Archivio dell'autore: sicurezzapratica

Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali (AGGIORNATO AL 13 OTTOBRE

corso_agg_dpo

Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali (AGGIORNATO AL 13 OTTOBRE

modlelo_rel_ann_DPO

Sicurezza dei dati personali dei lavoratori nella fase 2 della emergenza COVID-19 in Italia

corso_agg_dpo

Un interessante articolo da consultare Camilla Martins dos Santos Benevides, Sicurezza dei dati personali dei lavoratori nella fase 2 della emergenza COVID-19 in Italia

modlelo_rel_ann_DPO

Newsletter del Garante del 30/9/2020

corso_agg_dpo

NEWSLETTER N. 468 del 30 settembre 2020

• Concorsi pubblici, Garante: i dati dei partecipanti devono essere blindati
• Spid: ok del Garante privacy a nuove modalità per il rilascio dell’identità digitale
• Accesso civico: no ai dati sulla salute che rendono identificabili le persone

modlelo_rel_ann_DPO

Concorsi pubblici, Garante: i dati dei partecipanti devono essere blindati
Sanzionati un’azienda ospedaliera e una società per complessivi 140mila euro

Per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri l’Azienda ospedaliera Cardarelli di Napoli si è vista applicare dal Garante per la privacy una multa di 80mila euro. Un’altra sanzione di 60mila euro è stata irrogata alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.

A seguito di una segnalazione, con la quale si lamentava il fatto che i dati dei candidati alla selezione – in alcuni casi anche relativi alla salute (titoli di preferenza e certificazioni mediche) – fossero liberamente accessibili online, l’Autorità ha avviato una complessa istruttoria, anche attraverso accertamenti ispettivi, che ha messo in luce numerosi e gravi inadempimenti alla disciplina di protezione dati.

Collegandosi alla piattaforma per la gestione delle domande, per un’errata configurazione dei sistemi, in un determinato arco temporale era stato infatti possibile visualizzare un elenco di codici, assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale nella quale erano contenuti i documenti presentati dai partecipanti. Utilizzando i codici si sarebbe perfino potuto modificare i dati personali inseriti dai concorrenti. L’Autorità – composta dal Presidente Pasquale Stanzione, dalla Vicepresidente Ginevra Cerrina Feroni e dai Componenti Agostino Ghiglia e Guido Scorza – ha ritenuto illeciti i trattamenti di dati personali svolti dall’Azienda ospedaliera e dalla Società perché effettuati in violazione delle norme del Regolamento europeo.

Entrambi i soggetti non avevano infatti adottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati. L’Azienda ospedaliera, oltretutto, non aveva fornito ai partecipanti una idonea informativa e aveva anche omesso di regolamentare il rapporto con la Società che gestiva la piattaforma con un contratto o con un altro atto giuridico che disciplinasse il trattamento di dati effettuato per suo conto. Il Garante infine, rilevato che la Società continuava a conservare e rendere disponibili sulla propria piattaforma i dati dei partecipanti anche dopo la cessazione della fornitura del servizio, ha vietato ogni ulteriore trattamento ad eccezione di quanto necessario per la difesa dei diritti in sede giudiziaria. Entro 30 giorni la Società dovrà comunicare all’Autorità le iniziative prese per assicurare la cessazione del trattamento.

Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento.

L’Autorità tenuto conto della particolare delicatezza dei dati diffusi, oltre alla sanzione pecuniaria ha applicato la sanzione accessoria della pubblicazione dei due provvedimenti sul proprio sito web.


Spid: ok del Garante privacy a nuove modalità per il rilascio dell’identità digitale
Riconoscimento da remoto senza la presenza contestuale di un operatore

Via libera del Garante per la protezione dei dati personali alle nuove modalità di rilascio delle identità digitali mediante il riconoscimento da remoto, grazie alle modifiche delle modalità attuative dello Spid (Sistema pubblico per la gestione dell’identità digitale di cittadini e imprese), proposte dall’Agid (Agenzia per l’Italia digitale). La nuova procedura di riconoscimento da remoto introdotta dall’Agid non prevede più la presenza contestuale dell’operatore del gestore Spid e del richiedente, che dovrà però effettuare un bonifico dal suo conto corrente.

