29 Nov 2020

L’Autorità per la protezione dei dati personali, dopo la pubblicazione del Vademecum sull’App, in cui detta dei suggerimenti su come utilizzare le APP, richiama l’attenzione sulla pubblicazione delle immagini e dei video on line.

Come tutelare la propria immagine on line? Alcune immagini potrebbero farci sentire in imbarazzo oppure far sentire in imbarazzo o non valer apparire altre persone.

Prima regola: prima di pubblicare verifica se vuoi effettivamente postare la foto o il video, perchè rimane online ed visibile a tutti

Seconda regola: chiedere alle altre persone il consenso ad essere taggati oppure ad apparire nella foto / video.

Terza regola: controlla chi può vedere le immagini sul tuo profilo.

Quarta regola: ricorda che le foto possono essere condivise, scariche e commentate

Quinta regola: imposta l’avviso per essere informato quando qualcuno collega il tuo nome con la tua immagine, così da rifiutare o accettare il tag

Sesta regola: verifica sempre quando scarichi le app, la richiesta di accesso alle “foto” o “video” sul tuo cellulare. Cerca sempre di capire lo scopo, perchè potrebbero essere diffuse.

Poche e semplici regole per essere connessi con la testa e in maniera consapevole.

(Fonte Garante Privacy)

14 Nov 2020

In contratto di fornitura di servizi di telecomunicazione contenente una clausola secondo cui il cliente ha acconsentito alla raccolta e alla conservazione del suo documento di identità non può dimostrare che egli ha validamente prestato il suo consenso qualora la relativa casella sia stata selezionata dal responsabile del trattamento prima della sottoscrizione del contratto.

La decisione

La Corte di Giustizia Ue con una sentenza nella causa C-61/19, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Tribunalul Bucureşti (Tribunale superiore di Bucarest, Romania), con decisione del 14 novembre 2018, pervenuta in cancelleria il 29 gennaio 2019, nel procedimento Orange România SA contro il Garante per la privacy rumeno (ANSPDCP), ha stabilito che se casella della clausola per l’autorizzazione è stata preselezionata, non si può dimostrare che il cliente abbia implicitamente prestato il suo consenso al contratto.

Il Caso

Il caso riguardava la società di servizi di telefonia mobile Orange Romania, alla quale la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal in data 28 marzo 2018 aveva inflitto una sanzione dell’importo di 10.000 lei (corrispondente a circa 2.000 euro) per aver raccolto e conservato i dati dei clienti, senza un loro consenso esplicito.

La Corte UE ha chiarito che il consenso al trattamento dei dati del consumatore, deve essere sempre espresso mediante un atto positivo inequivocabile come manifestazione di volontà libera, specifica ed informata, e non è dimostrabile neanche nel caso in cui sia indotto per errore a ritenere che, senza acconsentire, non sia possibile stipulare il contratto.

Nella sentenza si legge, inoltre, che: nell’ipotesi di rifiuto da parte di un cliente ad acconsentire al trattamento dei propri dati, la Corte osserva che l’Orange România esigeva che questi dichiarasse per iscritto di non acconsentire né alla raccolta né alla conservazione della copia del suo documento di identità. Per la Corte, un tale requisito supplementare è idoneo a incidere indebitamente sulla libera scelta di opporsi a questa raccolta e a questa conservazione. In ogni caso, poiché detta società è tenuta a dimostrare che i propri clienti, con un comportamento attivo, hanno manifestato il loro consenso al trattamento dei loro dati personali, essa non può pretendere da loro che manifestino il loro rifiuto attivamente.

Il consenso

Ai sensi dell‘art. 7 del Regolamento UE 679/2016: Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Ancora il Considerando 32 prevede: Il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto.

In conclusione: il consenso espresso mediante una casella di spunta preselezionata non implica un comportamento attivo da parte dell’utente di un sito Internet.

Fonte (Corte di Giustizia Europea)

9 Nov 2020

Prima di installare una app, cerca di capire quanti e quali dati verranno raccolti e come verranno utilizzati.

Ecco alcuni suggerimenti del Garante per la protezione dei dati personali.

Leggi l’informativa

– chi tratterà i tuoi dati personali e con quali finalità;

– per quanto tempo verranno conservati i dati personali che ti riguardano;

– sei tuoi dati potranno essere condivisi con terze parti per finalità commerciali o di altro tipo

Evita di:

– memorizzare nella app i dati delle credenziali di accesso (username, password, PIN) di carte di credito e sistemi di pagamento.”

