Tag Archives: informativa

3 Mar 2021

Videosorveglianza e trattamento dei dati

L’immagine è un data personale? L’immagine di una persona, o comunque la ripresa che permette di identificare una persona, è un dato personale. Se il dato, l’immagine, viene registrata o rilevata in tempo reale, si configura un trattamento dei dati personali, che ricade nell’applicazione del Regolamento UE 678/2016, così come specificato nelle Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, adottate il 10 luglio 2019.

Quando il Regolamento 2016/679 non si applica?

Non si applica ai trattamenti di dati:

– che non hanno alcun riferimento a una persona, in quanto non identificata e neppure identificabile;

– eseguiti da parte delle autorità competenti ai fini della prevenzione, delle indagini, dell’accertamento o del perseguimento di reati o dell’esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla sicurezza pubblica (poiché ambito di riserva della Direttiva UE 2016/680);

– da parte di una persona fisica nell’ambito di un’attività puramente personale o domestica, esclusione che nel presente contesto (videosorveglianza) “deve essere interpretata in modo restrittivo”, per cui fuoriescono dall’esclusione, per fare degli esempi, la pubblicazione del video su internet che renda disponibili le immagini ad un numero indefinito di persone, ovvero quelle riprese che coprano, anche parzialmente, uno spazio pubblico.

Quadro normativo di riferimento

In questo contesto è bene ricordare quali sono le normative che si applicano in temo di videosorveglianza:

·  Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (Codice Privacy), modificato da D.lgs 101/2018

·  Provvedimento del Garante privacy in materia di videosorveglianza – 8 aprile 2010;

·  Regolamento Generale Protezione Dati Personali 679/2016 (GDPR);

Come predisporre il cartello informativo

Quando installiamo un sistema di videosorveglianza sia nel settore pubblico che privato, l’interessato deve essere informato (ex art. 13 del Regolamento 679/2016) prima di accedere all’area sottoposta alla ripresa, attraverso un cartello, che riporta le informazioni più importanti, mentre sarà predisposta un’informativa completa, messa a disposizione degli interessati, per esempio all’interno dei locali o alla reception.

Gli interessati devono sempre essere informati anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato.

Le nuove Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video riportano un esempio di cartellonistica, un modello semplificato di informativa.

Generalmente, le informazioni, definite di primo livello (segnale di avvertimento) dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento. Si può fare riferimento, ad esempio, ai legittimi interessi perseguiti dal titolare, e ai recapiti del responsabile della protezione dei dati – DPO (se nominato). Inoltre, potrebbero essere riportati i tempi di conservazione delle immagini.

L’informativa (cartello) va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario.

Il cartello deve riportare anche dove è possibile reperire tutte le informazioni, cioè dove e come trovare l’informativa completa, redatta secondo l’art. 13 del Regolamento. Ad esempio il cartello può riportare un codice QR o indicare un indirizzo web oppure il luogo dove è affissa in bacheca (es. reception).

L’informativa sulla videosorveglianza, cosa redigerla.

La normativa europea in materia di protezione dei dati dispone da tempo che gli interessati debbano essere consapevoli del fatto che è in funzione un sistema di videosorveglianza. A norma del GDPR gli obblighi generali di trasparenza e informazione sono sanciti dall’articolo 12 e seguenti.

Tra le informazioni più importati, l’informativa deve indicare le “finalità e la base giuridica del trattamento”. Si può ricorrere a strumenti di videosorveglianza quando ricorrono due condizioni:

 · Articolo 6, paragrafo1, lettera f) (legittimo interesse)

· Articolo 6, paragrafo1, lettera e) (necessità al fine di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri)

Bisognerà riportare i termini di conservazione delle registrazioni. L’Autorità ritiene coerente ed adeguato un termine di 24 ore con l’esigenza di rilevare eventuali danni e/o incidenti, mentre la conservazione per tempi più prolungati, massimo 7 giorni, necessita di un’adeguata motivazione in relazione a specifiche finalità (ad esempio per intraprendere azioni legali).

