Archivio mensile:marzo 2018

Trasporto locale: sì a registrazione immagini in caso di sinistri

Via libera del Garante all’installazione di un dispositivo sui mezzi di trasporto di Genova

Il Garante per la privacy ha autorizzato [doc. web n. 8159431] L’Azienda Mobilità e Trasporti di Genova (AMT S.p.A.) ad installare sul parabrezza anteriore dei propri veicoli aziendali un dispositivo denominato “Roadscan DTW”, in grado di registrare, in caso di incidenti, le immagini relative alla sede stradale prospiciente il veicolo o, su comando attivato dall’autista, le immagini della zona interna del mezzo e di localizzarlo senza riprendere il conducente.

Il sistema permetterà la ricostruzione dinamica di eventuali sinistri e la prevenzione e il contrasto di atti di vandalismo, potenziando la sicurezza dei passeggeri e degli autisti.

Il trattamento potrà essere effettuato solo per le finalità previste e nel rispetto di idonee misure di sicurezza volte a preservare l’integrità dei dati e prevenire accessi abusivi da parte di personale non autorizzato. A tutela dei lavoratori, la società ha concordato con le organizzazioni sindacali l’utilizzo del dispositivo secondo le finalità dichiarate, in base all’art. 4 dello Statuto.

Le informazioni relative alla localizzazione tramite GPS non potranno essere utilizzate per rintracciare on line il veicolo, né per definirne a posteriori il percorso effettuato.

I dati raccolti in occasione di sinistro potranno essere conservati sino a 24 mesi, scadenza del temine di prescrizione previsto dal Codice civile.

La società dovrà adottare un modello semplificato di informativa inglobata in un pittogramma (da collocare su ogni veicolo aziendale), che renda noto agli interessati (utenti, dipendenti e terzi) che in caso di sinistro le immagini saranno registrate

Lavoro: vietato il controllo massivo e la conservazione illimitata delle email

Rispondi

Attraverso l’accesso ai contenuti delle email ricostruito lo scambio di comunicazioni, anche private, tra i lavoratori

No al controllo massivo e alla conservazione senza limite delle email. Il Garante per la privacy ha vietato ad una società il trattamento di dati personali effettuato sulle email aziendali dei dipendenti in violazione della normativa sulla protezione dei dati e di quella sulla disciplina lavoristica. La società dovrà ora limitarsi a conservare i dati a fini di tutela dei diritti nel giudizio pendente. L’Autorità – intervenuta a seguito del reclamo di un dipendente – ha accertato che la società trattava in modo illecito i dati personali contenuti nelle email in entrata e in uscita, anche di natura privata e goliardica, scambiate dal lavoratore con alcuni colleghi e collaboratori. I dati raccolti nel corso di un biennio erano poi stati utilizzati per contestare un provvedimento disciplinare cui era seguito il licenziamento del dipendente poi annullato dal giudice del lavoro [doc. web n. 8159221].

Nel disporre il divieto l’Autorità ha rilevato numerose e gravi violazioni. La società non ha infatti fornito ai dipendenti alcuna informazione su modalità e finalità di raccolta e conservazione dei dati relativi all’uso della posta elettronica, né con una informativa individualizzata né attraverso la policy aziendale. Un comportamento in contrasto con l’obbligo della società di informare i lavoratori riguardo alle caratteristiche essenziali dei trattamenti effettuati, comprese le operazioni che possono svolgere gli amministratori di sistema (ad es., accesso ai contenuti delle email). La società, inoltre, conservava in modo sistematico i dati esterni e il contenuto di tutte le email scambiate dai dipendenti per l’intera durata del rapporto di lavoro e anche dopo la sua interruzione, violando così i principi di liceità, necessità e proporzionalità stabiliti dal Codice privacy. La società – afferma l’Autorità – anziché mettere in atto un trattamento così invasivo, avrebbe potuto agire in modo più efficiente e più rispettoso della riservatezza dei lavoratori predisponendo dei sistemi di gestione documentale in grado di individuare selettivamente i documenti che avrebbero dovuto essere via via archiviati. Inoltre – continua il Garante – la conservazione estesa e sistematica delle mail, la loro memorizzazione per un periodo indeterminato e comunque amplissimo nonché la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo) consente il controllo dell’attività dei dipendenti. Controllo vietato dalla disciplina di settore che non autorizza, anche dopo le modifiche del Jobs Act, verifiche massive, prolungate e indiscriminate. Il datore di lavoro infatti pur potendo controllare l’esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro deve sempre salvaguardare la libertà e la dignità dei dipendenti.

