Tag Archives: Garante Privacy

4 Mag 2020

FAQ -Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria

1. Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

Nell’attuale situazione legata all’emergenza epidemiologica, si sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e  conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020.

In particolare, il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).

Analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020.

In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

2. L’amministrazione o l’impresa possono richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?

In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati.

Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).

In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

3. È possibile pubblicare sul sito istituzionale i contatti dei funzionari competenti per consentire al pubblico di prenotare servizi, prestazioni o appuntamenti presso le amministrazioni nella attuale emergenza epidemiologica?

Le disposizioni normative per il contenimento e la gestione dell’emergenza epidemiologica e le indicazioni operative fornite dalle istituzioni competenti impongono di limitare la presenza del personale negli uffici mediante, prevalentemente, il ricorso al lavoro agile. Con riguardo ai compiti che richiedono la necessaria presenza sul luogo di lavoro, è previsto che le amministrazioni svolgano le attività strettamente funzionali alla gestione dell’emergenza e quelle “indifferibili”, anche con riguardo “all’utenza esterna”. Pertanto, le attività di ricevimento o di erogazione diretta dei servizi al pubblico devono essere garantite con modalità telematica o comunque con modalità tali da escludere o limitare la presenza fisica negli uffici (ad es. appuntamento telefonico o assistenza virtuale), ovvero, predisponendo accessi scaglionati, anche mediante prenotazioni di appuntamenti.

Nel rispetto dei principi di protezione dei dati (art. 5 Regolamento UE 2016/679) la finalità di fornire agli utenti recapiti utili a cui rivolgersi per assistenza o per essere ricevuti presso gli uffici, può essere utilmente perseguita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici. Ciò, anche in conformità agli obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni.

4. Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.

Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020)(1).

Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo).

Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.

In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

5. Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?

I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.

In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.

Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.

Il Rappresentante dei lavoratori per la sicurezza,  proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).

Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.

6. Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?

No. In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).

La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).

Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).

7. Il datore di lavoro può trattare i dati personali del dipendente affetto da Covid-19 o che ne presenta i sintomi?

Sebbene, di regola, i dati personali relativi alle specifiche patologie di cui sono affetti i lavoratori possano essere trattati solo da professionisti sanitari (es. medici di base, specialisti, medico competente) e non anche dal datore di lavoro, quest’ultimo, in taluni casi, nel contesto dell’attuale emergenza epidemiologica, può lecitamente venire a conoscenza dell’identità del dipendente affetto da Covid-19 o che presenta sintomi compatibili con il virus.

Ciò, in particolare, può verificarsi quando ne venga informato direttamente dal dipendente, sul quale grava l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Coerentemente il Protocollo condiviso tra il Governo e Parti sociali aggiornato il 24 aprile 2020, la cui osservanza è prescritta dalla normativa dell’emergenza, prevede specifici obblighi informativi del lavoratore in favore del datore di lavoro laddove sussistano condizioni di pericolo, come i sintomi influenzali (si vedano anche gli analoghi protocolli stilati in ambito pubblico e quelli relativi a specifici settori, quali cantieri, trasporti e logistica); ciò anche quando tali sintomi si manifestino all’ingresso della sede di lavoro o durante la prestazione lavorativa (cfr. Protocollo condiviso, es. parr. 1, 2 e 11). A tal fine, il datore di lavoro può quindi invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati, tenendo conto del proprio generale obbligo di tutelare l’integrità fisica dei prestatori di lavoro, ai sensi dell’art. 2087 c.c. e del d.lgs. 81/2008.

Il datore di lavoro potrebbe, inoltre, venire a conoscenza dello stato di positività al Covid-19 accertato dalle autorità sanitarie a seguito dell’effettuazione di un tampone oro/nasofaringeo, nell’ambito della collaborazione che è tenuto a prestare a tali autorità, anche con il coinvolgimento del medico competente, per la ricostruzione degli eventuali contatti stretti con altre persone nel contesto lavorativo (cfr. par. 11 del Protocollo del 24 aprile 2020).

