Archivio mensile:aprile 2017

Privacy & Lavoro: geolocalizzazione flotte aziendali, sì con accordo sindacale

Rispondi

Per i sistemi di geolocalizzazione rimane necessario l’accordo sindacale – come previsto dallo Statuto dei lavoratori – e va garantita la riservatezza dei dipendenti. Questa la decisione del Garante della privacy in merito alla richiesta di verifica preliminare presentata da una compagnia che offre servizi idrici e assistenza in caso di problemi alla rete.

In base alla documentazione presentata, la localizzazione geografica dei veicoli utilizzati per gli interventi sarà attivata per molteplici scopi come l’ottimizzazione delle richieste di intervento o delle emergenze, l’innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti, la corretta manutenzione dei veicoli, la tutela del patrimonio aziendale, il calcolo del tempo di lavoro effettivo oppure la gestione di eventuali incidenti stradali o di sanzioni subite per violazioni del codice della strada.

Nel corso dell’istruttoria l’Autorità ha riconosciuto il legittimo interesse della società a rilevare la posizione dei propri mezzi per le molteplici finalità indicate, ma solo nel pieno rispetto della privacy dai lavoratori. Visto che tale sistema potrebbe consentire il controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act, per poterlo attivare dovrà prima essere raggiunto un apposito accordo con le rappresentanze sindacali o, in sua assenza, si dovrà richiedere l’autorizzazione all’Ispettorato nazionale del lavoro.

Dovranno inoltre essere attentamente definite le modalità di raccolta, di elaborazione e di conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita. Ad esempio, se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per cinque anni. I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione. Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati. Deve essere inoltre escluso il monitoraggio dei tracciati percorsi, salvo il possibile trattamento dei relativi dati in forma aggregata o anonima per finalità statistiche e di programmazione del lavoro.

Dovranno essere adottate anche precise misure di sicurezza e l’accesso ai dati trattati dovrà essere consentito al solo personale incaricato, definendo per i dati di geolocalizzazione appositi profili autorizzativi individuali per ogni singolo utente.

La società potrà comunque avviare il trattamento delle informazioni sulla posizione geografica dei veicoli di lavoro solo dopo aver effettuato la notificazione al Garante e aver fornito un’informativa completa ai dipendenti.

Fonte: Garante Privacy

Certificazioni privacy e regolamento UE: che succede?

Rispondi

Un interessante articolo di Paolo Ricchiuto mette in chiaro il nebuloso aspetto delle certificazioni privacy, divenute così importanti con il nuovo regolamento UE privacy 2016/679.

Mentre gli operatori vedono incombere l’onda del “regolamento privacy”, acquista sempre più importanza la scialuppa di salvataggio della certificazione. Ma esiste già, oggi, una certificazione utilizzabile? Se sì, chi può rilasciarla?

Per rispondere, e dare un’occhiata consapevole al mercato, bisogna entrare nel meccanismo delineato dal regolamento, enucleando i seguenti principi di base, che vanno utilizzati come criteri guida fissati dal legislatore europeo:

1. La certificazione, da un lato, non è obbligatoria (art. 42 comma 3); dall’altro, non è completamente risolutiva, in quanto lascia impregiudicata la possibilità per il Garante di contestare eventuali non conformità al regolamento delle misure adottate dal titolare del trattamento (art. 42 comma 4). Vanno, allora, lette con equilibrio alcune disposizioni del regolamento (quali ad esempio l’art. 32 comma 3 in materia di misure di sicurezza) che sì, valorizzano la certificazione, ma nello stesso tempo ne sanciscono la non esaustività.

2. La certificazione può essere rilasciata direttamente dal Garante (art. 42 comma 5) Qui va puntata l’attenzione su una via che potrebbe (finalmente, a modesto avviso di chi scrive) superare quella relazione potenzialmente distorta che lega il controllato/pagante al controllore/pagato: il presidio di istituzionale e sempre certa terzietà che il Garante può assicurare in qualità di certificatore è una chance imperdibile, rispetto alla quale, ad oggi, non sembra però esservi un grande interesse da parte dell’Autorità (fino al 24 maggio 2018 il tempo c’è, chissà che qualcosa non si muova).

