su larga scala).

Registro delle attività di trattamento

Il registro delle attività di trattamento costituisce uno strumento di accountability e di valutazione e gestione del rischio. Il registro contiene le principali informazioni (come individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte dal titolare. Pertanto, i singoli professionisti non sono esentati e dovranno compilare il registro. Tra questi: i medici di medicina generale, i medici pediatri, gli ospedali privati, le case di cura e le RSA, le aziende sanitarie appartenenti al SSN, le farmacie e le parafarmacie, le aziende ortopediche. Il registro andrà conservato per eventuali controlli e non va trasmesso al Garante.

(Fonte Garante Privacy)

26 Dic 2018

Il Garante per la protezione dei dati personali ha verificato la conformità dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento Ue 2016/679 sulla protezione dei dati personali.

La verifica – demandata all’Autorità dal decreto legislativo 101/2018 di adeguamento della normativa nazionale al Regolamento Ue – oltre ad un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo ha comportato la soppressione o la ridefinizione di talune previsioni alla luce del diverso approccio richiesto ai titolari del trattamento dal Regolamento Ue in omaggio ai principi di accountability, privacy by default e by design.

I testi dei Codici deontologici

(Fonte Garante Privacy)

9 Ott 2018

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Modello di “registro semplificato” delle attività di trattamento del titolare per PMI (ALLEGATO 1

Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI (ALLEGATO 2)

(Fonte Garante Privacy)

30 Lug 2018

Il Garante per la protezione dei dati personali ha presentato la Relazione sulle attività svolte nel corso del 2017.
Tra gli interventi su cui l’Autorità ha inteso dedicare un’attenzione maggiore ci sono, sicuramente, quello della protezione di dati on line e quello delle nuove tecnologie, che per la loro particolare invasività accrescono negli utenti l’esigenza di tutela delle proprie informazioni personali.
Nel 2017 si è andato consolidando il criterio per l’esercizio del diritto all’oblio e per una sua tutela anche al di fuori dei confini europei, dall’altro, si sono messe in luce – all’indomani di un’indagine internazionale a cui il Garante ha preso parte – le criticità legate alla mancanza di trasparenza nell’uso dei dati degli utenti da parte delle app in diversi settori, quali la vendita al dettaglio, finanza e banche, sanità, istruzione, viaggi, social network, gioco d’azzardo.
Sul cyberbullismo sono state predisposte misure e procedure per la rimozione dei contenuti offensivi, siglando un protocollo di intesa con la Polizia postale allo scopo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.
Sono state date le prime indicazioni sull’uso dei droni a scopo ricreativo e su come difendersi dai software dannosi, in particolare dal ransomware. Per quanto riguarda i social network si è sottolineata l’impossibilità di provare la persistente natura “chiusa” di un profilo social e la sua accessibilità solo a un ristretto gruppo di “amici”.
Nel settore della sanitàil Garante è intervenuto per semplificare le procedure connesse ai nuovi obblighi sui vaccini e favorire lo scambio tra scuole e Asl, ha dato il via libera al sistema informativo dei trapianti, è intervenuto a ricordare le garanzie relative ai dati sull’Hiv, ha espresso parere favorevole sul registro dei tumori della Regione Lazio.
Sul fronte della disciplina in materia di lavoro, ha fissato le regole per l’uso delle nuove tecnologie dopo l’introduzione del Jobs Act, con particolare riguardo alla geolocalizzazione dei lavoratori, e ha vietato i controlli indiscriminati su mail e smartphone.
Muovendo, poi, in materia di trasparenza on line della pubblica amministrazione, l’Autorità “ha richiamato il Governo alla necessità di contemperare obblighi di pubblicità degli atti e dignità delle persone e ha fissato alcune regole per l’esercizio del diritto di accesso civico”, altresì intervenendo a bloccare la diffusione di dati sensibili su alcuni siti istituzionali di amministrazioni pubbliche.
In ambito pubblico, è stato affrontato il tema della sicurezza della Pa digitale e il rafforzamento delle garanzie per i cittadini nell’attuazione dello Spid. 
Sul nuovo Codice dell’amministrazione digitale (Cad), l’Autorità ha sollevato “la questione dell’accesso indiscriminato ai dati relativi al “domicilio digitale” dei cittadini e chiesto regole più specifiche per l’accesso ai servizi digitali delle PA e per l´utilizzo dei dati anagrafici”.
In tema di fiscalità, si è verificata la corretta “messa in sicurezza dello “Spesometro” contenente i dati fiscali di milioni di contribuenti” e sono state prescritte “misure tecniche riguardo all’accesso alla dichiarazione dei redditi precompilata da parte di interessati, Caf e soggetti autorizzati”. 
Grande attenzione è stata rivolta, poi, anche al sistema di banche dati pubbliche, tra cui quella dell’Anagrafe tributaria, stimolandone la messa in sicurezza.
Inoltre, “è proseguito l’impegno dell’Autorità sul fronte del telemarketing aggressivo intervenendo contro la prassi del cosiddetto “web scraping”, cioè la pratica di raccogliere in maniera automatica ed indiscriminata dati personali presenti in rete facendo girare appositi software alla ricerca di nomi, cognomi, indirizzi, numeri di telefono, mail per poi contattarli senza consenso”. 
Si è intervenuti contro l’invio senza acquisizione del necessario consenso dell’interessato di proposte commerciali attraverso indirizzi mail presenti sui social network.
In questo contesto, sono stati accertati rilevanti illeciti da parte di società di telefonia, sono state svolte ispezioni presso diversi call center e sono stati suggeriti al legislatore modifiche normative per rafforzare le garanzie dei cittadini.

