Archivio

Privacy

29 Nov 2020

L’Autorità per la protezione dei dati personali, dopo la pubblicazione del Vademecum sull’App, in cui detta dei suggerimenti su come utilizzare le APP, richiama l’attenzione sulla pubblicazione delle immagini e dei video on line.

Come tutelare la propria immagine on line? Alcune immagini potrebbero farci sentire in imbarazzo oppure far sentire in imbarazzo o non valer apparire altre persone.

Prima regola: prima di pubblicare verifica se vuoi effettivamente postare la foto o il video, perchè rimane online ed visibile a tutti

Seconda regola: chiedere alle altre persone il consenso ad essere taggati oppure ad apparire nella foto / video.

Terza regola: controlla chi può vedere le immagini sul tuo profilo.

Quarta regola: ricorda che le foto possono essere condivise, scariche e commentate

Quinta regola: imposta l’avviso per essere informato quando qualcuno collega il tuo nome con la tua immagine, così da rifiutare o accettare il tag

Sesta regola: verifica sempre quando scarichi le app, la richiesta di accesso alle “foto” o “video” sul tuo cellulare. Cerca sempre di capire lo scopo, perchè potrebbero essere diffuse.

Poche e semplici regole per essere connessi con la testa e in maniera consapevole.

(Fonte Garante Privacy)

17 Set 2020

L’European Data Protection Board (EDPB) ha pubblicato le Linee-guida sulla definizione di titolare del trattamento e responsabile del trattamento ai sensi del Regolamento Europeo 679/2016, che saranno
sottoposte a consultazione pubblica fino al 19 ottobre 2020.

Dopo l’entrata in vigore del Regolamento sono infatti stati sollevati vari interrogativi sulle nozioni di contitolarità, nonché sugli obblighi dei responsabili del trattamento.

Lo scopo principale di tali Linee guida è infatti quello di chiarire i diversi ruoli e la distribuzione di responsabilità di “titolare”, “contitolare” e “responsabile” del trattamento dei dati.

Nell’applicazione del GDPR il concetto di Titolare gioca un ruolo fondamentale, insieme a quello di Responsabile, per comprendere gli obblighi di conformità alle norme da rispettare e per comprendere chi sia il soggetto legalmente obbligato a evadere le richieste d’esercizio dei diritti degli interessati.

L’EDPB ha descritto quali debbano essere le caratteristiche specifiche che contraddistinguono i ruoli di Titolare, Responsabile e Contitolare nell’ambito del Regolamento.

Ad esempio la società di servizi IT, pur essendo una società separata ma fornisce servizi di assistenza sui sistemi IT, deve essere considerata responsabile esterno. E’ inevitabile che la società fornitrice di servizi abbia accesso sistematicamente ai dati personali durante lo svolgimento del servizio, sebbene l’accesso ai dati non sia l’oggetto principale del servizio.

Devono considerarsi responsabili esterni anche la società di servizi per la conservazione dei dati e il provider di servizi cloud.

(Fonte Garante Privacy)

 

Approfondimenti:

I soggetti privacy

Titolare o responsabile del trattamento? Attenzione ai bandi di gara nella PA

Titolare o Responsabile. Chiarimenti del Garante sul ruolo dei Consulenti del Lavoro

15 Set 2020

La Corte di Cassazione con l’ordinanza del 3 settembre 2020 n. 18292, ha chiarito che il Comune è responsabile per aver mantenuto la pubblicazione dei dati personali di un dipendente sull’albo pretorio, oltre il termine di quindici giorni, previsti dall’art. 124 del Tuel, non avendo osservato l’obbligo di adottare le cautele, organizzative e gestionali necessarie ad evitare l’illecito.
La pubblicazione delle notizie relative alla vita privata dell’impiegato, non può ritenersi legittimata dalle ragioni di trasparenza, come l’Ente aveva sostenuto a propria difesa.

Il caso

Il Garante della Protezione dei dati personali aveva irrogato al Comune in questione, la sanzione di 4000 euro, per la violazione dell’art. 19, c. 3 D.lgs 196/03 (Codice Privay), in quanto aveva diffuso dati personali di una dipendente comunale per un periodo superiore ai 15 giorni previsti dall’art. 124 del Tuel.