3. In alternativa, la certificazione può essere rilasciata dagli organismi che si siano preventivamente accreditati presso il Garante, o presso il certificatore dei certificatori, rappresentato nel nostro paese da Accredia (ente unico nazionale designato dal governo in base al regolamento EU n 765/08).

4. Attenzione, però: perché Accredia (o il Garante) possano accreditare gli organismi di certificazione, deve verificarsi quella che secondo il chiarissimo dettato dell’art. 43 comma 3 è una vera e propria condizione, e cioè che siano stati adottati dal Garante stesso (o in sede europea, dal Comitato) degli specifici criteri, che devono andare ad affiancare quelli normalmente in uso. E non solo: per completare il quadro, il successivo comma 8 rimette alla Commissione europea l’emanazione di atti delegati al fine di precisare i requisiti di cui tener conto per i meccanismi di certificazione.

Sulla base di tutto ciò, considerato che il Garante e/o il Comitato non hanno ancora adottato alcun criterio (e valutata anche, ove ritenuta anch’essa condizionante, la assenza di atti delegati da parte della Commissione), si dovrebbe concludere che ad oggi non esiste alcuna possibilità di certificare la conformità al regolamento, né che Accredia possa definire i requisiti per accreditare gli organismi di certificazione a tale fine.

E invece…

Invece si legge sul sito di Accredia che:
a) L’ente ha fatto proprio uno schema proprietario adottato da un organismo di certificazione, PharmaSoftFea, e lo ha fatto diventare lo standard di riferimento ai fini dell’accreditamento di altri organismi (niente di illegittimo, per carità. Un po’ buffo, però, pensare che l’accreditatore accredita sulla base dei criteri di uno degli accreditandi. O no?)
Ma, ciò che è più importante:

b) Accredia già oggi consente agli organismi di certificazione di accreditarsi sulla base di tale schema.

c) PharmaSoft Fea (lo sviluppatore dello schema proprietario) già oggi rilascia certificazioni che vengono qualificate così: “Attualmente PsFeA è l’unico Organismo di certificazione in Europa ad esser stata accreditata per uno schema di certificazione data protection globale, applicabile a tutte le tipologie di organizzazioni, che risponda pienamente all’esigenze del Nuovo Regolamento EU-GDPR 2016/679.

E’ certamente un limite di chi scrive, ma….non manca qualcosa ?
Ognuno, Garante compreso, potrà dare la sua risposta. La mia è che lo scenario appena descritto non è coerente con quanto previsto nel Regolamento. E se questa posizione risultasse fondata, il rilascio di una certificazione che non può certificare (così come l’accreditamento di certificatori che non possono essere accreditati) sarebbe proprio un pessimo esordio per il Regolamento.

Fonte:
http://www.interlex.it/privacyesicurezza/ricchiuto39.html

Privacy, data protection officer incompatibile con il manager IT

Rispondi

Una delle novità introdotte dal nuovo regolamento UE 2016/679, è quella relativa al data protection officer (dpo). Anche se prima la direttiva 95/46/CE non obbligava imprese ed enti a designare questa figura, in realtà essa esisteva già da diversi anni in numerosi Stati membri dell’UE, tra i quali la Germania, dove tuttora il Federal Data Protection Act la impone ad esempio alle aziende che hanno almeno 10 persone che sono coinvolte nel trattamento automatizzato di dati personali.

E proprio in Germania, di recente il Garante per la privacy bavarese ha multato una società che aveva designato il proprio IT manager come data protection officer, e questo nonostante la normativa prevedesse la possibilità di nominare sia un dipendente che un professionista esterno.

Perché allora la società è stata sanzionata? il motivo per cui è scattata la sanzione non interessa solo le aziende tedesche ma tutte quelle dell’intera UE che ricadono nell’obbligo di dotarsi del cosiddetto privacy officer: se è vero che la contestazione sollevata dall’Autorità bavarese si basa sul Federal Data Protection Act, d’altra parte essa poggia sul principio dettato dall’articolo 38 del nuovo Regolamento Europeo, che dal 25 maggio 2018 sarà direttamente applicabile in tutti gli Stati membri, e che riguardo la posizione del data protection officer richiede che il titolare del trattamento “si assicura che tali compiti e funzioni non diano adito a un conflitto d’interessi”.