Le linee guida specificano che quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione. Se il titolare del trattamento utilizza la videosorveglianza non solo per monitorare i propri locali, ma anche per conservare i dati, deve garantire che la conservazione sia effettivamente necessaria per raggiungere lo scopo specifico. In tal caso, il periodo di conservazione deve essere definito chiaramente e specificamente con riguardo alle singole finalità. È responsabilità del titolare del trattamento definire il periodo di conservazione conformemente ai principi di necessità e proporzionalità e dimostrare la conformità alle disposizioni del GDPR.

In questo “blog” troverete degli articoli che affrontano l’argomento videosorveglianza.

Richiedi informazioni: info@patriziameo.it

9 Dic 2020

Pubblicate le Faq messe a punto dal Garante per la protezione dei dati personali sulle questioni concernenti il trattamento dei dati personali nell’ambito dell’installazione di impianti di videosorveglianza da parte di soggetti pubblici e privati. I chiarimenti si sono resi necessari in ragione delle nuove previsioni introdotte dal Regolamento 2016/679, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate. Le Faq tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB) e contengono un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Il Garante ha chiarito, ad esempio, che l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione  dell’impianto, e che i dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite. In base al principio di responsabilizzazione, poi, spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, inoltre, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

In merito all’informativa agli interessati, l’Autorità ha chiarito che può essere utilizzato un modello semplificato (esempio un semplice cartello) contenente le informazioni più importanti e collocato prima di entrare nell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera.

Di particolare importanza, infine, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate: salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. Al riguardo il Garante ha sottolineato che i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni e che quanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.

(Fonte Garante Privacy)

27 Nov 2020

A seguito di diversi reclami nei confronti del gruppo CARREFOUR, il CNIL (Commission Nationale de l’Informatique et des Libertés) – Garante francese – ha effettuato dei controlli, tra maggio e luglio 2019, presso le società CARREFOUR FRANCE (settore retail) e CARREFOUR BANQUE (settore bancario). Dai controlli ha riscontrato carenze nel trattamento dei dati dei clienti e dei potenziali utenti. Il presidente della CNIL ha quindi deciso di avviare un procedimento sanzionatorio nei confronti di queste società.

Al termine di questa procedura, il comitato ristretto – l’organo della CNIL responsabile per l’imposizione delle sanzioni – ha effettivamente ritenuto che le società non fossero riuscite a soddisfare diversi obblighi previsti dal GDPR.

Ha quindi sanzionato la società CARREFOUR FRANCE con una multa di 2.250.000 euro e la società CARREFOUR BANQUE con una multa di 800.000 euro. Tuttavia, non ha emesso un’ingiunzione quando ha rilevato che sforzi significativi avevano consentito il rispetto di tutte le violazioni individuate.

Tra le violazioni riscontrate:

  • Mancata informativa sul trattamento dei dati (art. 13 GDPR)
  • Violazioni relative ai cookie (articolo 82 della legge sulla protezione dei dati)
  • Mancato rispetto dell’obbligo di limitazione del periodo di conservazione dei dati (art. 5.1.e del GDPR)
  • Mancata agevolazione dell’esercizio dei diritti (art. 12 GDPR)
  • Mancato rispetto dei diritti (articoli 15, 17 e 21 del GDPR e L 34-5 del Codice postale e delle comunicazioni elettroniche)
  • Mancato rispetto a trattare i dati in modo corretto (articolo 5 del GDPR)

(Vai alla pagina CNIL)

23 Mar 2020

Con la progressiva emergenza del COVID 19, le imprese, gli enti e le strutture socio sanitarie, si trovano a prendere decisioni e iniziative importanti, in tempi ristretti, trovandosi a trattare un’ingente quantità di dati sullo stato di salute dei dipendenti e collaboratori.

In questo contesto, cosa deve fare il datore di lavoro e quali misure deve porre in essere, per non violare la normativa in materia di trattamento dei dati personali?

Le norme in materia di protezione dei dati (come il Regolamento generale sulla protezione dei dati) non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus. La lotta contro le malattie trasmissibili è un importante obiettivo condiviso da tutte le nazioni e, pertanto, dovrebbe essere sostenuta nel miglior modo possibile. Occorre tenere conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e, in ogni caso, si deve ricordare che qualsiasi misura adottata in questo contesto deve rispettare i principi generali del diritto e non può essere irrevocabile.

L’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza.