Un po’ di cifre

Nel 2017 sono stati adottati 573 provvedimenti collegiali. L’Autorità ha fornito riscontro a circa 6.000 reclami e segnalazioni. Sono state effettuate 275 ispezioni.

Le sanzioni amministrative riscosse ammontano a circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016.

(Fonte Garante Privacy)

30 Lug 2018

Il Garante Privacy pubblica un vademecum su come difendere la propria privacy in vacanza. Informazioni su come utilizzare il proprio smartphone e tablet, social network e selfie in vacanza. Poche e semplici regole una vacanza a prova di privacy.

L’attenzione maggiore deve essere riservata ai minori e alle loro foto postate e condivise sui social.

9cab3966-1a69-aa8d-d729-6641937010b6.jpg

1. Sotto il sole estivo, non esporsi troppo con selfie e foto: protezione alta soprattutto per i minori. Non tutti vogliono apparire on line, essere riconosciuti o far sapere dove e con chi si trovano durante le ferie estive. Se si postano foto o video in cui compaiono altre persone, è sempre meglio prima accertarsi che queste siano d’accordo, specie se si inseriscono anche dei tag con nomi e cognomi. E’ abitudine diffusa condividere foto e video dei propri figli. E’ bene essere sempre consapevoli che le immagini dei minori pubblicate on line possono finire anche nelle mani di malintenzionati: meglio quindi evitare di “postarle”, oppure almeno utilizzare alcune accortezze, come rendere irriconoscibile il viso del minore (ad esempio, utilizzando progammi di grafica per “pixellare” i volti, semplici da usare e disponibili anche gratuitamente online, o posizionando semplicemente sopra una “faccina” emoticon), oppure limitare le impostazioni di visibilità delle immagini solo alle persone fidate.

2. Geolocalizzati anche in ferie? Per gli amanti della riservatezza che non vogliono far sapere dove sono durante le vacanze estive, il suggerimento è disattivare le opzioni di geolocalizzazione di smartphone e tablet (se non indispensabili per specifici servizi), oltre a quelle dei social network utilizzati.

3. I “social-ladri” non vanno in vacanza. Postando sui social network informazioni sulle vacanze si potrebbe far sapere ad eventuali malintenzionati che la propria casa è vuota.

4. Non “abbandonare” la tua casa. Se sono presenti in casa prodotti e sistemi domotici, è importante ricordare che questi utili dispositivi – al pari di tutte le tecnologie connesse online – possono essere esposti ad attacchi informatici, virus e malware. Laddove possibile, è quindi bene assicurarsi che siano protetti, ad esempio impostando password sicure e aggiornando costantemente il software per garantire una maggiore protezione.

