Archivio

Senza categoria

14 Mag 2019

REGOLAMENTO UE,
UN ANNO DALLA SUA APPLICAZIONE
PRIMO BILANCIO PER I COMUNI

CONTENUTI

L’iniziativa formativa intente fare sintesi sulla normativa ad un anno di distanza dalla sua introduzione e dalla sua applicazione nei Comuni.Verrà nello specifico portatal’esperienza di alcuni Comuni che hanno fatto parte del gruppo di lavoro costituitosi in ACB, tra gli altri l’esperienza del Comune di Brescia per voce del dott. Luca Mattiello.

PROGRAMMA

Regolamento Europeo, a che punto siamo nei nostri Comuni

Il ruolo del Responsabile della Protezione dei Dati nel Comune

Responsabili e sub-responsabili del trattamento

La formazione del Personale degli Enti locali

Sicurezza dei dati e data breach

Le esperienze del Gruppo di lavoro ACB: i Comuni si raccontano.

 

Acb Servizi srl Via Creta, 42 a Brescia

18 Mar 2019

Il Garante con Provvedimento del n. 55 del 7 marzo 2019, chiarisce le modalità di applicazione del Regolamento UE 2016/679 nella sanità.

I chiarimenti si sono resi necessari a seguito dei numerosi quesiti ricevuti dall’autorità sul trattamento dei dati, relativi alla salute in ambito sanitario.

Una delle domande ricorrenti riguarda il consenso.Quando deve essere richiesto

L’art. 9 par. 2 lett. h) del Regolamento prevede:

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità

e ancora al par. 3

I dati personali ….. possono essere trattati … “se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.

Sulla base di quanto previsto dall’art. 9, il medico non dovrà, come in passato richiedere il consenso al paziente. Vediamo nello specifico.

Il professionista sanitario soggetto al segreto professionale, non deve più richiedere il consenso del paziente per trattamenti necessari alla prestazione sanitaria richiesta dall’interessato. Ciò, sia che operi in qualità di libero professionista (presso uno studio medico) sia presso una struttura pubblica o privata. Tale eccezione si applica per i trattamenti necessari per le finalità di cura, cioè essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (considerando 53 del Regolamento).

I trattamenti, non strettamente necessari alla cura, richiedono, invece, il consenso dell’interessato o un altro presupposto di liceità (artt. 6 e 9, par. 2 Regolamento). Tra questi trattamenti rientrano le app mediche, i dati delle farmacie per le tessere fedeltà; campagne promozionali o commerciali (es. promozioni su programmi di screening; contratto di servizi amministrativi, come quelli alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali.

Richiede il consenso, anche, la refertazione on line, in quanto previsto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013).

L’autorità chiarisce, anche i trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico, che possono essere effettuati con l’acquisizione del consenso. Il Garante ricorda che il consenso è richiesto da norme specifiche anteriori al Regolamento UE, fatte salve dall’art. 75 del Codice Privacy. L’eliminazione del consenso potrebbe essere ammissibile alla luce del nuovo quadro normativo, vedremo quindi cosa succederà.

Rimane confermato il consenso per i trattamenti effettuati tramite il Dossier Sanitario, sempre in applicazione delle Linee Guida del 04 giugno 2015. Sulla base dell’art. 2 septies del Codice, sarà il Garante, eventualmente, ad individuare i trattamenti che non necessitano di consenso. Anche qui, speriamo in ulteriori interventi.

Informativa sul trattamento.

Le informative, dovranno essere aggiornate ed integrate, con riferimento alle novità degli artt. 13 e 14 del Regolamento. Secondo il principio di trasparenza, previsto dall’art. 5 par. 1 lett. a) del Regolamento, il Titolare deve informare l’interessato sui principali elementi del trattamento. Che sono appunto elencati nell’art. 13 e nell’art. 14. Informativa che deve essere soprattutto comprensibile per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice.

L’autorità suggerisce di predisporre delle informative in maniera progressiva. Le informazioni relative a particolari attività di trattamento (es. fornitura di presidi sanitari, finalità di ricerca) potrebbero essere resi, in un secondo momento, solo ai pazienti interessati da tali servizi.