Sotto il profilo privacy, la temperatura corporea del lavoratore rappresenta un dato personale relativo alla sua salute, e di conseguenza la sua rilevazione è un’operazione di trattamento che, come tale, richiede lo svolgimento di specifici adempimenti. Vediamo insieme come.

Domande e risposte:

Nel controllare la temperatura dei dipendenti o collaboratori, come posso garantire la riservatezza?

E’ necessario che l’azienda metta in atto un percorso interno ad hoc, per misurare la temperatura. L’azienda deve disporre di una procedura interna e predisporre delle misure specifiche in caso di positività, in accordo con il medico del lavoro.

La persona che misura la temperatura, deve essere autorizzata dal titolare?

Si, bisogna individure i soggetti preposti alla misurazione della temperatura e fornire loro delle istruzioni.

I dipendenti devono essere informati circa il trattamento dei dati?

Si, è necessario informare i dipendenti ai sensi dell’art. 13 del GDPR. L’informativa potrà essere fornita anche oralmente o eventualmente posta all’ingresso dei locali in cui viene rilevata la temperatura.

Qual è la finalità e la base giuridica del trattamento posto in essere nel contesto emergenziale dovuto al Covid-19?

Con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19. Come base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020.

Le strutture sanitarie attuano un monitoraggio clinico degli operatori sanitari con rilevazione della temperatura corporea prima dell’inizio del turno di lavoro, e il rilievo del rialzo dellatemperatura oltre i 37,3 °C comporta l’effettuazione del tampone naso-faringeo per ricerca di SARS-CoV-2 e l’allontanamento dal luogo dilavoro con sospensione dell’attività lavorativa (Ordinanza n. 514 del 21/03/2020 Regione Lombardia)

Per quanto tempo conservo i dati?

La temperatura dovrà essere registrata solo in caso di superamento della soglia dei 37,5°. L’eventuale conservazione dei dati si farà riferimento fino al termine dello stato d’emergenza. Ricordiamo che è opportuno raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.

Se il dipendente presenta sintomi durante il corso dell’attività lavorativa, chi contatto?

Se il dipendente presenta sintomi da contagio Covid 19 è tenuto a dichiararlo immediatamente al datore di lavoro o all’ufficio del personale. Questi procederà:

  • con l’isolamento momentaneo in base alle disposizione dell’autorità sanitaria;
  • contatterà immediatamente i servizi sanitari competenti ed attenersi alle indicazioni fornite dagli operatori sanitari.

In questo caso deve essere garantita la riservatezza delle informazioni relative al possibile contagio da Coronavirus

Posso comunicare o diffondere il nominativo del dipendente risultato positivo?

No. I dati sullo stato di salute non possono essere diffusi. La Protezione civile o le autorità sanitarie provvederanno a contattare singolarmente i soggetti a rischio entrati in contatto con il lavoratore risultato positivo al fine di adottare gli opportuni provvedimenti. L’azienda deve definire le misure di sicurezza e organizzative adeguate a proteggere i dati.

Posso richiedere al dipendente la compilazione di un questionario in cui chiedo la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19?

Il datore di lavoro può richiedere la compilazione di questionari sulla provenienza da zone a rischio epidemiologico, ricordando che deve astenersi dal richiedere informazioni ulteriori circa le persone o in merito alle specificità dei luoghi. Ricordiamo di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.

L’azienda dovrà informare preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio. Si farà riferimento in questo caso al Decreto Legge n. 6 del 23/02/2020, art. 1, lett. h) e i).

 

Lo Studio Patrizia Meo resta a disposizione per rispondere ai vostri quesiti

 

Questo articolo fa parte della rubrica “Appunti privacy durante l’emergenza Covid19”
www.patriziameo.it o pagina FB www.facebook.com/patriziameoconsulenteprivacy/

 Scrivi all’indirizzo mail: info@patriziameo.it

 

17 Mar 2020

Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board (EDPB)) ha pubblicato, il 29 gennaio 2020, a seguito della consultazione pubblica, le linee guida n. 3/2019 relative al trattamento dei dati personali in materia di videosorveglianza.

Analizziamo i punti principali.