5. Metti anche la privacy in valigia. Anche in vacanza, è bene controllare le impostazioni privacy dei social network utilizzati, limitando magari la visibilità e la condivisione dei post ai soli amici. Altra buona regola è fare attenzione a non accettare sconosciuti nella cerchia di amicizie on line.

6. Attenzione ai “pacchi”. E´ bene fare attenzione a eventuali messaggi che contengono offerte straordinarie riguardo viaggi e affitti di case per le vacanze da ottenere,  ad esempio, cliccando su link che richiedono dati personali o bancari. Virus informatici, software spia, ransomware phishing possono essere in agguato.

7. App-prova di estate. In vacanza molti utenti di smartphone e tablet scaricano film, app per giochi, suggerimenti turistici, ecc.. Questi prodotti possono anche nascondere virus o malware (cioè,  software pericolosi). Per proteggersi, buone regole sono: scaricare le app dai market ufficiali; leggere con attenzione le descrizioni delle app (se, ad esempio, nei testi sono presenti errori e imprecisioni, c’è da sospettare).

8. Per chi non può proprio vivere senza wi-fi. Se si usano le connessioni offerte da bar, ristoranti, stabilimenti balneari e hotel e non si è certi degli standard di sicurezza impostati per proteggere il wi-fi da virus e rischi di intrusione, meglio adottare alcune accortezze, come evitare di accedere a servizi online che richiedono credenziali di accesso (ad esempio, alla propria webmail, ai social network, ecc.), fare acquisti on line con la carta di credito oppure utilizzare il conto bancario on line.

9. Scegliere una protezione alta per non rimanere “scottati”. Aggiornamenti software costanti e programmi antivirus, magari dotati anche di anti-spyware e anti-spam, possono essere buone precauzioni per evitare furti di dati o violazioni della privacy.

10. Smartphone e tablet pronti a “partire”. Durante le vacanze, può purtroppo accadere che smartphone e tablet siano smarriti o vengano rubati: è quindi bene seguire alcune accortezze. In generale, è opportuno non conservare dati troppo personali sui device (ad esempio, password o codici bancari) e prendere altre piccole precauzioni, come quella di evitare che i browser e le app memorizzino le credenziali di accesso a siti e servizi (ad esempio, posta elettronica, social network, e-banking).

11. Per navigare tranquilli nel mare dei messaggi. Nel periodo estivo si utilizzano molto sms, chat e sistemi di messaggistica. Alcuni messaggi potrebbero però contenere virus, malware o esporre al rischio di spam. E´ quindi sempre bene fare molta attenzione prima di scaricare programmi, aprire eventuali allegati o cliccare su link che possono essere contenuti nel testo o nelle immagini presenti all´interno dei messaggi ricevuti.

12. Per chi porta il drone in vacanza. Se si fa volare a fini ricreativi un drone munito di fotocamera su una spiaggia o in un altro abituale luogo di vacanza, è meglio evitare di invadere gli spazi personali e l’intimità delle persone. La diffusione di riprese realizzate con il drone (sul web, sui social media, in chat) può avvenire solo con il consenso dei soggetti ripresi, fatti salvi particolari usi connessi alla libera manifestazione del pensiero, come quelli a fini giornalistici.

13. Non lasciare a casa il buon senso. La miglior difesa anche nel periodo delle vacanze è usare con consapevolezza e attenzione le nuove tecnologie e gestire con accortezza i nostri dati personali, ricordando semplici regole che tutti possono mettere in campo.

(Fonte Garante Privacy)

7 Lug 2018

L’Autorità Garante della Protezione dei Dati ha pubblicato una scheda di sintesi per le aziende e gli enti.

Ecco i punti principali

Valutazione d’Impatto

Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.

Il Registro dei trattamenti

Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere. I contenuti minimi sono indicati all’art. 30 del Regolamento. Deve avere forma scritta, anche elettronica, e va esibito su richiesta al Garante.