Per quanto attiene invece alla conservazione dei dati (“limitazione della conservazione” art. 5 par. 1 lett. e) del Regolamento), il titolare può indicare in assenza di una disposizione normativa che stabilisce i termini, i criteri utilizzati per determinarlo. Ricordiamo ad esempio, il certificato di idoneità sportiva agonistica, deve essere conservato per cinque anni. Le cartelle cliniche, unitamente ai referti, vanno conservati illimitatamente.

Responsabile della Protezione dei Dati (RPD/DPO)

Il Garante chiarisce ulteriormente, chi deve nominare il Responsabile della Protezione dei dati, dopo le numerose richieste di chiarimenti da parte degli operatori del settore sanitario.

Le aziende sanitarie, devono nominare il RPD, in quanto “organismo pubblico”, come da art. 37, par. 1 lett c), attività che consistono sul trattamento, su larga scala, di dati sulla salute.

Lo stesso vale per un ospedale privato, per una casa di cura o una residenza socio assistenziale (RSA).

Il singolo professionista sanitario, che opera in regime di libera professione, non è tenuto a nominare un RPD. Come non sono tenute le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (in questo caso l’obbligo scatta in caso di effettuazione di trattamenti su larga scala).

Registro delle attività di trattamento

Il registro delle attività di trattamento costituisce uno strumento di accountability e di valutazione e gestione del rischio. Il registro contiene le principali informazioni (come individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte dal titolare. Pertanto, i singoli professionisti non sono esentati e dovranno compilare il registro. Tra questi: i medici di medicina generale, i medici pediatri, gli ospedali privati, le case di cura e le RSA, le aziende sanitarie appartenenti al SSN, le farmacie e le parafarmacie, le aziende ortopediche. Il registro andrà conservato per eventuali controlli e non va trasmesso al Garante.

(Fonte Garante Privacy)

26 Dic 2018

Il Garante per la protezione dei dati personali ha verificato la conformità dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento Ue 2016/679 sulla protezione dei dati personali.

La verifica – demandata all’Autorità dal decreto legislativo 101/2018 di adeguamento della normativa nazionale al Regolamento Ue – oltre ad un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo ha comportato la soppressione o la ridefinizione di talune previsioni alla luce del diverso approccio richiesto ai titolari del trattamento dal Regolamento Ue in omaggio ai principi di accountability, privacy by default e by design.

I testi dei Codici deontologici

(Fonte Garante Privacy)

9 Ott 2018

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Modello di “registro semplificato” delle attività di trattamento del titolare per PMI (ALLEGATO 1

Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI (ALLEGATO 2)

(Fonte Garante Privacy)