Rubrica e Immagini

– Valuta sempre con attenzione se consentire l’accesso a determinate informazioni e funzionalità.

– Verifica che siano spiegati in modo chiaro dal fornitore della app tutti i possibili utilizzi delle tue immagini

Foto e video

Verifica che le persone riprese siano d’accordo a diffondere online la propria immagine ed eventuali informazioni sulla loro vita privata

Geolocalizzazione

Le app possono individuare e condividere con terzi la tua posizione e i tuoi spostamenti nel tempo, ad esempio utilizzando alcune funzioni del tuo smartphone

Minori

– Imposta un profilo ad uso limitato

– Non disattivare mai i controlli di sicurezza previsti dal tuo dispositivo

– Leggi con attenzione le descrizioni delle app che intendi installare

(Fonte Garante Privacy)

17 Set 2020

L’European Data Protection Board (EDPB) ha pubblicato le Linee-guida sulla definizione di titolare del trattamento e responsabile del trattamento ai sensi del Regolamento Europeo 679/2016, che saranno
sottoposte a consultazione pubblica fino al 19 ottobre 2020.

Dopo l’entrata in vigore del Regolamento sono infatti stati sollevati vari interrogativi sulle nozioni di contitolarità, nonché sugli obblighi dei responsabili del trattamento.

Lo scopo principale di tali Linee guida è infatti quello di chiarire i diversi ruoli e la distribuzione di responsabilità di “titolare”, “contitolare” e “responsabile” del trattamento dei dati.

Nell’applicazione del GDPR il concetto di Titolare gioca un ruolo fondamentale, insieme a quello di Responsabile, per comprendere gli obblighi di conformità alle norme da rispettare e per comprendere chi sia il soggetto legalmente obbligato a evadere le richieste d’esercizio dei diritti degli interessati.

L’EDPB ha descritto quali debbano essere le caratteristiche specifiche che contraddistinguono i ruoli di Titolare, Responsabile e Contitolare nell’ambito del Regolamento.

Ad esempio la società di servizi IT, pur essendo una società separata ma fornisce servizi di assistenza sui sistemi IT, deve essere considerata responsabile esterno. E’ inevitabile che la società fornitrice di servizi abbia accesso sistematicamente ai dati personali durante lo svolgimento del servizio, sebbene l’accesso ai dati non sia l’oggetto principale del servizio.

Devono considerarsi responsabili esterni anche la società di servizi per la conservazione dei dati e il provider di servizi cloud.

(Fonte Garante Privacy)

 

Approfondimenti:

I soggetti privacy

Titolare o responsabile del trattamento? Attenzione ai bandi di gara nella PA

Titolare o Responsabile. Chiarimenti del Garante sul ruolo dei Consulenti del Lavoro

15 Set 2020

La Corte di Cassazione con l’ordinanza del 3 settembre 2020 n. 18292, ha chiarito che il Comune è responsabile per aver mantenuto la pubblicazione dei dati personali di un dipendente sull’albo pretorio, oltre il termine di quindici giorni, previsti dall’art. 124 del Tuel, non avendo osservato l’obbligo di adottare le cautele, organizzative e gestionali necessarie ad evitare l’illecito.
La pubblicazione delle notizie relative alla vita privata dell’impiegato, non può ritenersi legittimata dalle ragioni di trasparenza, come l’Ente aveva sostenuto a propria difesa.

Il caso

Il Garante della Protezione dei dati personali aveva irrogato al Comune in questione, la sanzione di 4000 euro, per la violazione dell’art. 19, c. 3 D.lgs 196/03 (Codice Privay), in quanto aveva diffuso dati personali di una dipendente comunale per un periodo superiore ai 15 giorni previsti dall’art. 124 del Tuel.

Il Tribunale ha rigettato il ricorso del Comune argomentando che l’ente aveva mantenuto visibili online, per oltre un anno, sul proprio albo pretorio, molti dati personali della dipendente, che aveva avviato un contenzioso contro l’Amministrazione. Le determinazioni dirigenziali contenevano non soltanto il nome e il cognome del dipendente ma anche informazioni personali tipo lo stato di famiglia e altre circostanze sulla vita privata

La motivazione

Il Comune è stato sanzionato non per la pubblicazione sul proprio sito delle determinazioni dirigenziali, ma per aver mantenuto la pubblicazione oltre 15 giorni, art. 124 del Tuel. Non poteva essere consentita la pubblicazione di elementi qualificanti la vita privata dell’impiegato, ma solo i dati strettamente necessari alle finalità dell’istituto.