Sicurezza dei dati

Il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

Il Responsabile della Protezione dei Dati (DPO)

La designazione (in vari casi obbligatoria) di un RPD riflette l´approccio responsabilizzante del Regolamento. Fra i suoi compiti rientrano la sensibilizzazione e formazione del personale, la sorveglianza sullo svolgimento della valutazione di impatto, la funzione di punto di contatto per gli interessati e per il Garante per ogni questione attinente l’applicazione del Regolamento.

 

Regolamento UE 2016 679. Una sintesi per aziende ed enti

30 Apr 2018

Via libera del Garante privacy  a un sistema di geolocalizzazione satellitare dei veicoli della polizia municipale  che opera  nei territori di alcuni comuni aderenti a una convenzione  per la gestione associata del servizio [doc. web n. 8576577].

Scopo della localizzazione sarà quello di garantire la sicurezza e l’incolumità del personale e di ottimizzare l’impiego di operatori e veicoli della polizia municipale. Il sistema, sottoposto al vaglio dell’Autorità, sarà utile anche a rilevazioni di tipo statistico  e di rendicontazione del servizio.

I dati, che appariranno in tempo reale su un monitor presso la centrale operativa, saranno visualizzabili esclusivamente dal responsabile del servizio o da un suo delegato per localizzare la posizione dei veicoli e, se necessario, identificare l’operatore al solo scopo di coordinare in modo più efficiente il servizio o gestire eventuali situazioni di criticità o emergenza.

I dati relativi al tempo di permanenza e ai chilometri percorsi in una determinata area saranno conservati per un periodo massimo di trenta giorni ai fini della rendicontazione. Le informazioni riferite ai dipendenti impiegati nel servizio, mai direttamente identificati e comunque non più identificabili a fine turno, “a fine giornata”, il Comune ha assicurato che il sistema prevede la rimozione delle tabelle di presa in carico dei veicoli, in modo da non permettere l’ulteriore identificabilità degli operatori, in relazione ai dati di localizzazione memorizzati:, non saranno utilizzate per finalità più strettamente legate alla gestione del rapporto di lavoro, quali la verifica della presenza in servizio, la commisurazione dell’orario di lavoro o per finalità disciplinari.

Il Garante, tenuto conto dalla particolare natura dell’attività di polizia locale e delle cautele proposte dal titolare a tutela degli interessati, ha ritenuto lecito, pertinente e non eccedente il trattamento dei dati personali mediante il sistema anche in considerazione del fatto che prima della sua installazione ciascun Comune aderente alla Convenzione acquisirà l’autorizzazione del Ministero del lavoro e delle politiche socialiDirezione territoriale del lavoro, in conformità alla disciplina in materia di controllo a distanza dei lavoratori.

Il Garante ha inoltre  previsto specifiche misure di sicurezza come la configurazione del sistema, in modo tale da consentire solo accessi autorizzati  tramite assegnazione di credenziali di autenticazione differenziate e limitando i profili autorizzati alla modifica e all’estrazione dei dati. Inoltre, il titolare dovrà fornire agli interessati:

un’informativa comprensiva di tutti gli elementi contenuti nell’articolo 13 del Codice  e a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice;

predisporre misure al fine di garantire agli interessati l’esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice;

effettuare la notificazione al Garante ai sensi degli articoli 37 e ss., qualora il trattamento abbia effettivamente inizio prima del 25 maggio 2018 (tenendo conto che tale adempimento non sarà più dovuto in data successiva al 25 maggio p.v.).

 

(Fonte Garante Privacy)

4 Apr 2018

Il Garante Privacy ha rilasciato apposite FAQ consultabili sul proprio sito istituzionale sul Responsabile della Protezione dei Dati (anche conosciuto con la dizione in lingua inglese data protection officer – DPO), figura prevista dall’art. 37 del Regolamento (UE) 2016/679.

Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Modello comunicazione al Garante dei dati dell’RPD

26 Gen 2018

 

Il Garante per la privacy si è espresso positivamente alla richiesta di verifica preliminare ad un sistema per il controllo dei consumi telefonici aziendali. La multinazionale che ha sottoposto il progetto al vaglio dell’Autorità dovrà però attenersi a  precise  misure a tutela della riservatezza dei lavoratori [7554790].

La multinazionale ha presentato “ha presentato una richiesta di verifica preliminare ai sensi dell’articolo 17 del Codice con riguardo al trattamento di dati personali dei propri dipendenti “cui sia stato assegnato un telefono aziendale”. Il trattamento avrebbe la finalità di “controllo delle fatture del provider del servizio telefonico” nonché di “analisi dell’andamento complessivo dei consumi in modo da valutare nel tempo l’adeguatezza del contratto con il provider […] con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio” nonché “rilevare eventuali situazioni anomale di consumi”. Il trattamento sarebbe effettuato mediante l’adozione di un sistema che consentirebbe di raccogliere ed elaborare i dati personali dei dipendenti ad opera della società inglese xx, specializzata nel settore, che la società istante si impegna a designare responsabile del trattamento ai sensi dell’articolo 29 del Codice (cfr. p. 2 nota 20.12.2016 e p. 2 nota 19.06.2017).”

Allo scopo esclusivo di ridurre i costi aziendali e valutare l’adeguatezza del contratto sottoscritto con il fornitore dei servizi telefonici, le società del gruppo potranno trattare, per effetto del bilanciamento di interessi riconosciuto dal Garante, alcune informazioni desunte dalla fatturazione bimestrale relative alle chiamate in uscita dei dipendenti assegnatari di una o più sim aziendali. In particolare, in conformità alla disciplina in materia di protezione di dati personali, il Garante ha prescritto che le informazioni sul traffico telefonico vengano trattate solo se necessarie, pertinenti e non eccedenti, o comunque se, in base alle condizioni contrattuali applicabili dal provider, comportino dei costi (ipotesi che non ricorre per le chiamate in entrata in  roaming senza specifici addebiti e in caso di tariffe flat).  Sui numeri delle chiamate in uscita e, nei casi consentiti, di quelle in entrata, sarà operato il mascheramento delle ultime quattro cifre. L’azienda specializzata che effettuerà  l’elaborazione di dati verrà designata quale responsabile del trattamento e dovrà restituire i risultati dell’analisi dei consumi a ciascuna società del gruppo solo per il personale di propria appartenenza.

In presenza di “consumi anomali“, la società provvederà a rilevarne le cause e, ove necessario, evidenzierà al proprio interno l’esigenza di contenere i costi aziendali, ma i dati non potranno essere trattati a fini disciplinari. In ogni caso, poiché il sistema è idoneo a realizzare un potenziale e indiretto controllo a distanza sull’attività dei dipendenti, dovrà comunque essere stipulato specifico accordo sindacale da parte di ciascuna società nel rispetto della disciplina di settore.

In base al Codice privacy, l’Autorità ha inoltre commisurato i tempi di conservazione dei dati entro un limite di sei mesi e non di un anno, come richiesto dalla società. La multinazionale dovrà  informare adeguatamente i dipendenti e adottare un  disciplinare interno per regolamentare le condizioni di uso delle sim in dotazione ai dipendenti.  È stato inoltre disposto che il file sul quale sono memorizzati i dati estratti dal portale del fornitore del servizio di comunicazione elettronica dovrà essere protetto mediante opportune tecniche di cifratura e che nell’ambito delle successive elaborazioni i dati dovranno essere anonimizzati mediante l’utilizzo di tecniche che non consentano la re-identificazione dell’interessato.

(Fonte Garante Privacy)

18 Dic 2017

1. Quali sono i soggetti tenuti alla designazione del RPD, ai sensi dell’art. 37, par. 1, lett. a), del RGPD?

2. Nel caso in cui il RPD sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?

3. Quali certificazioni risultano idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD?

4. Con quale atto formale deve essere designato il RPD?

5. La designazione di un RPD interno all’autorità pubblica o all’organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?

6. È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un RPD?

7. Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un RPD?