30 Lug 2018

Il Garante per la protezione dei dati personali ha presentato la Relazione sulle attività svolte nel corso del 2017.
Tra gli interventi su cui l’Autorità ha inteso dedicare un’attenzione maggiore ci sono, sicuramente, quello della protezione di dati on line e quello delle nuove tecnologie, che per la loro particolare invasività accrescono negli utenti l’esigenza di tutela delle proprie informazioni personali.
Nel 2017 si è andato consolidando il criterio per l’esercizio del diritto all’oblio e per una sua tutela anche al di fuori dei confini europei, dall’altro, si sono messe in luce – all’indomani di un’indagine internazionale a cui il Garante ha preso parte – le criticità legate alla mancanza di trasparenza nell’uso dei dati degli utenti da parte delle app in diversi settori, quali la vendita al dettaglio, finanza e banche, sanità, istruzione, viaggi, social network, gioco d’azzardo.
Sul cyberbullismo sono state predisposte misure e procedure per la rimozione dei contenuti offensivi, siglando un protocollo di intesa con la Polizia postale allo scopo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.
Sono state date le prime indicazioni sull’uso dei droni a scopo ricreativo e su come difendersi dai software dannosi, in particolare dal ransomware. Per quanto riguarda i social network si è sottolineata l’impossibilità di provare la persistente natura “chiusa” di un profilo social e la sua accessibilità solo a un ristretto gruppo di “amici”.
Nel settore della sanitàil Garante è intervenuto per semplificare le procedure connesse ai nuovi obblighi sui vaccini e favorire lo scambio tra scuole e Asl, ha dato il via libera al sistema informativo dei trapianti, è intervenuto a ricordare le garanzie relative ai dati sull’Hiv, ha espresso parere favorevole sul registro dei tumori della Regione Lazio.
Sul fronte della disciplina in materia di lavoro, ha fissato le regole per l’uso delle nuove tecnologie dopo l’introduzione del Jobs Act, con particolare riguardo alla geolocalizzazione dei lavoratori, e ha vietato i controlli indiscriminati su mail e smartphone.
Muovendo, poi, in materia di trasparenza on line della pubblica amministrazione, l’Autorità “ha richiamato il Governo alla necessità di contemperare obblighi di pubblicità degli atti e dignità delle persone e ha fissato alcune regole per l’esercizio del diritto di accesso civico”, altresì intervenendo a bloccare la diffusione di dati sensibili su alcuni siti istituzionali di amministrazioni pubbliche.
In ambito pubblico, è stato affrontato il tema della sicurezza della Pa digitale e il rafforzamento delle garanzie per i cittadini nell’attuazione dello Spid. 
Sul nuovo Codice dell’amministrazione digitale (Cad), l’Autorità ha sollevato “la questione dell’accesso indiscriminato ai dati relativi al “domicilio digitale” dei cittadini e chiesto regole più specifiche per l’accesso ai servizi digitali delle PA e per l´utilizzo dei dati anagrafici”.
In tema di fiscalità, si è verificata la corretta “messa in sicurezza dello “Spesometro” contenente i dati fiscali di milioni di contribuenti” e sono state prescritte “misure tecniche riguardo all’accesso alla dichiarazione dei redditi precompilata da parte di interessati, Caf e soggetti autorizzati”. 
Grande attenzione è stata rivolta, poi, anche al sistema di banche dati pubbliche, tra cui quella dell’Anagrafe tributaria, stimolandone la messa in sicurezza.
Inoltre, “è proseguito l’impegno dell’Autorità sul fronte del telemarketing aggressivo intervenendo contro la prassi del cosiddetto “web scraping”, cioè la pratica di raccogliere in maniera automatica ed indiscriminata dati personali presenti in rete facendo girare appositi software alla ricerca di nomi, cognomi, indirizzi, numeri di telefono, mail per poi contattarli senza consenso”. 
Si è intervenuti contro l’invio senza acquisizione del necessario consenso dell’interessato di proposte commerciali attraverso indirizzi mail presenti sui social network.
In questo contesto, sono stati accertati rilevanti illeciti da parte di società di telefonia, sono state svolte ispezioni presso diversi call center e sono stati suggeriti al legislatore modifiche normative per rafforzare le garanzie dei cittadini.

Un po’ di cifre

Nel 2017 sono stati adottati 573 provvedimenti collegiali. L’Autorità ha fornito riscontro a circa 6.000 reclami e segnalazioni. Sono state effettuate 275 ispezioni.

Le sanzioni amministrative riscosse ammontano a circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016.

(Fonte Garante Privacy)

30 Lug 2018

Il Garante Privacy pubblica un vademecum su come difendere la propria privacy in vacanza. Informazioni su come utilizzare il proprio smartphone e tablet, social network e selfie in vacanza. Poche e semplici regole una vacanza a prova di privacy.

L’attenzione maggiore deve essere riservata ai minori e alle loro foto postate e condivise sui social.

9cab3966-1a69-aa8d-d729-6641937010b6.jpg

1. Sotto il sole estivo, non esporsi troppo con selfie e foto: protezione alta soprattutto per i minori. Non tutti vogliono apparire on line, essere riconosciuti o far sapere dove e con chi si trovano durante le ferie estive. Se si postano foto o video in cui compaiono altre persone, è sempre meglio prima accertarsi che queste siano d’accordo, specie se si inseriscono anche dei tag con nomi e cognomi. E’ abitudine diffusa condividere foto e video dei propri figli. E’ bene essere sempre consapevoli che le immagini dei minori pubblicate on line possono finire anche nelle mani di malintenzionati: meglio quindi evitare di “postarle”, oppure almeno utilizzare alcune accortezze, come rendere irriconoscibile il viso del minore (ad esempio, utilizzando progammi di grafica per “pixellare” i volti, semplici da usare e disponibili anche gratuitamente online, o posizionando semplicemente sopra una “faccina” emoticon), oppure limitare le impostazioni di visibilità delle immagini solo alle persone fidate.