Il datore di lavoro può, altresì, conoscere lo stato di avvenuta negativizzazione del tampone oro/nasofaringeo, ai fini della riammissione sul luogo di lavoro dei lavoratori già risultati positivi all’infezione da Covid-19, secondo le modalità previste e la documentazione rilasciata dal dipartimento di prevenzione territoriale di competenza (cfr. par. 2 e 12 del Protocollo del 24 aprile 2020).

In questi casi, dunque, il datore di lavoro può trattare i dati relativi ai sintomi o alla positività al Covid-19 del lavoratore per la finalità di salute e sicurezza dei luoghi di lavoro o per adempire agli obblighi di collaborazione con gli operatori di sanità pubblica.

Al di fuori dei casi normativamente previsti, il datore di lavoro non può, invece, trattare dati sulla salute del lavoratore e comunicare gli stessi a soggetti terzi.

In base alle norme in materia di sorveglianza sanitaria, non derogate da quelle dell’emergenza, il datore di lavoro non può, inoltre, conoscere l’esito degli esami diagnostici disposti dal medico competente, tra i quali anche i test sierologici, che non consentono, peraltro, di diagnosticare l’infezione.

Resta fermo che, ove all’esito del test sierologico sia disposta l’effettuazione di un tampone che attesti la positività al virus, il datore di lavoro potrà conoscere, oltre alla valutazione del medico competente in merito all’inidoneità al servizio, anche l’identità del dipendente nei casi sopra esplicitati (cfr. Protocollo condiviso, parr. 1, 2, 11 e 12), di seguito riepilogati.

Alla luce del quadro normativo vigente, il datore di lavoro può quindi trattare i dati personali del dipendente affetto da Covid-19 o che ne presenta i sintomi e può conoscere la condizione di positività al Covid-19:

– quando ne venga informato direttamente dal lavoratore; o

– nei limiti in cui sia necessario al fine di prestare la collaborazione all’autorità sanitaria; o

– ai fini della riammissione sul luogo di lavoro del lavoratore già risultato positivo all’infezione da Covid-19.

(1) Come aggiornato in data 24 aprile 2020

(Fonte Garante Privacy)

24 Feb 2020

Il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce. Lo ha ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.

L’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca , la “pubblicazione sul web dell’elenco dei soggetti che hanno aperto segnalazioni riservate contenute nell’applicativo” di condotte illecite ha dato luogo anche alla indicizzazione delle pagine web, fino a che l’università dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.

Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato.

In base al Regolamento spetta in primo luogo proprio al titolare del trattamento (in questo caso l’ateneo) – tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento – mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate.

Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni.

Nel provvedimento viene precisato che, come emerge chiaramente dalla documentazione acquisita nel corso dell’istruttoria, l’Ateneo si è limitato a recepire le scelte progettuali dell’azienda che ha fornito l’applicativo whistleblowing che non prevedevano la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel database utilizzato dal medesimo applicativo, non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing, in violazione dell’art. 32 del Regolamento.

La gravità della violazione risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.

Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr – tenendo comunque conto che la violazione ha riguardato solo due persone e che l’Ente ha attivamente cooperato nel corso dell’istruttoria – ha inflitto all’ateneo una sanzione amministrativa di 30.000 euro

(Fonte Garante Privacy)

17 Nov 2017
This is image included in the post content

Regione Lombardia e Lombardia Informatica S.p.a. su impulso dell’Autorità Garante per la protezione dei dati personali organizzano il convegno dal titolo “IL GARANTE INCONTRA LA PUBBLICA AMMINISTRAZIONE: Il nuovo Regolamento UE in materia di protezione dei dati personali – Sviluppi e impatti per i soggetti pubblici”.