 

1. Quali sono i soggetti tenuti alla designazione del RPD, ai sensi dell’art. 37, par. 1, lett. a), del RGPD?

L’art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».

Il RGPD non fornisce la definizione di “autorità pubblica” o “organismo pubblico” e, come chiarito anche nelle Linee guida adottate in materia dal Gruppo Art. 29 (di seguito Linee guida), ne rimette l’individuazione al diritto nazionale applicabile.

Allo stato, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).

Occorre, comunque, considerare che, nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD. In ogni caso, qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i RPD designati in via obbligatoria.

2. Nel caso in cui il RPD sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?

Il RGPD non fornisce specifiche indicazioni al riguardo. È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al RPD – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.

In merito, l’art. 38, par. 3, del RGPD fissa alcune garanzie essenziali per consentire ai RPD di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il RPD “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti“. Il considerando 97 aggiunge che i RPD “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente“. Ciò significa, come chiarito nelle Linee guida, che «il RPD, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati».

Inoltre, sempre ai sensi dell’art. 38, par. 3, del RGPD, il RPD «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.

Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità,  che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

3. Quali certificazioni risultano idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD?

Come accade nei settori delle cosiddette “professioni non regolamentate”, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del RGPD) sono rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’apprendimento.

Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD

4. Con quale atto formale deve essere designato il RPD?

Il RGPD prevede all’art. 37, par. 1, che il titolare e il responsabile del trattamento designino il RPD; da ciò deriva, quindi, che l’atto di designazione è parte costitutiva dell’adempimento.

Nel caso in cui la scelta del RPD ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD (per agevolare gli enti, in allegato alle Faq, è riportato uno schema di atto di designazione).

Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del RGPD) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.

L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.

Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del RGPD, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».

Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art. 37, par. 7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.

Come chiarito nelle Linee guida, in base all’art. 37, par. 7, non è necessario -anche se potrebbe costituire una buona prassi, in ambito pubblico- pubblicare anche il nominativo del RPD, mentre occorre che sia comunicato al Garante per agevolare i contatti con l’Autorità (anche in questo caso, in allegato alle Faq, è riportato un modello di comunicazione al Garante). Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b).

5. La designazione di un RPD interno all’autorità pubblica o all’organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?

Il RGPD prevede, all’art. 38, par. 2, che «il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica».

Ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al RPD. Come riportato anche nelle Linee guida, «in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD. La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto».

All’esito di questa analisi si potrà valutare quindi l’opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Ad ogni modo, ove sia costituito un apposito ufficio, è comunque necessario che venga sempre individuata la persona fisica che riveste il ruolo di RPD (mediante l’atto di designazione di cui sopra).

 6. È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un RPD?

Alcune organizzazioni complesse hanno richiesto all’Autorità di valutare la possibilità di designare più RPD.

Al riguardo, si rileva che l’unicità della figura del RPD è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.

Nulla osta, invece, all‘individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un RPD interno, sia che questa ricada su un RPD esterno.

Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del RPD che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del RPD, anche, se del caso, operando quali componenti del suo gruppo di lavoro.

 7. Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un RPD?

Il RGPD consente l’assegnazione al RPD di ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi (art. 38, par. 6e che consentano al RPD di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dal RGPD (art. 38, par. 2).

A seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, le eventuali ulteriori incombenze attribuite al RPD non dovrebbero pertanto sottrarre allo stesso il tempo necessario per adempiere alle relative responsabilità.

In linea di principio, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al RPD ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl). In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di RPD  al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti  che il RGPD attribuisce al RPD.

Rispetto all’assenza di conflitto di interessi, occorre inoltre valutare se, come indicato nelle Linee guida, le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).

Riguardo agli ulteriori compiti e funzioni in capo al RPD, particolare attenzione andrebbe infine prestata nei casi di unico RPD tra molteplici autorità pubbliche e organismi pubblici, nonché nei casi di RPD esterno, in quanto questi potrebbe svolgere ulteriori compiti che comportano situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni. In questi casi, nell’atto di designazione o nel contratto di servizio il RPD dovrà fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.

(Fonte Garante Privacy)

  • 1
  • 2