Per questi comportamenti illeciti il responsabile è il comune, titolare del trattamento e non il legale rappresentante, in deroga al principio dell’imputabilità personale della sanzione amministrativa prevista dalla L. n. 689/1981. Tale responsabilità della persona giuridica è configurabile come “colpa di organizzazione”, da intendersi come un rimprovero per aver omesso di adottare le cautele, organizzative e gestionali, per prevenire l’illecito

Corte di Cassazione, Sez. II Civile, Ordinanza del 3 settembre 2020, n. 18292

8 Set 2020

Il Regolamento Europeo prevede una novità molto importante, l’obbligo a nominare il Responsabile della Protezione dei Dati (RPD) ovvero il Data Protection Officer (DPO).

Chi deve nominare il RPD/DPO?

Il RPD/DPO è un supervisore indipendente, il quale sarà designato obbligatoriamente, dalle pubbliche amministrazioni: “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

In campo privato, il RPD/DPO è obbligatorio se le attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala, per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure localizzazione tramite app.

È obbligatorio anche per le attività che consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati, esempio ospedali, assicurazioni e istituti di credito

Quali saranno i compiti del RPD/DPO?

L’art. 39 del GDPR elenca le attività a carico del RPD/DPO, prevedendo che questi svolga “almeno” i seguenti compiti:

  1. Informare e fornire consulenza al titolare o al responsabile del trattamento
  2. Sorvegliare l’osservanza del RGPD
  3. Fornire un parere sulla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento
  4. fungere da punto di contatto per l’autorità di controllo, per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Il RPD/DPO è un professionista, in possesso di un’adeguata competenza specialistica e un certo grado di esperienza sulla data protection.

Quali sono le garanzie che possono consentire al RPD/DPO di operare con indipendenza?

Vi sono numerose garanzie che possono consentire al RPD/DPO di operare in modo indipendente, come indicato al considerando 97 del regolamento:

  • non riceve istruzioni da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD/DPO;
  • non deve essere penalizzato o rimosso dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD/DPO;
  • non deve essere in conflitto di interessi con eventuali ulteriori compiti e funzioni.

Il RPD/DPO non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile. A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT).

8 Ago 2020

Gli enti locali devono valutare con particolare attenzione se, in base alla normativa, possono rendere pubblici i dati personali, spesso anche particolarmente riservati, contenuti in delibere e in altri documenti. Lo ha ribadito il Garante per privacy in alcuni provvedimenti sanzionatori adottati il 2 luglio 2020 nei confronti di una Regione, di due Comuni e di un’Unione di Comuni.

Il primo provvedimento riguarda una Regione che aveva pubblicato sul proprio sito un documento riguardante l’esecuzione di una sentenza civile relativa a un debito maturato dall’ente.

che all’url http://…, era visualizzabile e liberamente scaricabile il documento intitolato «XX» del XX, a firma del Responsabile del XX, contenente dati personali dei segnalanti (nominativo e residenza), relativi a un debito maturato dalla Regione nei loro confronti in esecuzione di una sentenza esecutiva con specificazione dell’ammontare.

Alle proteste dei segnalanti, l’amministrazione aveva risposto giustificando la pubblicazione online sulla base di alcune disposizioni di natura contabile.

Nel caso specifico, però, il Garante ha ricordato che i dati personali contenuti in quei documenti potevano essere giustamente usati per controlli della magistratura contabile sui debiti fuori bilancio, ma che le norme citate non prevedevano la diffusione di quei dati.

Per tali motivi, in relazione alla condotta tenuta, le argomentazioni riportate dalla Regione xxx non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione, in quanto la pubblicazione sul sito web istituzionale dei dati personali dei segnalanti sopra descritti è avvenuta e in maniera non conforme al principio di minimizzazione dei dati e in assenza di idonei presupposti normativi, in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 19 comma 3 del Codice (vigente all’epoca dei fatti e il cui contenuti è ora riprodotto nei medesimi termini nel nuovo art. 2-ter, commi 1 e 3, del Codice).