1. Ambito di applicazione. Nelle linee guida vengono specificati i casi in cui il GDPR non trova applicazione:

  • installazione di telecamere finte che, in quanto tali, non elaborano dati personali (attenzione alla normativa italiana);
  • registrazioni effettuate da un’altitudine elevata, se i dati elaborati non sono collegati a una persona specifica;
  • videocamere integrate in un’auto per l’assistenza al parcheggio se non raccoglie informazioni relative a una persona fisica;
  • infine, le Linee guida non trovano applicazione nei casi in cui l’impianto di videosorveglianza sia utilizzato da persone fisiche nell’ambito della propria vita domestica.

2. Base giuridica. Il Comitato individua tale fondamento nel legittimo interesse (art. 6 comma 1, lett. f GDPR), che deve sempre essere oggetto di bilanciamento (LIA) o nella sussistenza di un interesse pubblico (art. 6, comma 1 lett. e GDPR). Il consenso dell’interessato invece si conferma base giuridica residuale. Quindi sarà opportuno valutare con molta attenzione quale debba considerarsi la base giuridica corretta del trattamento.

Importante. Prima di installare un sistema di videosorveglianza, il titolare deve sempre stabile le finalità del trattamento (determinate, esplicite e legittime) e la base giudirica.

3. Informativa. Necessario fornire un’informativa agli interessati, di primo livello sottoforma di vignetta (c.d. informativa minima) che rimanda ad un’informativa estesa e completa.

La nuova vignetta predisposta dall’EDPB consente agli interessati di conoscere preventivamente quali dati personali vengono trattati entrando nel raggio di azione delle videocamere. L’informativa semplificata deve contenere, oltre ai dati di contatto del Titolare, anche quelli del Responsabile Protezione Dati, le finalità del trattamento e un breve richiamo ai diritti dell’interessato. Il cartello dovrà poi contenere indicazioni su come ottenere l’informativa completa, facendo preferibilmente uso di una fonte digitale (es QR-code o indirizzo sito Web).

Importante. L’azienda dovrà predisporre i cartelli con indicazioni precise, riportando le modalità per ottenere l’informativa completa, redatta secondo l’art. 13 GDPR.

4. Posizionamento del segnale di avvertimento. Le informazioni devono essere posizionate in modo tale che l’interessato possa riconoscere facilmente le circostanze della sorveglianza prima di entrare nell’area monitorata. L’interessato deve essere in grado di stimare quale area viene catturata da una telecamera in modo da poter evitare la sorveglianza o adattare il proprio comportamento, se necessario.

5. Conservazione delle immagini. Le Linee guida non indicano i limiti di tempo predefiniti di conservazione delle immagini, lasciando il titolare libero nella scelta che dovrà comunque essere ispirata ai principi di necessità e proporzionalità.  In particolare, nell’articolo 8 si chiarisce che “più è lungo il periodo di conservazione impostato (in particolare quando oltre le 72 ore), più devono essere fornite argomentazioni sulla legittimità dello scopo e sulla necessità di conservazione”. Pertanto, si dovrà indicare in un documento, la motivazione che spinge al prolungamento della conservazione.

6. Misure di Sicurezza. Le misure tecniche e organizzative, ai sensi dell’art. 32 del GDPR, dovrano essere adeguate per la protezione dei dati andranno pianificate prima di iniziare la raccolta e l’elaborazione delle riprese video. Il Titolare dovrà valutare la necessità di predisporre una Valutazione d’Impatto (DPIA), in quanto il Comitato ha stabilito che nella generalità dei casi, i trattamenti dei dati attraverso la videosorveglianza, richiedono l’effettuazione di una DPIA.

Attualmente, per l’Italia comunque resta sempre valido il Provvedimento del Garante dell’8 aprile 2010 sulla Videosorveglianza, che dovrà essere aggiornato.

Articolo: Patrizia Meo

(Fonte: linee guida n. 3/2019)

 

Lo Studio Patrizia Meo resta a disposizione per rispondere ai vostri quesiti

 Scrivi all’indirizzo mail: info@patriziameo.it

 

Potrebbero interessarti:

Provvedimento in materia di videosorveglianza – 8 aprile 2010
No al silenzio assenso per la videosorveglianza
Informativa sempre prima del raggio d’azione della telecamera
Telecamere per uso privato non sono soggette al Codice Privacy
Videosorveglianza installata da privati sulla propria abitazione, quando si applica la normativa privacy
15 Mar 2020

Il 14 marzo 2020, Cgil, Cisl e Uil hanno sottoscritto con il Governo presso la Presidenza del Consiglio un protocollo di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro. Il Documento contiene linee guida condivise tra le Parti sociali per agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio.