L’evento si terrà il 4 dicembre 2017 dalle ore 9.00 alle ore 17.30 presso la sede di Regione Lombardia Piazza Città di Lombardia. Il convegno è rivolto a tutte le Pubbliche Amministrazioni del Nord Italia (Regioni, Enti e società del sistema regionale, Comuni, Province. Comunità Montane, Università e Enti sanitari) e altri soggetti pubblici interessati secondo le indicazioni suggerite dall’Autorità Garante per la protezione dei dati personali.

(http://www.regione.lombardia.it/wps/portal/istituzionale/HP/istituzione/Agenda/DettaglioEvento/Istituzione/attivita-istituzionali/garante-incontra-pa)

26 Ott 2017

Gli utenti sono poco informati sulla gestione dei loro dati da siti web e app. E’ quanto emerge da un’indagine (denominata “GPEN sweep 2017 User Controls over Personal information”) condotta da ventiquattro Autorità per la protezione dei dati riunite nel Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui fa parte il Garante italiano.

L’indagine ha preso in esame siti e app in diversi settori – vendita al dettaglio, finanza, banche, viaggi, social network, giochi d’azzardo, istruzione, sanità – ed ha analizzato le policy privacy con l‘obiettivo di verificare se per gli utenti  risulti facile capire quali informazioni vengano raccolte e per quali scopi, e quali siano le modalità per il loro trattamento, utilizzo e condivisione.

Le conclusioni a cui è giunta l’Autorità sono le seguenti:

– le informative privacy sono tendenzialmente generiche, prive di dettagli, e spesso formulate in modo impreciso;

– la maggior parte dei siti e delle app esaminate non informa gli utenti sull’uso che fa dei loro dati;

– le informative in genere non specificano a chi possono essere comunicati i dati personali raccolti;

– molti soggetti non spiegano agli interessati se e come i loro dati sono protetti, né come e dove sono conservati;

– solo in poco più della metà dei casi l’informativa spiega all’utente come esercitare il diritto di accesso ai propri dati personali.

L’indagine ha evidenziato che alcuni soggetti continuano a utilizzare riferimenti normativi obsoleti, e molti fra quelli che forniscono servizi a livello internazionale non sanno quale sia la normativa applicabile nei singoli Paesi. Inoltre, i siti di e-commerce che rilasciano fatture elettroniche spesso non forniscono alcuna informazione sulla propria attività attraverso il sito web.

Anche il settore bancario, secondo l’analisi delle Autorità, non fornisce adeguate informazioni. La situazione appare migliore in Italia: i siti web delle banche italiane, esaminati a campione dal Garante per la protezione dei dati personali, rispetto a quelli di altri Paesi offrono in generale agli utenti informazioni più adeguate e corrette.

(Fonte Garante Privacy)

16 Ott 2017

L’Autorità Garante Privacy pubblica il nuovo piano ispettivo per il secondo semestre 2017.

Sotto la lente Sanità, Spid, Telemarketing.
Dovranno attivarsi coloro i quali effettuano trattamenti di dati personali per il rilascio dell’identità federata (SPID), le ASL in relazione al trasferimento degli stessi in favore di multinazionali operanti nel settore farmaceutico e sanitario, le società che hanno call center con finalità di telemarketing situati in Albania, quelle che organizzano manifestazioni a premio e quelle che svolgono attività di recupero crediti.

L’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, riguarderà la verifica sull’adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili, nonchè a controlli sulla liceità e correttezza dei trattamenti di dati personali con particolare riferimento al rispetto dell’obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, nei casi in cui questo è necessario, nonché alla durata della conservazione dei dati nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sulle persone da esso interessate.

Il bilancio dell’attività di accertamento svolta nel primo semestre 2017 indica sanzioni riscosse dall’erario per somme pari a oltre 1 milione e 700 mila euro, 300 sanzioni contestate e 20 segnalazioni all’Autorità giudiziaria per violazioni penali (la  maggior parte delle quali relative a inosservanza dei provvedimenti del Garante, mancata adozione delle  misure minime di sicurezza, violazioni connesse al controllo a distanza dei lavoratori).