2. Geolocalizzati anche in ferie? Per gli amanti della riservatezza che non vogliono far sapere dove sono durante le vacanze estive, il suggerimento è disattivare le opzioni di geolocalizzazione di smartphone e tablet (se non indispensabili per specifici servizi), oltre a quelle dei social network utilizzati.

3. I “social-ladri” non vanno in vacanza. Postando sui social network informazioni sulle vacanze si potrebbe far sapere ad eventuali malintenzionati che la propria casa è vuota.

4. Non “abbandonare” la tua casa. Se sono presenti in casa prodotti e sistemi domotici, è importante ricordare che questi utili dispositivi – al pari di tutte le tecnologie connesse online – possono essere esposti ad attacchi informatici, virus e malware. Laddove possibile, è quindi bene assicurarsi che siano protetti, ad esempio impostando password sicure e aggiornando costantemente il software per garantire una maggiore protezione.

5. Metti anche la privacy in valigia. Anche in vacanza, è bene controllare le impostazioni privacy dei social network utilizzati, limitando magari la visibilità e la condivisione dei post ai soli amici. Altra buona regola è fare attenzione a non accettare sconosciuti nella cerchia di amicizie on line.

6. Attenzione ai “pacchi”. E´ bene fare attenzione a eventuali messaggi che contengono offerte straordinarie riguardo viaggi e affitti di case per le vacanze da ottenere,  ad esempio, cliccando su link che richiedono dati personali o bancari. Virus informatici, software spia, ransomware phishing possono essere in agguato.

7. App-prova di estate. In vacanza molti utenti di smartphone e tablet scaricano film, app per giochi, suggerimenti turistici, ecc.. Questi prodotti possono anche nascondere virus o malware (cioè,  software pericolosi). Per proteggersi, buone regole sono: scaricare le app dai market ufficiali; leggere con attenzione le descrizioni delle app (se, ad esempio, nei testi sono presenti errori e imprecisioni, c’è da sospettare).

8. Per chi non può proprio vivere senza wi-fi. Se si usano le connessioni offerte da bar, ristoranti, stabilimenti balneari e hotel e non si è certi degli standard di sicurezza impostati per proteggere il wi-fi da virus e rischi di intrusione, meglio adottare alcune accortezze, come evitare di accedere a servizi online che richiedono credenziali di accesso (ad esempio, alla propria webmail, ai social network, ecc.), fare acquisti on line con la carta di credito oppure utilizzare il conto bancario on line.

9. Scegliere una protezione alta per non rimanere “scottati”. Aggiornamenti software costanti e programmi antivirus, magari dotati anche di anti-spyware e anti-spam, possono essere buone precauzioni per evitare furti di dati o violazioni della privacy.

10. Smartphone e tablet pronti a “partire”. Durante le vacanze, può purtroppo accadere che smartphone e tablet siano smarriti o vengano rubati: è quindi bene seguire alcune accortezze. In generale, è opportuno non conservare dati troppo personali sui device (ad esempio, password o codici bancari) e prendere altre piccole precauzioni, come quella di evitare che i browser e le app memorizzino le credenziali di accesso a siti e servizi (ad esempio, posta elettronica, social network, e-banking).

11. Per navigare tranquilli nel mare dei messaggi. Nel periodo estivo si utilizzano molto sms, chat e sistemi di messaggistica. Alcuni messaggi potrebbero però contenere virus, malware o esporre al rischio di spam. E´ quindi sempre bene fare molta attenzione prima di scaricare programmi, aprire eventuali allegati o cliccare su link che possono essere contenuti nel testo o nelle immagini presenti all´interno dei messaggi ricevuti.

12. Per chi porta il drone in vacanza. Se si fa volare a fini ricreativi un drone munito di fotocamera su una spiaggia o in un altro abituale luogo di vacanza, è meglio evitare di invadere gli spazi personali e l’intimità delle persone. La diffusione di riprese realizzate con il drone (sul web, sui social media, in chat) può avvenire solo con il consenso dei soggetti ripresi, fatti salvi particolari usi connessi alla libera manifestazione del pensiero, come quelli a fini giornalistici.