Il Tribunale ha rigettato il ricorso del Comune argomentando che l’ente aveva mantenuto visibili online, per oltre un anno, sul proprio albo pretorio, molti dati personali della dipendente, che aveva avviato un contenzioso contro l’Amministrazione. Le determinazioni dirigenziali contenevano non soltanto il nome e il cognome del dipendente ma anche informazioni personali tipo lo stato di famiglia e altre circostanze sulla vita privata

La motivazione

Il Comune è stato sanzionato non per la pubblicazione sul proprio sito delle determinazioni dirigenziali, ma per aver mantenuto la pubblicazione oltre 15 giorni, art. 124 del Tuel. Non poteva essere consentita la pubblicazione di elementi qualificanti la vita privata dell’impiegato, ma solo i dati strettamente necessari alle finalità dell’istituto.

Per questi comportamenti illeciti il responsabile è il comune, titolare del trattamento e non il legale rappresentante, in deroga al principio dell’imputabilità personale della sanzione amministrativa prevista dalla L. n. 689/1981. Tale responsabilità della persona giuridica è configurabile come “colpa di organizzazione”, da intendersi come un rimprovero per aver omesso di adottare le cautele, organizzative e gestionali, per prevenire l’illecito

Corte di Cassazione, Sez. II Civile, Ordinanza del 3 settembre 2020, n. 18292

8 Set 2020

Il Regolamento Europeo prevede una novità molto importante, l’obbligo a nominare il Responsabile della Protezione dei Dati (RPD) ovvero il Data Protection Officer (DPO).

Chi deve nominare il RPD/DPO?

Il RPD/DPO è un supervisore indipendente, il quale sarà designato obbligatoriamente, dalle pubbliche amministrazioni: “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

In campo privato, il RPD/DPO è obbligatorio se le attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala, per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure localizzazione tramite app.

È obbligatorio anche per le attività che consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati, esempio ospedali, assicurazioni e istituti di credito

Quali saranno i compiti del RPD/DPO?

L’art. 39 del GDPR elenca le attività a carico del RPD/DPO, prevedendo che questi svolga “almeno” i seguenti compiti:

  1. Informare e fornire consulenza al titolare o al responsabile del trattamento
  2. Sorvegliare l’osservanza del RGPD
  3. Fornire un parere sulla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento
  4. fungere da punto di contatto per l’autorità di controllo, per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Il RPD/DPO è un professionista, in possesso di un’adeguata competenza specialistica e un certo grado di esperienza sulla data protection.

Quali sono le garanzie che possono consentire al RPD/DPO di operare con indipendenza?

Vi sono numerose garanzie che possono consentire al RPD/DPO di operare in modo indipendente, come indicato al considerando 97 del regolamento:

  • non riceve istruzioni da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD/DPO;
  • non deve essere penalizzato o rimosso dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD/DPO;
  • non deve essere in conflitto di interessi con eventuali ulteriori compiti e funzioni.

Il RPD/DPO non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile. A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT).

14 Lug 2020

Continua l’attività di controllo del Garante per la protezione dei dati personali nei confronti degli operatori telefonici anche a seguito delle centinaia di segnalazioni e reclami che settimanalmente pervengono all’Autorità per lamentare casi di “marketing selvaggio”.

Il Garante della Privacy ha sanzionato un operatore telefonico per circa 17 milioni di euro per “numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali”, mentre un altro gestore telefonico, “che è stato trovato carente sotto altri profili, in particolare in merito alle modalità di accesso dei propri dipendenti ai dati di traffico”, è stato sanzionato per 800.000 euro.

Il nuovo provvedimento è stato adottato all’esito di una complessa attività istruttoria ed ispettiva. Gli utenti lamentavano la ricezione di contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate. In numerosi casi, inoltre i segnalanti dichiaravano di non esser stati messi in grado di poter esercitare il proprio diritto di revoca del consenso o di opposizione al trattamento dei loro dati per finalità di marketing (anche a causa di imprecisioni nell’indicazione dei canali di contatto presenti nell’informativa). In altri casi veniva lamentata la pubblicazione di dati personali negli elenchi telefonici pubblici nonostante l’opposizione (a volte reiterata) degli interessati.

Dall’istruttoria è inoltre emerso che le app  erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore.

