Lavoro, vanno protetti i dati degli iscritti ai sindacati

club

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili  – ha osservato  l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro  può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso invece l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo  o inibitorio.

L’Autorità  si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

Bike Sharing sotto inchiesta per violazione GDPR

club

China’s Mobike è sotto inchiesta da parte dell Autorità dei dati in Germania per una sospetta violazione della legge europea GDPR.
Le distintive bici arancione di Mobike sono diventate uno spettacolo comune in 23 città europee, in tutto il mondo, sono più di 200 milioni di utenti registrati.
A Berlino, tuttavia, il gruppo si trova ora di fronte a una battuta d’arresto potenzialmente seria.

La preoccupazione nel caso di piattaforme per la condivisione di biciclette e auto è che raccolgono una quantità significativa di dati sui propri utenti tramite le app per dispositivi mobili necessarie per utilizzare i servizi.
Ciò include anche dati di posizione precisi quando il cliente non sta utilizzando la bicicletta o l’auto in questione.
Per aziende non europee come Mobike, il GDPR rappresenta una sfida aggiuntiva poiché impone restrizioni al trasferimento di dati al di fuori dell’UE.
Mobike, ad esempio, invia i propri dati utente in Cina, dove l’azienda ha la propria sede.

Steve Milton, responsabile della crescita di Mobike Europe, ha dichiarato: Prendiamo molto sul serio la protezione dei dati. Seguiamo gli standard del settore. Non penso ci sia nulla che Mobike non stia facendo in altre aziende.” Il GDPR è un regolamento estremamente sensibile e complesso.

DPO interno o esterno? Utili consigli per sceglierlo

 

club
Individuare il Data Protection Officer giusto per la propria azienda è una scelta delicata. Ci si può rivolgere a una risorsa interna, oppure a un professionista esterno. Ci sono vantaggi e svantaggi in entrambi i casi.
In questo articolo – disponibile su www.clubdpo.com – utili consigli per scegliere il DPO più adatto.

Lavoratori inviati all’estero: quale normativa privacy applicare?

club

Un’azienda stabilita in Italia o in altro Paese dell’Unione Europea che invia i suoi dipendenti all’estero (anche in Paesi extraUE) deve applicare, nel trattamento dei dati personali, il GDPR se i dati sono trattati nell’ambito delle attività dello stabilimento sito nell’Unione o se il trattamento è effettuato in Paese extraUE in uno stabilimento connesso con lo stabilimento presente nell’UE. Non rileva, in questo ambito, che il lavoratore venga inviato all’estero in distacco o in trasferta. I dati saranno, in entrambi i casi, trattati in Italia presso la sede dell’azienda.

Fonte: Ipsoa

La polizza assicurativa come soluzione ai rischi informatici

Il paracadute della polizza contro i danni causati dai cyber banditi. Questa la via prudente che uno studio di professionisti dovrebbe imboccare per migliorare ulteriormente il proprio livello di sicurezza dopo l’ingresso nell’era del Gdpr.
«I nuovi asset per i professionisti sono quelli immateriali e, se non tutelati adeguatamente, c’è il concreto rischio di chiudere l’attività», premette Vincenzo Aliotta, director di Aon, gruppo leader nella consulenza dei rischi e delle risorse umane, nell’intermediazione assicurativa e riassicurativa. In altre parole i provvedimenti generalmente presi per tutelare i dati dei terzi non sempre sono efficaci rispetto agli attacchi sferrati dagli hacker. «Per altro si pensa che i rischi maggiori siano quelli causati a terzi – continua Aliotta – sottovalutando quello che potrebbe accadere all’attività del professionista che spesso non acquista la copertura a tutela dei danni propri».

Leggi su

www.clubdpo.com

Privacy, a sei mesi dal Gdpr la situazione si sta assestando

Il peggio sembra essere passato, anche se rimangono aperti alcuni problemi come la costante formazione che deve essere erogata alle molte funzioni che, volenti o nolenti, debbono interloquire con il responsabile aziendale della protezione dei dati personali, o Data protection officer (Dpo).

Continua su www.clubdpo.com

Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata

Il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato dall’Agenzia delle entrate, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”. Per questo motivo ha chiesto all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica [doc. web n. 9059949].

E’ la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dal Regolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami.

Il nuovo obbligo di fatturazione elettronica – esteso a partire dal 1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori – presenta, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.

Entrando nel merito del nuovo sistema di e-fatturazione il Garante ha rilevato una serie di criticità. In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo. Tuttavia non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Altre criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.

Ulteriori problemi pone il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Anche le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.

Una preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Ue, avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.

Il provvedimento del Garante è stato inviato anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.

Roma, 16 novembre 2018