13. Non lasciare a casa il buon senso. La miglior difesa anche nel periodo delle vacanze è usare con consapevolezza e attenzione le nuove tecnologie e gestire con accortezza i nostri dati personali, ricordando semplici regole che tutti possono mettere in campo.

(Fonte Garante Privacy)

7 Lug 2018

L’Autorità Garante della Protezione dei Dati ha pubblicato una scheda di sintesi per le aziende e gli enti.

Ecco i punti principali

Valutazione d’Impatto

Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.

Il Registro dei trattamenti

Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere. I contenuti minimi sono indicati all’art. 30 del Regolamento. Deve avere forma scritta, anche elettronica, e va esibito su richiesta al Garante.

Sicurezza dei dati

Il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

Il Responsabile della Protezione dei Dati (DPO)

La designazione (in vari casi obbligatoria) di un RPD riflette l´approccio responsabilizzante del Regolamento. Fra i suoi compiti rientrano la sensibilizzazione e formazione del personale, la sorveglianza sullo svolgimento della valutazione di impatto, la funzione di punto di contatto per gli interessati e per il Garante per ogni questione attinente l’applicazione del Regolamento.

 

Regolamento UE 2016 679. Una sintesi per aziende ed enti

30 Apr 2018

Via libera del Garante privacy  a un sistema di geolocalizzazione satellitare dei veicoli della polizia municipale  che opera  nei territori di alcuni comuni aderenti a una convenzione  per la gestione associata del servizio [doc. web n. 8576577].

Scopo della localizzazione sarà quello di garantire la sicurezza e l’incolumità del personale e di ottimizzare l’impiego di operatori e veicoli della polizia municipale. Il sistema, sottoposto al vaglio dell’Autorità, sarà utile anche a rilevazioni di tipo statistico  e di rendicontazione del servizio.

I dati, che appariranno in tempo reale su un monitor presso la centrale operativa, saranno visualizzabili esclusivamente dal responsabile del servizio o da un suo delegato per localizzare la posizione dei veicoli e, se necessario, identificare l’operatore al solo scopo di coordinare in modo più efficiente il servizio o gestire eventuali situazioni di criticità o emergenza.

I dati relativi al tempo di permanenza e ai chilometri percorsi in una determinata area saranno conservati per un periodo massimo di trenta giorni ai fini della rendicontazione. Le informazioni riferite ai dipendenti impiegati nel servizio, mai direttamente identificati e comunque non più identificabili a fine turno, “a fine giornata”, il Comune ha assicurato che il sistema prevede la rimozione delle tabelle di presa in carico dei veicoli, in modo da non permettere l’ulteriore identificabilità degli operatori, in relazione ai dati di localizzazione memorizzati:, non saranno utilizzate per finalità più strettamente legate alla gestione del rapporto di lavoro, quali la verifica della presenza in servizio, la commisurazione dell’orario di lavoro o per finalità disciplinari.

Il Garante, tenuto conto dalla particolare natura dell’attività di polizia locale e delle cautele proposte dal titolare a tutela degli interessati, ha ritenuto lecito, pertinente e non eccedente il trattamento dei dati personali mediante il sistema anche in considerazione del fatto che prima della sua installazione ciascun Comune aderente alla Convenzione acquisirà l’autorizzazione del Ministero del lavoro e delle politiche socialiDirezione territoriale del lavoro, in conformità alla disciplina in materia di controllo a distanza dei lavoratori.

Il Garante ha inoltre  previsto specifiche misure di sicurezza come la configurazione del sistema, in modo tale da consentire solo accessi autorizzati  tramite assegnazione di credenziali di autenticazione differenziate e limitando i profili autorizzati alla modifica e all’estrazione dei dati. Inoltre, il titolare dovrà fornire agli interessati:

un’informativa comprensiva di tutti gli elementi contenuti nell’articolo 13 del Codice  e a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice;

predisporre misure al fine di garantire agli interessati l’esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice;

effettuare la notificazione al Garante ai sensi degli articoli 37 e ss., qualora il trattamento abbia effettivamente inizio prima del 25 maggio 2018 (tenendo conto che tale adempimento non sarà più dovuto in data successiva al 25 maggio p.v.).