(Fonte Garante Privacy)

28 Ago 2017

Il Garante Privacy ha pubblicato sul sito web una sintesi della Legge 71/2017 “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo” e il modulo per la denuncia di cyberbullismo.

La Legge 71/2017 prevede che in caso di offesa il minore che ha compiuto 14 anni, oppure chi esercita la responsabilità genitoriale, può inoltrare un’istanza al titolare del trattamento o al gestore del sito internet o del social network per la rimozione dei dati (foto, video, post sui social, ect). Il minore potrà chiedere l’oscuramento, la rimozione o il blocco di contenuti a loro riferiti e diffusi in rete. La richiesta dovrà essere presa in carico dal sito o dal social network nei tempi previsti dalla legge. In caso contrario, ci si potrà rivolgere al Garante per la protezione dei dati personali che dovrà provvedere alla segnalazione entro 48 ore.

Il modulo è disponibile sul sito del Garante Privacy Modello per la segnalazione reclamo in materia di cyberbullismo   e dovrà essere inviato all’indirizzo mail: cyberbullismo@gpdp.it

Che cosa si intende per «cyberbullismo»? Qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali realizzati, per via telematica, a danno di minori, nonché la diffusione di contenuti online riguardanti uno o più componenti della famiglia di un minore con lo scopo di isolarlo, attaccarlo o metterlo in ridicolo.

8 Mag 2017

Il logo del Garante per celebrare vent’anni di privacy in Italia

Alla vigilia dell’applicazione nell’Unione europea del nuovo Regolamento sulla protezione dei dati personali, in Italia ricorrono i vent’anni di una normativa che ha segnato un cambiamento decisivo nella cultura dei diritti.

L’8 maggio del 1997 entrava infatti in vigore la prima legge sulla privacy, la legge n. 675 del 1996,  poi confluita nel 2003 nell’attuale Codice per la privacy.

Per celebrare i vent’anni dall’introduzione nel nostro ordinamento del diritto fondamentale alla protezione dei dati personali e ricordare i primi vent’anni della propria attività, il Garante ha deciso di realizzare un apposito logo. Il monogramma comparirà su tutte le comunicazioni dell’Autorità.

Il messaggio  scelto dal Garante per accompagnare il logo – 1997-2017: vent’anni a tutela di un diritto fondamentale – intende sottolineare la rilevanza di un diritto che è diventato cruciale in un contesto sociale, economico e tecnologico in costante evoluzione, ma anche valorizzare il ruolo svolto da quanti hanno operato e operano ancora oggi nell’Autorità per far crescere nel nostro Paese una autentica cultura del rispetto e per la difesa della libertà e della dignità delle persone.

“A distanza di venti anni è ormai chiaro che il diritto alla privacy non è più o non è soltanto una prerogativa del singolo, ma un valore collettivo che tutti dobbiamo concorrere a costruire – afferma Antonello Soro, Presidente dell’Autorità Garante per la protezione dei dati  personali. “In questi anni la raccolta e l’analisi dei dati personali hanno sempre più rappresentato un asset strategico e un potere enorme per gli Stati come per le grandi imprese dell’economia digitale. La centralità del diritto alla protezione dei dati personali assume oggi una posizione cruciale per la difesa dell’individuo da forme intrusive di controllo e manipolazione e da una inconsapevole delega delle proprie scelte alla tecnologia.”

Per celebrare i vent’anni dall’introduzione nel nostro ordinamento del diritto fondamentale alla protezione dei dati personali, il Garante per la privacy ha realizzato un video che ripercorre le tappe più significative della sua attività e i cambiamenti intervenuti nella nostra società.