Al di là di queste lacune “di sistema”, gli accertamenti del Garante hanno messo in luce diversi gravi illeciti nella filiera dei partner commerciali di Wind Tre, anche con impropria attivazione di contratti. Per queste violazioni, uno dei partner del gestore telefonico – che aveva sub affidato (peraltro senza alcun atto giuridico) intere fasi dei trattamenti a call-center che raccoglievano i dati illecitamente – è stato multato per 200mila euro dal Garante e si è visto imporre il divieto di utilizzare i dati raccolti e trattati da agenti presenti sul territorio nazionale (denominati “procacciatori”) in totale spregio delle norme in materia di protezione dati.

Le argomentazioni portate a propria difesa da Wind Tre e la serie di misure correttive implementate dalla società, anche riguardo alla centralizzazione delle campagne promozionali, non sono state ritenute adeguate dal Garante. Oltre a sanzionare la società telefonica per 16.729600 euro, l’Autorità ha vietato il trattamento dei dati acquisiti senza consenso e le ha ordinato di adottare misure tecniche e organizzative per un effettivo controllo della filiera dei partner, nonché procedure per rispettare la volontà degli utenti di non essere disturbati.

(Fonte Garante Privacy)

9 Lug 2020

Il Garante per la privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.

Il caso

La banca si avvale di una società terza per la gestione delle pratiche di finanziamento per la cessione del quinto dello stipendio.

Utilizzando le credenziali di accesso dei dipendenti autorizzati di questa terza parte, ignoti – profittando di una vulnerabilità dell’applicativo di gestione delle pratiche – effettuano accessi abusivi a quelle di oltre 760 mila clienti, relative a istanze di finanziamento sia per cessione del quinto sia per credito al consumo. Gli accessi abusivi avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).

Violazione delle misure minime di sicurezza

L’accertamento ispettivo e l’istruttoria evidenziano che l’esfiltrazione dei dati personali dei clienti da parte di ignoti malintenzionati era stata resa possibile grazie a «un’errata progettazione del sistema di autorizzazione dell’applicativo» di gestione delle pratiche di finanziamento. A causa di ciò, «gli operatori potevano accedere a una qualsiasi pratica di finanziamento (sia di “prestito al consumo” che di “cessione del quinto dello stipendio”) (…) indipendentemente dal profilo di autorizzazione a loro attribuito». In tal modo la banca si è resa responsabile della carente adozione di un adeguato sistema di autorizzazione come previsto dal disciplinare tecnico, allegato B) al codice privacy (regole 12 e 13).

Codice Privacy

L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.

Sanzione

Sulla base delle violazioni riscontrate, l’Autorità ha irrogato la sanzione pecuniaria complessiva di 600.000 euro calcolata come segue:

  • euro 120.000 per la violazione delle misure minime di sicurezza (art. 162.2, in relazione all’art. 33)
  • euro 180.000 per le trasgressioni relative al provvedimento 192/2011 [art. 162.2-ter, in relazione all’art. 154.1, lett. c)]
  • euro 300.000 in applicazione dell’art. 164-bis.2, considerato l’ingente numero di interessati coinvolti.

(Fonte Garante Privacy)

23 Giu 2020

Servizi sociali e scuola nell’emergenza COVID.
Sicurezza e trattamento dei dati.

Evento organizzato dall’Associazione Comuni Bresciani

Data: 22 luglio 2020

Ora: 10.00 – 12.00

Le iscrizioni vanno formalizzate entro il 15/07/20 tramite il portale: www.associazionecomunibresciani.eu/elenco-corsi/

Relatore:
Mario Mazzeo, Avvocato in Roma e D.P.O.
Patrizia Meo, consulente privacy e D.P.O.

Live webinar: contenuti del corso

  • Privacy: concetti e principi fondamentali
  • La privacy al tempo del Covid: le semplificazioni in materia di trattamento dati personali
  • Servizi sociali e privacy: contattare e aiutare gli utenti, le cautele nel trattamento dei dati relativi alla salute e le sovvenzioni economiche
  • La privacy a scuola: Covid, lezioni a distanza e sicurezza

1 Giu 2020

Attacco hacker all’ospedale “San Raffaele” di Milano, nonostante i tentativi dell’ospedale di minimizzare l’accaduto.