Ingiustificata, in particolare, la raccolta a priori di tutte le email in vista di futuri ed eventuali contenziosi, il Garante ha ribadito infatti che la conservazione deve riferirsi a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate. Il Garante ha ritenuto, infine, non conforme alla legittima aspettativa di riservatezza della corrispondenza l’accesso della società alle email in ingresso sull’account aziendale dopo il licenziamento del lavoratore. Al cessare del rapporto di lavoro la casella di posta elettronica deve essere disattivata e rimossa e al suo posto di devono attivare eventuali account alternativi.

L’Autorità si riserva di valutare con un autonomo procedimento la contestazione di sanzioni amministrative relative agli illeciti riscontrati.

Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato

Rispondi

Pubblicate dal Garante le nuove FAQ sul Responsabile della Protezione deic Dati in ambito privato.

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

3. Chi sono i soggetti privati obbligati alla sua designazione?

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?

6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

7. Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; v. faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

3. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).

I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo. A tal fine, allo stato, è possibile utilizzare il modello di cui al seguente link: http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292

7. Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).

Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Approvato Decreto legislativo che abroga il Codice 196 e introduce il GDPR

Rispondi

Il Consiglio dei Ministri di ieri, 21 marzo 2018, ha approvato in esame preliminare un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento GDRP).

A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.

Quale formazione per la privacy europea?

Rispondi

Con il Reg. Ue 2016/679 la formazione ritorna ad essere un asset importante a cui demandare la prevenzione dei rischi connessi alla gestione dei dati personali, ed evitare quindi le relative sanzioni.

Vediamo cosa occorre fare utilizzando una semplice check list di controllo

1) Il titolare, il responsabile e ogni incaricato devono essere formati sulle novità del Reg. Ue 2016/679

2) La formazione deve prevedere una panoramica sulle novità del Reg.Ue 2016/679, sulle singole responsabilità previste, sulle sanzioni. La formazione deve essere inoltre finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

3) E’ necessario aggiornare tutto il personale , dipendenti e collaboratori, che gestiscono trattamenti dati.

4) Ogni intervento formativo deve essere tracciato, utilizzando per ogni discente un test finale, che certifichi l’avvenuta formazione.

5) La formazione deve essere ripetuta ogni volta che si verifca un aggiornamento delle precedure della gestione dei dati, degli strumenti utilizzati, e ogni volta che si verifica una violazione o una sanzione a carico dell’azienda, e deve contenere in questo caso le misure adottate per evitare il ripetersi della problematica.

6) Il materiale didattico utilizzato, i test finali devono essere conservati perchè talvolta la Guardia di Finanza e il Garante hanno richiesto e verificato anche questa tipologia documentale.

Pubblicato Kit documentazione GDPR privacy europea – 20 modelli già pronti per l’uso

Rispondi

Kit documentazione GDPR è la raccolta di 20 documenti editabili in formato MS Word e MS Excel indispensabili per realizzare l’aggiornamento privacy al nuovo Regolamento europeo privacy Reg. Ue 2016/679.

I modelli disponibili sono i seguenti:

_ check list valutazione conformità Reg. Ue 2016/679 – Anteprima
_ registro trattamenti dati
_ registro informative privacy
_ registro password
_ informativa privacy in presenza dell’interessato – Anteprima
_ informativa privacy in assenza dell’interessato
_ informativa privacy sito web
_ registro valutazione rischi impatto trattamenti dati
_ modulo consenso interessato
_ modulo recesso interessato
_ modulo di comunicazione dei dati all’interessato
_ modulo per la richiesta di accesso ai dati da parte dell’interessato
_ registro violazione dei dati
_ schema di atto di designazione del Responsabile della Protezione dei Dati
_ modello comunicazione al Garante dei dati dell’RPD (DPO)
_ Foglio di lavoro Gestione attività GDPR per Responsabile trattamenti dati
_ Foglio di lavoro Gestione attività GDPR per Titolare trattamenti dati
_ Modulo di comunicazione di una violazione all’autorità di controllo
_ Modulo di comunicazione di una violazione agli interessati
_ Lettera d’incarico professionale per lo svolgimento dell’incarico di Data Protection Officer – Anteprima

In offerta a 397 euro i.e. anzichè 497 euro i.e.