28 Apr 2017

Il Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L’obiettivo della Guida è duplice: da una parte offrire un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy; dall’altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche:

  1. Fondamenti di liceità del trattamento;
  2. Informativa;
  3. Diritti degli interessati;
  4. Titolare, responsabile, incaricato del trattamento;
  5. Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
  6. Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre  nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

 Può interessarti FAQ sul Regolamento Europeo

23 Apr 2017

«Il diritto alla privacy, ma meglio ancora alla protezione dei dati, è un diritto collettivo, alla cui costruzione tutti quanti dobbiamo contribuire». Augusta Iannini, vice presidente dell’Autorità garante per la privacy, lancia un messaggio chiaro alla vigilia dell’incontro organizzato dalla Questura di Brescia nell’Aula Magna del Dipartimento di Medicina dell’Università degli Studi di Brescia sull’uso consapevole del Web. Anticipando a Bresciaoggi i temi che affronterà nel suo intervento, Iannini sottolinea che la maggior lacuna in tema di privacy è «il non aver compreso che proteggere i propri dati personali non è solo un diritto, ma un compito essenziale che non possiamo eludere  in un’epoca nella quale i dati sono il bene primario, il nuovo vero motore dell’economia, un fondamentale patrimonio per gli Stati».

I giovani sono coloro che si muovono con maggior disinvoltura nel mondo digitale. La confidenza che hanno con internet e i social network è proporzionale alla consapevolezza dei rischi che corrono divulgando fotografie e dati?

«I giovani vivono in costante simbiosi con smartphone e dispositivi mobili. Ma la conoscenza di questi strumenti si ferma all’aspetto  di più immediato utilizzo e soddisfacimento di bisogni. Non sono in grado di rappresentarsi i rischi che possono derivare da un uso disinvolto  delle nuove forme di comunicazione. Una foto che oggi può apparire divertente in un futuro potrebbe creare problemi al momento di cercare un posto di lavoro».

Solitamente si dividono gli utenti tra nativi digitali e immigrati digitali. Ritiene che questi ultimi, che hanno imparato a usare la tecnologia in età adulta, siano più a rischio rispetto ai giovani o maggiormente consapevoli su ciò che va o meno condiviso? Penso ad esempio a molti genitori che pubblicano foto dei figli minorenni…

«L’esperienza del Garante per la privacy dimostra che i genitori sono in larga parte ben poco consapevoli dei rischi di un uso poco attento se non spregiudicato della rete, in particolare dei social media. Un recentissimo intervento dell’Autorità ha riguardato una madre che ha pubblicato su Facebook con alcuni “amici” due sentenze che riportavano non solo il nome della figlia, ma dettagli riguardo al vissuto familiare e a disagi personali della piccola. Il Garante ha fatto rimuovere il post. In altri casi, padri e madri spesso non si rendono conto dei rischi a cui espongono i figli postando le loro foto, magari al mare, o rivelando particolari apparentemente neutri».

In Italia si può affermare ci sia una cultura della privacy solida e diffusa? O ritiene vada costruita?

«Il cammino è a mio avviso ancora lungo. Alcune  ricerche ci spiegano che gli italiani sono realmente preoccupate per la loro privacy, soprattutto di quella online, ma poi non agiscono di conseguenza mettendo in atto comportamenti  a loro tutela e stando attenti a non cedere troppo facilmente i loro dati personali. In genere si preoccupano solo dopo che hanno subito delle violazioni. Delle violazioni che interessano gli altri non si preoccupano. Il che vuol dire che non c’è ancora una cultura della privacy».

Qual è il ruolo del Garante per la protezione dei dati personali nei tempi che stiamo vivendo e cosa può fare, o sta facendo, per sensibilizzare i cittadini?