L’accaduto è stato divulgato attraverso un tweet degli hacker di LulzSec Ita, che  ha apportato anche prove dell’accaduto, con un dump dei dati di utenti e pazienti dell’ospedale. La domanda fatta da parte del collettivo hacker: “avete comunicato al Garante il databreach di due mesi fa?”.

I dump rivelati da Anonymous Italia e LulzSec Ita, però, sembrerebbero contenere non soltanto indirizzi e-mail e password di alcuni operatori sanitari, 2.400 indirizzi email accompagnati dalle relative password appartenenti ai sanitari e un elenco di nomi, cognomi, date di nascita, codice fiscale, nazionalità e comune di residenza di oltre 600 pazienti. Tra queste la password di Roberto Burioni: è nome.cognome.

Purtroppo, l’ospedale non ha comunicato all’Autorità Garante Privacy l’accaduto, né secondo gli hacker avrebbe chiuso le falle. Tanto che l’ospedale stesso nega di dover intervenire e che sia un data breach. In primo momento, avevano comunicato che i dati riguardavano una app “dismessa da anni e circoscritta” e dunque la sottrazione delle informazioni era limitata a password e utenze non più in uso. La stessa nota ufficiale aveva categoricamente escluso che “dati sensibili” erano stati oggetto di accesso abusivo o sottrazione.

(Fonte La Repubblica)

23 Mag 2020

1. Misurazione della temperatura, test sierologici

2. Smartworking: essere smart al tempo del Covid19

Evento organizzato dall’Associazione Comuni Bresciani

Ora: 15.00 – 16.00

Le iscrizioni vanno formalizzate tramite il portale: www.associazionecomunibresciani.eu/elenco-corsi/

Relatore:
Patrizia Meo, consulente privacy e D.P.O.

Live webinar: contenuti degli incontri

Lunedì 25 maggio 2020
Misurazione della temperatura, test sierologici e App, cosa fare in pratica.
La tutela dei dati e l’emergenza Covid
Le indicazione del Garante Privacy

 

Mercoledì 3 giugno 2020
Smartworking: essere smart al tempo del Covid19.
Cos’è lo smarworking;
Tutela della privacy e controllo del dipendente;
Le misure di sicurezza e utilizzo degli strumenti per l’esecuzione della prestazione lavorativa;
Linee guida Agid per lavorare in sicurezza.

17 Mag 2020

Il 12 maggio, il Garante per la protezione dei dati personali, su sollecitazione dell’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001, ha espresso il suo parere sulla qualificazione soggettiva ai fini privacy degli OdV, definendo una questione controversa.

Gli OdV sono gli organi ai quali l’ente, ossia la persona giuridica, la società o l’associazione affida, nel rispetto della disciplina sulla responsabilità amministrativa prevista dal decreto legislativo n. 231/2001, il compito di vigilare sull’osservanza dei modelli di organizzazione e di gestione adottati, allo scopo di prevenire i reati commessi nell’interesse o a vantaggio dell’ente, dai vertici dello stesso o da persone a questi sottoposti.

Nella risposta ad una richiesta di parere presentata da un’associazione rappresentativa dei componenti degli Organismi di Vigilanza, il Garante ha infatti chiarito che il Gdpr (Regolamento Ue 679/2016) si pone in linea di continuità con quanto già previsto dalla Direttiva europea sulla privacy del 1995 in relazione alla definizione del ruolo di titolare e responsabile del trattamento: il primo è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo è colui che “tratta dati personali per conto del titolare del trattamento”.

Il parere chiarisce che l’Organismo di Vigilanza (ODV) non può essere qualificato come titolare, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza. Non può essere considereto neanche responsabile del trattamento,in quanto fa parte dello stesso ente, pertanto può essere considerato soggetto chiamato ad effettuare un trattamento “per conto del titolare”.

Sulla base di questa considerazioni, sia che i membri siano interni o esterni, l’ODV deve essere considerato parte dell’ente.

Il suo ruolo – che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” – si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.

In merito al ruolo dei singoli membri che lo compongono, gli stessi saranno designati quali soggetti autorizzati al trattamento e dovranno attenersi alle istruzioni impartite dall’ente quale titolare, (artt.4, n.10,29,32 par.4Regolamento; v. anche art.2-quaterdecies del Codice).

Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art.5 del Regolamento. Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.

(Fonte Garante Privacy)