L’adozione del protocollo di regolamentazione ha importanti implicazioni sul fronte della protezione dei dati personali. Infatti, definisce la possibilità negli ambienti di lavoro di:
•    Misurazione della temperatura corporea
•    Redazione di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti con soggetti colpiti da COVID-19

Si evidenzia che la rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel rispetto del Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679, anche detto GDPR).

Le modalità operative previste nel protocollo, quindi, costituisco un’attività di raccolta e trattamento dei dati personali relativamente a:
•    Stato di salute: il lavoratore deve informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti.
•    Misurazione temperatura corporea: il personale, i fornitori e gli addetti alle pulizie prima di accedere al luogo di lavoro potranno essere sottoposti al controllo della temperatura corporea.

Ai fini di una maggior tutela degli interessati oggetto del rilevamento dei dati personali, si suggerisce ai titolari del trattamento di:
•    Rilevare la temperatura e non registrare il dato acquisto.

•    Fornire l’informativa sul trattamento dei dati personali.

•    Definire le misure di sicurezza e organizzative adeguate a proteggere i dati personali.

In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie.

Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, è lo stesso Protocollo – in una nota – a ricordare di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati.

 

Per ulteriori approfondimenti, scrivi all’indirizzo mail: info@patriziameo.it

 

30 Ott 2019

L’Autorità per la protezione dei dati personali greca (Hellenic Data Protection Authority), con Decisione n° 26/2019, ha sanzionato una multinazione a pagare 150 mila euro per non aver individuato correttamente la base giuridica del trattamento dei dati personali dei propri dipendenti e non aver rispettato il principio di accountability, in conformità al Reg. UE 2016/679.

Il Garante ha condotto un’indagine in merito alla legittimità del trattamento di dati personali degli impiegati della società scaturito da un reclamo presentato da un’organizzazione sindacale, nel quale veniva rilevato come il datore di lavoro avesse erroneamente individuato il consenso del dipendente quale base giuridica del trattamento.

La richiesta del consenso ai dipendenti era illegittima, scorretta e non trasparente alla luce del disposto dell’articolo 5 del Gdpr.  Il datore di lavoro, si legge nella sintesi del provvedimento, pubblicata sul sito dell’autorità ellenica, ha dato ai dipendenti la falsa impressione che stesse trattando i loro dati secondo la base giuridica del consenso, mentre in realtà stava trattando i loro dati sotto una base giuridica diversa, sulla quale, tra l’altro, i dipendenti non erano mai stati informati.

Il consenso del dipendente non va bene, in quanto non può essere considerato come liberamente concesso nell’ambito del rapporto di lavoro a causa dell’evidente squilibrio tra le parti. Le basi giuridiche corrette per questo trattamento sono il contratto di lavoro, l’adempimento di obblighi di legge del titolare del trattamento o il suo legittimo interesse, che consiste nel funzionamento regolare ed efficace dell’azienda.

Il Garante mette in evidenza,  come i dipendenti siano stati indotti a pensare che la legittimità del trattamento si fondasse sul consenso, in violazione del principio di trasparenza e degli art. 13 e 14 del Reg. UE 2016/679, e si sono visti negare un corretto esercizio dei diritti privacy, in quanto questi ultimi variano a seconda della base giuridica determinata a fondamento del trattamento.

In addition, the company gave employees the false impression that it was processing their personal data under the legal basis of consent, while in reality it was processing their data under a different legal basis about which the employees had never been informed. This was in violation of the principle of transparency and thus in breach of the obligation to provide information under Articles 13(1)(c) and 14(1)(c) of the GDPR.

Altro aspetto importante sottolineato nella decisione è che la scelta del consenso del dipendente come base giuridica deve essere effettuata come ultima ratio, proprio per le sue caratteristiche di irreversibilità: infatti, la revoca del consenso è considerata alla stregua di un divieto definitivo di effettuare il trattamento, che comporta l’impossibilità di trattare i dati anche identificando una diversa base giuridica.