Tenendo conto della collaborazione da parte dell’amministrazione che “si è subito attivata per oscurare i dati personali oggetto della segnalazione una volta ricevuta la richiesta d’informazioni del Garante, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere, stante anche quanto affermato dalla Regione, appare di natura colposa – attenuandone i possibili effetti negativi”, il Garante ha comminato alla Regione una sanzione pecuniaria di 4.000 euro.

L’Autorità ha accolto anche il reclamo nei confronti di due enti locali, un Comune e l’Unione Comunale a cui esso appartiene, che avevano pubblicato sui rispettivi siti web, nella sezione amministrazione trasparente o nell’albo online, atti amministrativi riferibili al reclamante, diffondendo anche dati personali relativi a condanne penali e a reati. Nel corso dell’istruttoria, le due amministrazioni hanno sostenuto che la pubblicazione fosse obbligatoria ai sensi della normativa sulla trasparenza e sulla pubblicità legale degli atti e che, in ogni caso, la persona interessata fosse difficilmente identificabile, in quanto negli atti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome. Una delle due amministrazioni, tra l’altro, aveva affermato che la pubblicazione era stata avallata anche dal Responsabile per la protezione dei dati (Rpd/Dpo) dell’ente.

Il Garante ha però rilevato che le normative citate non consentivano la diffusione di quei dati personali, tra cui quelli relativi a condanne penali e reati. L’interessato, inoltre, poteva facilmente essere identificato dai colleghi, da conoscenti e da numerosi altri soggetti in ambito locale. Il Comune e l’Unione di Comuni hanno ricevuto due sanzioni pecuniarie rispettivamente di 4.000 e 6.000 euro.

L’ultimo provvedimento riguarda, invece, un Comune che aveva inviato per posta elettronica, ad alcune testate locali, un “decreto di citazione” con i dati, riferibili anche a vicende penali e a misure di sicurezza e prevenzione, di cinque persone, tra cui tre testimoni citati a comparire. L’ente locale aveva giustificato la trasmissione del documento ai giornalisti con il fine di tutelare la propria immagine ed esercitare il legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa. Anche in questo caso, però, il Garante ha rilevato che la comunicazione di tali dati non fosse giustificata dalla presunta “esecuzione di un compito connesso all’esercizio di pubblici poteri” o da un’altra base normativa, come quella sulla trasparenza. Al Comune è quindi stata comminata una sanzione di 2.000 euro.

(Fonte Garante Privacy)

 

14 Lug 2020

Continua l’attività di controllo del Garante per la protezione dei dati personali nei confronti degli operatori telefonici anche a seguito delle centinaia di segnalazioni e reclami che settimanalmente pervengono all’Autorità per lamentare casi di “marketing selvaggio”.

Il Garante della Privacy ha sanzionato un operatore telefonico per circa 17 milioni di euro per “numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali”, mentre un altro gestore telefonico, “che è stato trovato carente sotto altri profili, in particolare in merito alle modalità di accesso dei propri dipendenti ai dati di traffico”, è stato sanzionato per 800.000 euro.

Il nuovo provvedimento è stato adottato all’esito di una complessa attività istruttoria ed ispettiva. Gli utenti lamentavano la ricezione di contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate. In numerosi casi, inoltre i segnalanti dichiaravano di non esser stati messi in grado di poter esercitare il proprio diritto di revoca del consenso o di opposizione al trattamento dei loro dati per finalità di marketing (anche a causa di imprecisioni nell’indicazione dei canali di contatto presenti nell’informativa). In altri casi veniva lamentata la pubblicazione di dati personali negli elenchi telefonici pubblici nonostante l’opposizione (a volte reiterata) degli interessati.

Dall’istruttoria è inoltre emerso che le app  erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore.

Al di là di queste lacune “di sistema”, gli accertamenti del Garante hanno messo in luce diversi gravi illeciti nella filiera dei partner commerciali di Wind Tre, anche con impropria attivazione di contratti. Per queste violazioni, uno dei partner del gestore telefonico – che aveva sub affidato (peraltro senza alcun atto giuridico) intere fasi dei trattamenti a call-center che raccoglievano i dati illecitamente – è stato multato per 200mila euro dal Garante e si è visto imporre il divieto di utilizzare i dati raccolti e trattati da agenti presenti sul territorio nazionale (denominati “procacciatori”) in totale spregio delle norme in materia di protezione dati.