 

(Fonte Garante Privacy)

4 Apr 2018

Il Garante Privacy ha rilasciato apposite FAQ consultabili sul proprio sito istituzionale sul Responsabile della Protezione dei Dati (anche conosciuto con la dizione in lingua inglese data protection officer – DPO), figura prevista dall’art. 37 del Regolamento (UE) 2016/679.

Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Modello comunicazione al Garante dei dati dell’RPD

26 Gen 2018

 

Il Garante per la privacy si è espresso positivamente alla richiesta di verifica preliminare ad un sistema per il controllo dei consumi telefonici aziendali. La multinazionale che ha sottoposto il progetto al vaglio dell’Autorità dovrà però attenersi a  precise  misure a tutela della riservatezza dei lavoratori [7554790].

La multinazionale ha presentato “ha presentato una richiesta di verifica preliminare ai sensi dell’articolo 17 del Codice con riguardo al trattamento di dati personali dei propri dipendenti “cui sia stato assegnato un telefono aziendale”. Il trattamento avrebbe la finalità di “controllo delle fatture del provider del servizio telefonico” nonché di “analisi dell’andamento complessivo dei consumi in modo da valutare nel tempo l’adeguatezza del contratto con il provider […] con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio” nonché “rilevare eventuali situazioni anomale di consumi”. Il trattamento sarebbe effettuato mediante l’adozione di un sistema che consentirebbe di raccogliere ed elaborare i dati personali dei dipendenti ad opera della società inglese xx, specializzata nel settore, che la società istante si impegna a designare responsabile del trattamento ai sensi dell’articolo 29 del Codice (cfr. p. 2 nota 20.12.2016 e p. 2 nota 19.06.2017).”

Allo scopo esclusivo di ridurre i costi aziendali e valutare l’adeguatezza del contratto sottoscritto con il fornitore dei servizi telefonici, le società del gruppo potranno trattare, per effetto del bilanciamento di interessi riconosciuto dal Garante, alcune informazioni desunte dalla fatturazione bimestrale relative alle chiamate in uscita dei dipendenti assegnatari di una o più sim aziendali. In particolare, in conformità alla disciplina in materia di protezione di dati personali, il Garante ha prescritto che le informazioni sul traffico telefonico vengano trattate solo se necessarie, pertinenti e non eccedenti, o comunque se, in base alle condizioni contrattuali applicabili dal provider, comportino dei costi (ipotesi che non ricorre per le chiamate in entrata in  roaming senza specifici addebiti e in caso di tariffe flat).  Sui numeri delle chiamate in uscita e, nei casi consentiti, di quelle in entrata, sarà operato il mascheramento delle ultime quattro cifre. L’azienda specializzata che effettuerà  l’elaborazione di dati verrà designata quale responsabile del trattamento e dovrà restituire i risultati dell’analisi dei consumi a ciascuna società del gruppo solo per il personale di propria appartenenza.

In presenza di “consumi anomali“, la società provvederà a rilevarne le cause e, ove necessario, evidenzierà al proprio interno l’esigenza di contenere i costi aziendali, ma i dati non potranno essere trattati a fini disciplinari. In ogni caso, poiché il sistema è idoneo a realizzare un potenziale e indiretto controllo a distanza sull’attività dei dipendenti, dovrà comunque essere stipulato specifico accordo sindacale da parte di ciascuna società nel rispetto della disciplina di settore.

In base al Codice privacy, l’Autorità ha inoltre commisurato i tempi di conservazione dei dati entro un limite di sei mesi e non di un anno, come richiesto dalla società. La multinazionale dovrà  informare adeguatamente i dipendenti e adottare un  disciplinare interno per regolamentare le condizioni di uso delle sim in dotazione ai dipendenti.  È stato inoltre disposto che il file sul quale sono memorizzati i dati estratti dal portale del fornitore del servizio di comunicazione elettronica dovrà essere protetto mediante opportune tecniche di cifratura e che nell’ambito delle successive elaborazioni i dati dovranno essere anonimizzati mediante l’utilizzo di tecniche che non consentano la re-identificazione dell’interessato.

(Fonte Garante Privacy)

  • 1
  • 2