Infine, il Garante greco ha constatato la violazione del principio di accountability o responsabilizzazione (art. 5 par. 2 del Reg. UE 2016/679). Questo in quanto l’azienda non è stata in grado di soddisfare la richiesta dell’Autorità di documentare la propria scelta in merito alla base giuridica del trattamento dei dati personali dei dipendenti.

E’ stato rilevato come le modalità concrete di gestione abbiano comportato un trasferimento dell’onere della prova dell’accountability dal titolare all’interessato: in particolare, è stato richiesto ai dipendenti di firmare un documento con il quale riconoscevano che i loro dati personali – trattati dall’azienda – fossero direttamente collegati, pertinenti e appropriati al rapporto di lavoro e all’organizzazione dell’attività lavorativa stessa. L’Autorità ha specificato, invece, che è onere di ciascun titolare adottare un modello di compliance privacy tale da dimostrare la corretta applicazione dei principi di cui all’art. 5 del Reg. UE 2016/679.

The principle of accountability constitutes the core of the compliance model adopted by the GDPR. Under this principle, the controller should implement the necessary measures to comply with the principles set out in Article 5(1) of the GDPR and demonstrate their effectiveness, without the DPA having to submit individual — specific questions and requests to assess compliance while exercising its investigative powers.

Il Garante ha imposto alla società delle misure correttive tali da comportare l’immediato adeguamento della Società al Regolamento, in conformità alla Decisione. Inoltre ha comminato una sanzione amministrativa pecuniaria di 150 mila euro, calcolato sulla base del bilancio della società, pubblicato per il periodo 1-7-2017 al 20-6-2018.

FONTE: Summary of Hellenic DPA’s Decision n° 26/2019 (Hellenic Data Protection Authority)

10 Giu 2019

2 milioni di euro, questa la sanzione comminata dal Garante Privacy ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo.

La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata designata responsabile.

La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società.

la trasmissione dei dati dei potenziali clienti in formato elettronico da parte della società albanese all’agente di vendita, ovvero la trasmissione dei modelli cartacei di proposta di adesione privi della sottoscrizione del cliente, costituisce prova evidente che i potenziali clienti non hanno avuto modo di prendere visione di alcun modello di informativa ai sensi dell’art. 13 del Codice. L’assenza di uno script contente la predetta informativa, da leggere agli interessati nel corso dei contatti telefonici, conferma che l’informativa non è stata resa neanche mediante tale strumento. Inoltre, non avendo i potenziali clienti sottoscritto alcuna proposta di adesione e non risultando in atti l’esistenza di registrazioni dei contatti telefonici operati da xxx, i trattamenti di dati personali svolti da xxx non possono essere ricompresi fra quelli per i quali non è necessario acquisire il consenso in base all’art. 24, comma 1, lett. b), del Codice (esecuzione di obblighi contrattuali o adempimento a specifiche richieste precontrattuali);

La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti.

La sanzione è stata così definita:

– euro 6.000 (seimila) per ciascuna delle 78 violazioni di cui agli artt. 13 e 161 del Codice, per un totale di euro 468.000 (quattrocentosessantottomila);

– euro 10.000 (diecimila) per ciascuna delle 155 violazioni di cui agli artt. 23 e 162, comma 2-bis, del Codice, per un totale di euro 1.550.000 (un milione cinquecentocinquantamila)

(Fonte Garante Privacy)

Potrebbero interessarti:

1 Mag 2019

Sanzione di 16 mila euro al medico che ha utilizzato circa 3.500 indirizzi di ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo. L’Autorità Garante Privacy aveva avviato un’istruttoria a seguito di alcuni articoli di stampa che segnalavano la vicenda. Il medico si è difeso affermando di aver scritto ai suoi ex pazienti, che aveva avuto in cura presso un importante Istituto oncologico, per informarli della sua nuova sede di lavoro, avendo cessato il suo rapporto professionale presso l’Istituto. Con l’occasione, aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, già assessore alla Sanità e al Welfare, e aveva ritenuto di rispettare le norme consentendo ai destinatari di opporsi alla ricezione dei messaggi, mediante un link posto in calce alla mail.

