Aggiornati i corsi on line Esperto DPO e Aggiornamento Annuale DPO

Sono stati aggiornati i corsi on line Esperto DPO e Aggiornamento Annuale DPO, con nuovi contenuti inerenti la gestione dei dati personali in ambito emergenza sanitaria Coronavirus.

Aggiornato il corso on line Esperto Covid-19

E’ stato aggiornato il Corso on line Esperto Covid-19 con la lezione on line:
Cosa deve fare un datore di lavoro per minimizzare i rischi Covid-19 di una condanna civile e penale, in cui sono illustrate le modalità operative che il Datore di lavoro deve applicare per dimostrare in caso di procedimento penale e civile, di avere ottemperato alle prescrizioni previste dalle norme e dai protocolli correlati al Covid-19.
Nella lezione sono indicate tutte le evidenze documentali che il Datore di lavoro, deve realizzare e conservare a propria tutela.

Sconto 60% su Edirama.org

G2620

È il codice sconto da utilizzare su http://www.edirama.org per usufruire dell’extrasconto del 10% portando quindi lo sconto totale al 60%.

Su www.edirama.org trovi software, kit documentali e corsi online su: Covid-19, modelli 231, privacy, sicurezza del lavoro, sistemi di gestione.

Promozione valida fino al 3/6/20.

#sicurezzalavoro #covid19 #modelli231 #odv #privacy #coronavirus

Il ruolo degli Organismi di Vigilanza dopo il Gdpr

Il ruolo degli Organismi di Vigilanza dopo il Gdpr
I chiarimenti del Garante Privacy

Il Garante per la privacy ha precisato il ruolo e le responsabilità degli Organismi di Vigilanza (OdV) riguardo ai trattamenti dei dati personali svolti nelle loro funzioni e ha escluso che essi possano essere qualificati come titolari autonomi o come responsabili del trattamento.

Gli OdV sono gli organi ai quali l’ente, ossia la persona giuridica, la società o l’associazione affida, nel rispetto della disciplina sulla responsabilità amministrativa prevista dal decreto legislativo n. 231/2001, il compito di vigilare sull’osservanza dei modelli di organizzazione e di gestione adottati, allo scopo di prevenire i reati commessi nell’interesse o a vantaggio dell’ente, dai vertici dello stesso o da persone a questi sottoposti.

Nella risposta ad una richiesta di parere presentata da un’associazione rappresentativa dei componenti degli Organismi di Vigilanza, il Garante ha infatti chiarito che il Gdpr (Regolamento Ue 679/2016) si pone in linea di continuità con quanto già previsto dalla Direttiva europea sulla privacy del 1995 in relazione alla definizione del ruolo di titolare e responsabile del trattamento: il primo è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo è colui che “tratta dati personali per conto del titolare del trattamento”.

Gli OdV, sia pur dotati di autonomi poteri di iniziativa e controllo previsti dalla normativa 231 per l’espletamento delle loro funzioni, non possono essere considerati autonomi titolari del trattamento perché i loro compiti non sono determinati dagli Organismi stessi, ma dall’organo dirigente dell’ente che, nell’ambito del modello di gestione e organizzazione, ne definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.

Inoltre, l’OdV non può essere considerato neppure quale responsabile del trattamento, inteso come persona giuridicamente distinta dal titolare che agisce per conto di quest’ultimo secondo le istruzioni impartite. Il Gdpr, infatti, pur non modificandone l’essenza, prevede ora, in funzione della gestione dei dati svolta per conto del titolare, un serie di obblighi in capo al responsabile del trattamento, come pure la sua diretta responsabilità per l’eventuale inosservanza degli stessi. Al contrario, eventuali omessi controlli sull’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso.

L’OdV nel suo complesso non è quindi distinto dall’ente ma è “parte dell’ente” che, quale titolare del trattamento, definisce il perimetro e le modalità di esercizio dei compiti assegnati all’organismo, nonché il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. In particolare, l’ente designerà i singoli membri dell’OdV come soggetti autorizzati, i quali dovranno attenersi alle istruzioni del titolare.

Covid-19, test sierologici sul posto di lavoro: i chiarimenti del Garante privacy Il datore di lavoro non può effettuare direttamente esami diagnostici sui dipendenti.

corso_agg_dpo

 

Il datore di lavoro può effettuare direttamente test sierologici per il Covid-19 ai propri dipendenti?  Quali aspetti bisogna considerare nel promuovere screening sierologici nei confronti di lavoratori appartenenti a categorie a rischio come, ad esempio, gli operatori sanitari e le forze dell’ordine?

A queste domande rispondono due Faq appena pubblicate sul sito del Garante http://www.garanteprivacy.it. Le Faq forniscono indicazioni per un corretto trattamento dei dati personali da parte di pubbliche amministrazioni e imprese private e chiariscono i presupposti per l’effettuazione dei test sierologici per il Covid-19 sul posto di lavoro.