«Il Garante opera in tanti modi: fissa le regole per un uso corretto dei dati, verifica che le norme del Codice Privacy vengano rispettate, applica sanzioni in caso di violazione, fornisce pareri su alcuni provvedimenti  normativi. Ma svolge da sempre anche una costante azione di sensibilizzazione e di “formazione” dei cittadini attraverso campagne di comunicazione istituzionale e la realizzazione di prodotti divulgativi anche multimediali sui diversi temi di interesse per le persone: dal cloud computing ai social network, dall’uso delle app agli smartphone, dalla sanità alla scuola, dal recupero crediti alla vita condominiale. Un particolare  impegno viene da sempre rivolto dal Garante ai giovani: l’Autorità ha organizzato e continua ad organizzare eventi con le scuole, dedicati in particolare ad un fenomeno grave come il cyberbullismo, e partecipa sempre molto volentieri ad incontri con gli studenti».

Ogni giorno ci muoviamo nel mondo digitale, tra App e social network. Ma il web è davvero così gratuito come sembra?

«Ormai è  chiaro che i social network hanno perso la loro nativa vocazione comunitaria e sono diventate delle imprese che fanno business. Così come è chiaro che la nostra navigazione online rimane tracciata e viene elaborata. Le opinioni che esprimiamo sul nostro profilo social, le abitudini, gli stili di vita, i gusti che riveliamo ogni volta che usiamo un motore di ricerca sono tutte informazioni preziose per costruire i nostri profili di consumatori, di lettori, di spettatori,  perfino elettori. Ogni volta che cediamo dati paghiamo con una parte di noi stessi».

Cyberbullismo e sexting, cosa potrà arginare questi fenomeni che riguardano un numero preoccupante di minorenni?

«La consapevolezza che, una volta online, un post  o un video diventano incontrollabili e possono rimanere per sempre in rete, causando danni irreparabili innanzitutto alla persona offesa, ma anche a chi si è reso colpevole di quel gesto. Le giovani generazioni devono preoccuparsi di quale sarà un giorno la loro reputazione online. Lo stesso discorso vale per il sexting: esporsi in foto hard, scambiare  e condividere un video hot è un gioco pericolosissimo che può avere esiti tragici. Una cosa mi sento di dover ricordare ai ragazzi: l’anonimato in rete non esiste. Se pensano che un nickname possa proteggerli dalle conseguenze di atti irresponsabili sbagliano di grosso».

Paola Buizza Brescia Oggi 20/04/2017
http://www.bresciaoggi.it/territori/citt%C3%A0/un-nickname-non-protegge-dalle-azioni-1.5642513
19 Apr 2017

Le colonnine che si trovano in stazione centrale a Milano ci spiano? Il Garante della Privacy ha chiesto chiarimenti alla società produttrice dei totem. Si tratta delle colonnine su cui vengono proiettate le pubblicità all’interno della struttura, i cosiddetti cartelloni «intelligenti». La segnalazione è partita da un professionista che occortosi di una segnalazione di errore mostrato da una delle colonnine, di solito ben illuminate dagli slogan pubblicitari, ha notato un sistema per il tracciamento facciale. In pratica si tratta di un software per il tracciamento facciale, in grado di riconoscere sesso, età e livello di attenzione di chi guarda.

Dati che vengono raccolti per poi essere ceduti alle agenzie di marketing per la misurazione del successo pubblicitario o per architettare nuove campagne. Pertanto stiamo parlando di una raccolta di dati per scopo di profilazione, in una stazione in cui passanono migliaia di di viaggiatori al giorno.

Ricordiamo, che per effettuare questo tipo di trattamento, occorre che gli utenti siano stati informati e, sopratutto, che sia stato acquisito un consenso specifico.

Il Garante, qualora le notizie inerenti a tale sistema dovessero trovare conferma, dovrà, altresì, verificare che la società abbia inoltrato una richiesta di verifica preliminare. Occorrerà, inoltre, effettuare un controllo in merito all’anonimato delle rilevazioni e alla possibilità di registrare le immagini visualizzate in tempo reale.

  • 1
  • 2