Il Garante ha giudicato un tale trattamento di dati personali illecito per diversi profili.

In primo luogo, il medico non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex pazienti per finalità diverse da quelle di cura, per le quali erano stati raccolti, senza aver acquisito uno specifico e autonomo consenso.

…… Nel caso di specie, risulta accertato che la parte ha acquisito xxx la mailing list contenente i nominativi e gli indirizzi e-mail dei propri pazienti, al momento della cessazione del proprio rapporto di lavoro; tuttavia, non risulta provato né documentato in atti che sia stata resa l’informativa agli interessati, al momento dell’acquisizione da parte del dott. XX dei suddetti dati, così come previsto dall’art. 13, comma 4, del Codice. Per quanto riguarda, invece, la violazione di cui all’art. 162, comma 2-bis, del Codice, si rappresenta che la condotta illecita contestata alla parte si riferisce all’utilizzo dei dati personali per finalità differenti da quelli di cura (che avevano giustificato l’originario trattamento), senza che gli interessati avessero espresso il proprio specifico e autonomo consenso. Infatti, la missiva oggetto dell’istruttoria, non si limitava a rendere noto ai pazienti gli spostamenti del professionista, ma indicava chiaramente il sostegno a un candidato nell’ambito delle consultazioni elettorali che si sarebbero svolte di lì a poco in Lombardia. Aspetto senz’altro censurabile sotto il profilo della protezione dei dati personali, posto che si tratta di una finalità perseguita dal dott. XX senza che gli interessati avessero espresso alcuna manifestazione di consenso al riguardo; ….

Come chiarito dal Garante nel Provvedimento generale in materia di propaganda elettorale del 6 marzo 2014, “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti“.

Nonostante la sanzione sia stata comminata in base al vecchio Codice, i principi che la ispirano restano validi anche in base al nuovo Regolamento Ue, come di recente precisato nel provvedimento dell’Autorità del 7 marzo 2019.

(Fonte Garante Privacy)

Potrebbe interessarti: Provvedimento in materia di propaganda elettorale e comunicazione politica – 18 aprile 2019
(In corso di pubblicazione sulla Gazzetta Ufficiale)
26 Ott 2017

Gli utenti sono poco informati sulla gestione dei loro dati da siti web e app. E’ quanto emerge da un’indagine (denominata “GPEN sweep 2017 User Controls over Personal information”) condotta da ventiquattro Autorità per la protezione dei dati riunite nel Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui fa parte il Garante italiano.

L’indagine ha preso in esame siti e app in diversi settori – vendita al dettaglio, finanza, banche, viaggi, social network, giochi d’azzardo, istruzione, sanità – ed ha analizzato le policy privacy con l‘obiettivo di verificare se per gli utenti  risulti facile capire quali informazioni vengano raccolte e per quali scopi, e quali siano le modalità per il loro trattamento, utilizzo e condivisione.

Le conclusioni a cui è giunta l’Autorità sono le seguenti:

– le informative privacy sono tendenzialmente generiche, prive di dettagli, e spesso formulate in modo impreciso;

– la maggior parte dei siti e delle app esaminate non informa gli utenti sull’uso che fa dei loro dati;

– le informative in genere non specificano a chi possono essere comunicati i dati personali raccolti;

– molti soggetti non spiegano agli interessati se e come i loro dati sono protetti, né come e dove sono conservati;

– solo in poco più della metà dei casi l’informativa spiega all’utente come esercitare il diritto di accesso ai propri dati personali.

L’indagine ha evidenziato che alcuni soggetti continuano a utilizzare riferimenti normativi obsoleti, e molti fra quelli che forniscono servizi a livello internazionale non sanno quale sia la normativa applicabile nei singoli Paesi. Inoltre, i siti di e-commerce che rilasciano fatture elettroniche spesso non forniscono alcuna informazione sulla propria attività attraverso il sito web.

Anche il settore bancario, secondo l’analisi delle Autorità, non fornisce adeguate informazioni. La situazione appare migliore in Italia: i siti web delle banche italiane, esaminati a campione dal Garante per la protezione dei dati personali, rispetto a quelli di altri Paesi offrono in generale agli utenti informazioni più adeguate e corrette.

(Fonte Garante Privacy)

  • 1
  • 2