In sintesi, per ottenere Spid con la nuova modalità, il richiedente, dopo una prima registrazione sul sito del gestore, dovrà avviare una sessione automatica audio-video, durante la quale mostrerà il proprio documento di riconoscimento e il tesserino del codice fiscale o la tessera sanitaria. In più, per evitare tentativi di furti di identità, la procedura è stata rafforzata con specifiche misure di sicurezza e verifiche incrociate: durante la sessione audio-video, infatti il richiedente dovrà leggere un codice ricevuto via sms o tramite un’apposita App installata sul cellulare personale. È inoltre previsto che il richiedente effettui un bonifico da un conto corrente italiano a lui intestato o cointestato, indicando nella causale uno specifico codice precedentemente ricevuto. Tutte queste informazioni e la registrazione audio-video saranno in seguito verificate dall’operatore di back-office che procederà al rilascio dell’identità digitale.

Nel corso delle interlocuzioni per il rilascio del parere, come ulteriore misura di garanzia e per poter valutare l’affidabilità della procedura, il Garante per la privacy ha chiesto che il gestore dell’identità digitale sottoponga a ulteriori controlli a campione le richieste, facendo verificare nuovamente l’audio-video a un secondo operatore. Al termine di un periodo di test di sei mesi delle nuove procedure, l’Agid dovrà trasmettere al Garante un report con l’esito di queste verifiche, così da valutare l’efficacia del controllo di secondo livello.

L’Agid dovrà poi inviare al Garante i report settimanali, redatti dai gestori Spid, relativi alle richieste di rilascio respinte per profili critici connessi al trattamento dei dati personali e configurabili come tentativi fraudolenti. Tali riscontri potranno essere utili al Garante per svolgere eventuali accertamenti e valutare la necessità di individuare ulteriori misure tecniche e organizzative per rafforzare il procedimento di identificazione da remoto.

Accesso civico: no ai dati sulla salute che rendono identificabili le persone

Non si possono diffondere dati sulla salute che rendano anche indirettamente identificabili le persone. Lo ha ribadito il Garante per la protezione dei dati personali dando ragione al Responsabile per la prevenzione della corruzione e della trasparenza della Regione Autonoma Valle d’Aosta, che aveva parzialmente negato l’accesso a particolari dati concernenti la distribuzione dei casi di Covid-19 registrati nella Regione ad un giornalista che ne aveva fatto richiesta.

Il giornalista aveva chiesto i dati suddivisi per Comune, sesso, età, esito, domicilio, data delle diagnosi di infezione, numero ed esiti dei tamponi eseguiti per paziente e numero, distribuzione per Comune e dati relativi alle telefonate pervenute all’apposita struttura della Regione, da ultimo le persone prese in carico per infezione da Covid-19.

Pur riconoscendo l’“interesse conoscitivo” alla base della richiesta, la Regione, per evitare che le persone contagiate venissero identificate, aveva accordato solo un accesso parziale a questi dati: aveva fornito alcuni tipi di dati in forma aggregata (tamponi effettuati ogni settimana e casi positivi totali nell’intero periodo, per ogni Comune; casi positivi, guariti e decessi nell’intera regione, tutte informazioni suddivise per sesso) e negato l’accesso ad altri.

Il Garante ha ritenuto corretto l’operato della Regione nel parere fornito a quest’ultima a seguito della richiesta di riesame avanzata dal giornalista. La generale conoscenza del complesso delle informazioni richieste, ha osservato il Garante, poteva infatti consentire, in ragione dello scarso numero degli abitanti che caratterizza molti Comuni valdostani, di identificare i soggetti colpiti dal virus.