Le argomentazioni portate a propria difesa da Wind Tre e la serie di misure correttive implementate dalla società, anche riguardo alla centralizzazione delle campagne promozionali, non sono state ritenute adeguate dal Garante. Oltre a sanzionare la società telefonica per 16.729600 euro, l’Autorità ha vietato il trattamento dei dati acquisiti senza consenso e le ha ordinato di adottare misure tecniche e organizzative per un effettivo controllo della filiera dei partner, nonché procedure per rispettare la volontà degli utenti di non essere disturbati.

(Fonte Garante Privacy)

9 Lug 2020

Il Garante per la privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.

Il caso

La banca si avvale di una società terza per la gestione delle pratiche di finanziamento per la cessione del quinto dello stipendio.

Utilizzando le credenziali di accesso dei dipendenti autorizzati di questa terza parte, ignoti – profittando di una vulnerabilità dell’applicativo di gestione delle pratiche – effettuano accessi abusivi a quelle di oltre 760 mila clienti, relative a istanze di finanziamento sia per cessione del quinto sia per credito al consumo. Gli accessi abusivi avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).

Violazione delle misure minime di sicurezza

L’accertamento ispettivo e l’istruttoria evidenziano che l’esfiltrazione dei dati personali dei clienti da parte di ignoti malintenzionati era stata resa possibile grazie a «un’errata progettazione del sistema di autorizzazione dell’applicativo» di gestione delle pratiche di finanziamento. A causa di ciò, «gli operatori potevano accedere a una qualsiasi pratica di finanziamento (sia di “prestito al consumo” che di “cessione del quinto dello stipendio”) (…) indipendentemente dal profilo di autorizzazione a loro attribuito». In tal modo la banca si è resa responsabile della carente adozione di un adeguato sistema di autorizzazione come previsto dal disciplinare tecnico, allegato B) al codice privacy (regole 12 e 13).

Codice Privacy

L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.

Sanzione

Sulla base delle violazioni riscontrate, l’Autorità ha irrogato la sanzione pecuniaria complessiva di 600.000 euro calcolata come segue:

  • euro 120.000 per la violazione delle misure minime di sicurezza (art. 162.2, in relazione all’art. 33)
  • euro 180.000 per le trasgressioni relative al provvedimento 192/2011 [art. 162.2-ter, in relazione all’art. 154.1, lett. c)]
  • euro 300.000 in applicazione dell’art. 164-bis.2, considerato l’ingente numero di interessati coinvolti.

(Fonte Garante Privacy)

8 Lug 2020

L’Autorità Garante Privacy, interviene aggiornando le FAQ Covid 19, sull’uso di app di contact tracing e dispositivi in ambito aziendale.

In merito al “contact tracing“, l’Autorità fa presente che l’app dovrà essere disciplinata dall’art. 6, d.l. 30.4.2020, n. 28 (Sistema di allerta Covid-19).

Sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?

La funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28.

Secondo punto delle FAQ. Applicativi utilizzati in azienda che non trattano dati.

Gli applicativi, per esempio, utilizzati per la misurazione della temperatura o che consentono l’accesso in azienda a persone con la mascherina, possono essere utilizzate senza registrazione dei dati. In questo caso, il titolare del trattamento, dovrà dimostrare, secondo il principio dell’accountability, il rispetto delle misure adottate e perchè l’applicativo sia necessario per certe finalità.

Al fine di contenere il rischio di contagio sul luogo di lavoro sono disponibili applicativi che non trattano dati personali?

Sì, il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Ciò nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (es. attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.

Si pensi alle applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; oppure alle funzioni di taluni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione). Si pensi, altresì, ad applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione). In questi casi spetta comunque al titolare verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi o di falsi positivi o negativi.

⏺ Esempio. Dispositivi che emettono la vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita. Tale dispositivo non dovrà tracciare chi indossa il dispositivo e non dovrà registrare alcuna informazione.
⏺ Esempio. Applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina. Anche questi dispositivi non dovranno registrare alcuna immagine o altra informazione. Si pensi ai termoscanner, integrati con i badge di timbratura o riconoscimento facciale.

(Fonte Garante Privacy)

Per ulteriori approfondimenti inviate una mail a: info@patriziameo.it