Puoi ordinarlo subito con lo sconto di 100 euro i.e. e riceverlo via email entro 2 ore (con pagamento con carta di credito) o 24 ore (con pagamento con bonifico bancario)

Con carta di credito su protocollo sicuro PayPal

Con bonifico bancario – Importo bonifico Iva inclusa: 484,34 euro
IBAN IT54Y0707202406029000604344 – Emil Banca intestato a Edirama di M. Rapparini – Una volta effettuato il pagamento inviare la ricevuta via fax allo 051-74.50.786 o via email a info@edirama.org.

Gli strumenti di controllo del lavoratore tra diritto del lavoro e privacy

Rispondi

Segnaliamo questo interessante articolo dello studio legale Stefanelli & Stefanelli

Gli strumenti di controllo del lavoratore tra diritto del lavoro e privacy

Circ. Ispettorato del lavoro, n.5/2018

Di particolare interesse è la Circolare dell’Ispettorato del lavoro volta a chiarire modalità operative di istruttoria sulle istanze presentate dai datori di lavoro per la videosorveglianza dei lavoratori.

La questione è nota. L’art.4 L.300/1970 ha subito negli ultimi anni molteplici modifiche che hanno innovato la materia. Rimane in ogni caso l’impianto cardine della norma: tutelare da un lato le esigenze di privacy e riservatezza dei lavoratori e dall’altro la regolare organizzazione della produzione a favore del datore di lavoro…
Accedi all’articolo completo

Il piano ispettivo del Garante nel 2018 e i risultati ottenuti nel 2017

Rispondi

Dati sanitari, rating di impresa, Sistan nel piano ispettivo del Garante
Il bilancio 2017 segna un aumento del 307% dei procedimenti sanzionatori e 13 milioni e 300 mila euro di sanzioni applicate

Dati sanitari a fini di ricerca, rating sulla solvibilità delle imprese, sistema statistico nazionale (Sistan), Spid, telemarketing. Sono questi i settori sui quali nei prossimi mesi punterà la sua lente il Garante per la protezione dei dati personali contenuti nel piano ispettivo per il primo semestre 2018 approvato nelle scorse settimane [doc. web n. 7810451].

L’attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza sulla base del protocollo di intesa siglato con Guardia di finanza, riguarderà innanzitutto i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, il rilascio dell’identità digitale ai cittadini italiani (Spid), l’attività delle società che si occupano di valutare il rischio e la solvibilità delle imprese, il telemarketing, il Sistema Integrato di Microdati (Sim) dell’Istat.

I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull’informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati. L’attività ispettiva verrà svolta anche in riferimento a segnalazioni e reclami con particolare attenzione alle violazioni più gravi.

Intanto il bilancio 2017 dell’attività ispettiva dell’Autorità conferma il forte incremento dell’attività sanzionatoria già registrata lo scorso anno. Nel corso del 2017 sono stati infatti definiti oltre 1.000 procedimenti sanzionatori in più rispetto all’anno precedente, pari ad un aumento del 307%. L’importo della sanzioni applicate con ordinanza-ingiunzione sono cresciute arrivando ad oltre 13 milioni e 300 mila euro. Le sanzioni già riscosse dall’erario sono state di circa 3 milioni e 800 mila euro (pari ad un complessivo 15% in più rispetto al 2016).

Diminuite le segnalazioni all’autorità giudiziaria (41 rispetto alle 53 del 2016).

Gli accertamenti, svolti nel 2017 anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell’ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società operanti nella “sharing economy”, da imprese di vendita a domicilio, da società che operano nel settore dell’intermediazione creditizia o nel recupero crediti, da aziende che offrono servizi di informazioni commerciali, da società che svolgono attività di telemarketing (in particolare di quelle situate in Albania), da società di selezione del personale, da centri odontoiatrici. Oggetto di accertamento anche l’uso di sistemi di geolocalizzazione dei dipendenti da parte di imprese private.

Per quanto riguarda il settore pubblico l’attività di verifica si è concentrata in particolare sulla gestione del “dossier sanitario” da parte di Asl e Aziende ospedaliere e altri enti sanitari pubblici, sulle grandi banche dati pubbliche, sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit, sul sistema informativo dell’Istat, sullo Spid.

Fonte: Garanteprivacy.it