Nonostante sia consentito al dpo di svolgere anche altre mansioni, queste non devono però risultare incompatibili con la stessa posizione di data protection officer, che in casi come quello preso in esame dal Garante tedesco avrebbe dovuto in pratica controllare se stesso, verificando se le proprie attività di IT manager erano conformi alla normativa in materia di protezione di dati personali, e una forma di auto-monitoraggio contrasta con l’assenza di conflitti d’interessi e l’indipendenza richiesti al soggetto che svolge questo ruolo.

Poiché i compiti del data protection officer comportano obblighi di controllo che generalmente sono prerogativa delle autorità, l’indipendenza di questo è un aspetto fondamentale, e come il conflitto d’interessi è stato rilevato in relazione alla sua funzione parallela di IT manager, ciò non esclude che lo stesso problema possa presentarsi anche in casi in cui l’intenzione del management sia quella di individuare il dpo tra dipendenti che sono già a capo di altri reparti significativamente implicati nel trattamento dei dati personali, come possono esserlo le risorse umane e l’amministrazione del personale, l’ufficio legale, o anche la direzione marketing.

A tal proposito, le Linee Guida WP 243 adottate il 13 dicembre dal Working Party articolo 29,  hanno sottolineato che, seppure sia permesso al data protection officer di svolgere allo stesso tempo altre funzioni, l’organizzazione deve garantire che “tali compiti e doveri non diano luogo ad un conflitto di interessi”, e ciò comporta che di caso in caso debba essere preventivamente accertato che la persona scelta per essere nominata DPO non ricopra funzioni in cui essa concorra a determinare le finalità e le modalità del trattamento dei dati personali.

Per tale ragione, le linee guida dettate dal Working Party 29 evidenziano che, a seconda delle attività, delle dimensioni e della struttura dell’organizzazione, per i titolari del trattamento che si apprestano a designare il data protection officer, può essere buona pratica identificare le posizioni incompatibili con la funzione di dpo, stabilire delle regole interne per evitare situazioni di conflitto d’interesse, sensibilizzare il tema fornendo una spiegazione generale su questo requisito, dichiarare specificamente che il proprio dpo non ha alcun conflitto per quanto riguarda questa funzione, e precisare che per ricoprire tale ruolo è indispensabile evitare qualsiasi forma di conflitto d’interessi.

Non è ancora noto a quanto ammonti la sanzione comminata alla società tedesca che aveva nominato il proprio IT manager come data protection officer, tuttavia quella del conflitto d’interessi con il nuovo Regolamento Europeo è una questione di primaria importanza che aziende pubbliche e private devono valutare attentamente per evitare violazioni che in questi casi potrebbero comportare multe fino a 10 milioni di euro o al 2% del fatturato globale annuo.

Fonte:
http://www.corrierecomunicazioni.it/digital/45003_privacy-data-protection-officer-incompatibile-con-il-manager-it.htm

Data Protection Officer: una figura strategica tra privacy e security

Rispondi

Il Sole 24 Ore dedica un articolo al Data Protection Officer. Di questa figura professionale si sta iniziando a parlare con sempre maggiore insistenza perché, nella sostanza, la richiede il nuovo Regolamento europeo 2016/679 per la protezione e libera circolazione dei dati personali, il cosiddetto Gdpr, che andrà in vigore a partire da maggio del prossimo anno.
(Fonte Federprivacy)

 

Link all’articolo

Banca dati Dna: Garante, rafforzare le tutele per le persone assolte

Rispondi

Sì del Garante privacy sulla bozza dell’ultimo dei decreti attuativi che regolamentano la banca nazionale del Dna [doc. web n. 6163803]. L’Autorità ha chiesto tuttavia maggiori garanzie sull’aggiornamento dei dati, sulla cancellazione di quelli riferibili a persone assolte con sentenza definitiva e regole chiare per l’accesso alle informazioni da parte delle istituzioni nazionali.