Il Garante ha specificato, in particolare, che, nell’ambito del sistema di prevenzione e sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio, il datore di lavoro può richiedere ai propri dipendenti di effettuare test sierologici solo se disposto dal medico competente o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica. Solo il medico del lavoro infatti, nell’ambito della sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici. E sempre il medico competente può suggerire l’adozione di mezzi diagnostici, quando li ritenga utili al fine del contenimento della diffusione del virus, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche riguardo alla loro affidabilità e appropriatezza.

Nelle Faq l’Autorità precisa anche che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami). Il datore di lavoro deve, invece, trattare i dati relativi al giudizio di idoneità del lavoratore alla mansione svolta e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire. Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Il Garante ha chiarito infine che la partecipazione agli screening sierologici promossi dai Dipartimenti di prevenzione regionali nei confronti di particolari categorie di lavoratori a rischio di contagio, come operatori sanitari e forze dell’ordine, può avvenire solo su base volontaria. I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare).

Roma, 14 maggio 2020

Coronavirus: Didattica on line, dal Garante privacy prime istruzioni per l’uso

Nell’intento di fornire a scuole, atenei, studenti e famiglie indicazioni utili a un utilizzo quanto più consapevole e positivo delle nuove tecnologie a fini didattici, il Garante per la privacy ha approvato uno specifico atto di indirizzo che individua le implicazioni più importanti dell’attività formativa a distanza sul diritto alla protezione dei dati personali.

Nella lettera inviata al Ministro dell’Istruzione, al Ministro dell’Università e della ricerca e al Ministro per le pari opportunità e la famiglia per illustrare gli obiettivi del provvedimento, il presidente dell’Autorità Garante, Antonello Soro, ha ricordato che “il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie, nonché alle famiglie stesse, l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie. È una soluzione estremamente importante per garantire la continuità didattica”. E tuttavia, ha sottolineato Soro, “le straordinarie potenzialità del digitale – rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove – non devono indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento”. “Considerando che, spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali, è evidente come anche quest’attività vada svolta con la dovuta consapevolezza, anche sulla base delle indicazioni fornite a livello centrale”.

Da qui l’esigenza di assicurare al mondo della scuola e dell’università un supporto utile alla gestione della didattica on line.

Queste, in sintesi, le prime “istruzioni per l’uso” indicate del Garante.

Nessun bisogno di consenso

Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.

Scelta e regolamentazione degli strumenti di didattica a distanza

Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza scuole e università dovranno orientarsi verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati. Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.

Ruolo dei fornitori dei servizi on line e delle piattaforme

Se la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico. E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola. Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, si dovranno attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login).

Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza.

L’Autorità vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie.

Limitazione delle finalità del trattamento dei dati

Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.

I gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.

Ai dati personali dei minori, inoltre, va garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Tale specifica protezione deve, in particolare, riguardare l’utilizzo dei loro dati a fini di marketing o di profilazione.

Correttezza e trasparenza nell’uso dati

Per garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato. Relativamente ai docenti, scuole e università, nel rispetto della disciplina sui controlli a distanza, dovranno trattare solo i dati strettamente necessari e comunque senza effettuare indagini sulla sfera privata.

Roma, 30 marzo 2020

FAQ Privacy e Coronavirus (Covid19) – Il comportamento legittimo del datore di lavoro.

Durante l’ultima settimana c’è stata una corsa da parte delle aziende a svolgere controlli sui possibili contagi da Covid-19 dei propri dipendenti, fornitori, clienti e in generale dei visitatori delle loro sedi.

Sono state applicate molte azioni “faidate”, con grosse problematiche privacy relative alla pratica di  misurare all’esterno delle aziende, la temperatura corporea (la “febbre”) dei dipendenti, rifiutando l’accesso qualora risulti una temperatura superiore ai 37 gradi. In questo caso i lavoratori vengono rimandati a casa.

Tutto questo è legittimo? In caso di risposta negativa, come deve essere svolto dal punto di vista privacy tale attività?

Una chiara risposta l’ho trovata nell’articolo di Andrea Sitzia, Professore associato di diritto del lavoro Università di Padova, pubblicato sull’ultimo numero della newsletter di Federprivacy.

Riporto i passi più salienti dell’articolo che può essere consultato direttamente dal seguente link

…la misurazione della febbre possa dirsi legittima qualora venga aggiornato il documento di valutazione del rischio, con indicazione del medico competente che prescriva una tale misura come idonea a prevenire il rischio secondo criteri e modalità di diligenza e prudenza. È evidente che solamente qualora la scienza medica indichi una tale misura come necessaria, anche il trattamento del dato personale potrà ritenersi legittimo, purché trattato nel rispetto di tutte le prescrizioni in materia sopra richiamate.