Il testo, predisposto dal Ministero dell’interno di concerto con il Ministro della giustizia, definisce le modalità di cancellazione dei profili genetici, di distruzione dei campioni biologici, di immissione e aggiornamento e conservazione dei dati delle persone censite, come i condannati in via definitiva o chi è stato sottoposto a misure cautelari per reati dolosi gravi (ad esempio la violenza sessuale o la rapina).

Con questo ultimo atto sarà finalmente data piena attuazione alla disciplina necessaria per lo scambio dei dati sul Dna per le finalità di cooperazione transfrontaliera soprattutto nella lotta al terrorismo e alla criminalità internazionale.

Proprio per la delicatezza dei dati trattati, lo schema è stato sottoposto all’analisi del Garante, il quale ha espresso parere favorevole, ma ha segnalato l’esigenza di apportare alcune modifiche che garantiscano il pieno rispetto dei principi individuati dalla normativa privacy.

In particolare l’Autorità ha chiesto che le informazioni genetiche e gli altri dati personali contenuti nella banca dati siano aggiornati costantemente – anche alla luce delle comunicazioni processuali – e non in base a intervalli predeterminati, così da garantirne sempre l’esattezza. A tal proposito ha segnalato la necessità di cancellare prontamente tutti i dati riferibili a chi è stato assolto con sentenza definitiva perché il fatto non sussiste, perché l’imputato non lo ha commesso, perché il fatto non costituisce reato o perché il fatto non è previsto dalla legge come reato.

Nel provvedimento l’Autorità ha anche segnalato l’importanza di fornire un’adeguata informativa alle persone i cui profili sono registrati in banca dati.

Il Garante ha infine evidenziato la necessità di chiarire le regole che impongono la cancellazione di un profilo di Dna, di specificare dove saranno memorizzate le informazioni, e di individuare con maggiore precisione quali siano i soggetti nazionali che hanno il diritto di accedere a dati così delicati.

Un post su Facebook non è mai per i soli “amici”

Rispondi

Un post su Facebook non è mai veramente riservato ai soli “amici”, anche se è pubblicato in un profilo “chiuso”. Se poi si “postano” informazioni su minori l’attenzione deve essere massima. Il principio è stato affermato dal Garante privacy in un provvedimento [doc. web n. 6163649] con il quale ha ordinato a una donna la rimozione dalla propria pagina Facebook di due sentenze, sulla cessazione degli effetti civili del matrimonio, in cui erano riportati delicati aspetti di vita familiare che riguardavano anche la figlia minorenne.

L’Autorità – intervenuta  su segnalazione dell’ex marito che lamentava una violazione del diritto alla riservatezza della figlia – ha ritenuto che la divulgazione dei provvedimenti giurisdizionali in questione fosse incompatibile con quanto stabilito dal Codice privacy. Il Codice vieta infatti la pubblicazione “con qualsiasi mezzo” di notizie che consentano l’identificazione di un minore coinvolto in procedimenti giudiziari, nonché la diffusione di informazioni che possano rendere identificabili, anche indirettamente, i minori coinvolti e le parti in procedimenti in materia di famiglia. Secondo il Garante, poi, l’estrema pervasività della divulgazione su Internet aggrava notevolmente la violazione di diritti della persona, in questo caso per giunta minore di età. Non può essere provata infatti, sempre secondo il Garante, la persistente natura chiusa del profilo e la sua accessibilità a un gruppo ristretto di “amici”, perché il profilo è facilmente modificabile, da “chiuso” ad “aperto”, in ogni momento da parte dell’utente. Vi è, inoltre, la possibilità che un “amico” condivida il post con le sentenze sulla propria pagina, rendendolo visibile ad altri iscritti, determinando così una possibile conoscibilità “dinamica”, più o meno ampia, del contenuto che può estendersi potenzialmente a tutti gli iscritti a Facebook.

Nel disporre la rimozione, l’Autorità ha sottolineato infine, che le sentenze consentono di rendere identificabile la bambina nella cerchia di persone che condividono le informazioni “postate” dalla madre sul proprio profilo e contengono dettagli molto delicati, anche inerenti alla sfera sessuale, al vissuto familiare e a disagi personali della piccola.