Se, a questo punto, ottemperando ad una misura di sicurezza identificata e prescritta all’interno del DVR, un lavoratore dovesse risultare “fuori parametro”, ed il datore di lavoro, sempre nel rispetto di quanto prescritto dal medico competente, dovesse rifiutare la prestazione lavorativa, la sospensione della prestazione, pur lasciando aperto il profilo retributivo, potrebbe dirsi legittima….

 

Coronavirus: buone prassi per chi svolge i corsi di formazione

Il Coronavirus colpisce anche le attività di formazione professionale, con lo stop nelle aree geografiche dove le ordinanze ne hanno bloccato lo svolgimento, e con l’applicazione di buone prassi ove invece si continueranno a svolgere.
AIFOS ha pubblicato una guida operativa molto interessante che riassume nei seguenti punti cosa fare per ridurre o evitare il contagio nei casi in cui sia possibile svolgere corsi in aula.

– Cercare di organizzare corsi con pochi corsisti facendoli stare seduti il più possibile staccati l’uno dall’altro (se possibile almeno un metro l’uno dall’altro, meglio se due).
– Cercare di tenere almeno due metri di distanza tra il formatore ed i corsisti.
– Prima dell’inizio del corso presentare delle slide per informare i corsisti sul rischio e sulle misure da rispettare e sensibilizzare gli stessi sui corretti comportamenti (usare i riferimenti del Ministero della Salute ripresi anche di seguito).
– Prima e dopo il corso sanificare piani di lavoro presenti nella sala ove avviene il corso, pulire e sanificare prima e dopo il corso le maniglie delle porte ed altre attrezzature utilizzate. L’utilizzo di semplici disinfettanti è in grado di uccidere il virus annullando la sua capacità di infettare le persone, per esempio disinfettanti contenenti alcol (etanolo) al 75% o a base di cloro all’1% (candeggina).
– Utilizzare sanificanti spray per termoconvettori all’inizio dei corsi e durante le pause
– Prima, dopo e nelle pause del corso areare ampiamente la sala corsi aprendo le porte e le finestre. Si possono usare anche spray disinfettanti sulle sedie e le superfici.
– Lavarsi spesso le mani, prima e subito dopo il corso con acqua e sapone con proprietà disinfettanti e durante il corso con soluzioni disinfettanti idroalcoliche.
– Non toccare durante la formazione occhi, bocca e naso.
– Evitare di stringere la mano alle persone.
– Evitare di parlare a stretto contatto con i corsisti e sospendere i corsi BLSD e BLS.
– Starnutire e tossire nell’incavo del braccio.
– Ove possibile prevedere dei bidoni porta rifiuti chiusi dove buttare i fazzoletti di carta usa e getta.

 

 

 

 

 

 

 

Whistleblowing: come trattare i dati?

Whistleblowing
Il termine di origine anglosassone significa “soffiare il fischietto” ed è attivo in Italia dal 2012, con l’entrata in vigore del decreto 165 sull’ordinamento del lavoro nelle amministrazioni pubbliche.

home

Nello specifico, il whistleblowing è la segnalazione del lavoratore dipendente che rinviene una frode, un comportamento pericoloso o in qualsiasi modo contrario alle legge, ai danni dell’azienda stessa, dei colleghi o dei clienti.

Con il DDL Whistleblowing del 2017 si è estesa la tutela del lavoratore che segnala illeciti anche al settore privato, con una modifica al decreto legislativo n. 231 del 2001 relativo alla disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni. In particolare, la modifica ha riguardato l’art. 6 del D.lgs 231/01, che disciplina i modelli di organizzazione e di gestione idonei a prevenire reati. Tali modelli dovranno ora prevedere tra l’altro:

  • uno o più canali che consentano a coloro che a qualsiasi titolo rappresentino o dirigano l’ente di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione;
  • almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;

Implicazioni per la privacy e relazioni con il GDPR

Le attività di Whistleblowing in un sistema documentale 231 richiedono il trattamento di numerosi dati personali ponendo alcuni interrogativi per quanto riguarda la protezione dei dati sia dei segnalati che dei segnalanti.
Vediamo alcune indicazioni operative.

  1. Occorre fornire delle raccomandazioni specifiche e adeguata formazione inerenti la privacy dei dati, alle persone che gestiscono le segnalazioni.
  2. Il responsabile del trattamento deve accertarsi che vengano trattati solo i dati necessari per le apposite finalità di trattamento della segnalazione
  3. Il titolare del trattamento deve indicare che le  informazioni inerenti l’identità del segnalante deve essere mantenuta confidenziale durante l’intero trattamento della segnalazione.
  4. Non vi è obbligo di comunicare al segnalato che eventuali suoi dati personali sono oggetto del trattamento
  5. Occorre inviare un avviso di ricevimento al segnalante in cui sono riassunte tutte le informazioni  ed eventuali allegati alla segnalazione. Questa ricevuta non dove  contenere informazioni identificative (e-mail, numero di telefono, ecc) qualora la persona desiderasse rimanere anonima