Il Garante ha peraltro ricordato che, qualora l’istanza riguardi dati personali relativi alla salute, l’accesso civico deve essere escluso, così come previsto dalla normativa in materia di trasparenza e come confermato anche dalle Linee guida dell’Anac in materia di accesso civico.

La relazione annuale del DPO: errori da evitare

La relazione annuale del DPO al vertice gerarchico dell’azienda,  è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.

modlelo_rel_ann_DPO

La relazione annuale del DPO, ha una duplice funzione:
_ per  il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.

Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.

  1. strutturarla in modo poco dettagliato
  2. omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
  3. incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
  4. elenco DPIA attivate non aggiornato
  5. elenco DATA BREACH non aggiornato
  6. assenza programmazione verifiche/audit per l’anno successivo
  7. indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO
  8. Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
  9. nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sula privacy .

Quesito risolto: Nel caso di sviluppo di un’app di delivery food, la fase di test può essere condotta in deroga agli adempimenti GDPR?

Leggi la risposta in fondo alla pagina
**************************************************************************************************************************************************

Ti segnalo i software, scontati del 50%, della nostra collana editoriale dedicata ai DPO.

Software Registro trattamenti manager 
 Software ISPEZIONE GDPR
 GDPR Manager  – software gestione documentazione privacy
Clubdpo.com il servizio di aggiornamento continuo per il DPO
Software Check DPO + certificato Check DPO OK 
_  Software DPO EASY

 E cosa stai facendo per la tua formazione? Ecco i corsi on line con due novità inerenti il Covid-19:
il corso online Referente Aziendale Covid-19 
corso online Referente Scolastico COVID-19

La collana corsi on line privacy, DPo scontata del 50%

Corso Aggiornamento annuale per DPO
_
 Corso on line Esperto DPO
_
 Corso on line Esperto Privacy
Corso on line Esperto Audit Privacy
Corso on line Esperto Privacy – SCUOLA

************************
Il Regolamento (UE) 2016/679 non fa distinzione tra ambiente di test/prova e di mercato; gestisce il trattamento di dati personali in particolare come quello del quesito, in ambito commerciale. Se il test prevede il trattamento di dati personali occorre applicare le regole e le prescrizioni del GDPR

Covid-19 e protezione dei dati – Indicazioni per attività commerciali, associative e ricreative

 

Covid-19 e protezione dei dati – Indicazioni per attività commerciali, associative e ricreative [6474 k, pdf]

Aggiornati i corsi on line Esperto DPO e Aggiornamento Annuale DPO

Sono stati aggiornati i corsi on line Esperto DPO e Aggiornamento Annuale DPO, con nuovi contenuti inerenti la gestione dei dati personali in ambito emergenza sanitaria Coronavirus.

Aggiornato il corso on line Esperto Covid-19

E’ stato aggiornato il Corso on line Esperto Covid-19 con la lezione on line:
Cosa deve fare un datore di lavoro per minimizzare i rischi Covid-19 di una condanna civile e penale, in cui sono illustrate le modalità operative che il Datore di lavoro deve applicare per dimostrare in caso di procedimento penale e civile, di avere ottemperato alle prescrizioni previste dalle norme e dai protocolli correlati al Covid-19.
Nella lezione sono indicate tutte le evidenze documentali che il Datore di lavoro, deve realizzare e conservare a propria tutela.

Sconto 60% su Edirama.org

G2620

È il codice sconto da utilizzare su http://www.edirama.org per usufruire dell’extrasconto del 10% portando quindi lo sconto totale al 60%.

Su www.edirama.org trovi software, kit documentali e corsi online su: Covid-19, modelli 231, privacy, sicurezza del lavoro, sistemi di gestione.

Promozione valida fino al 3/6/20.

#sicurezzalavoro #covid19 #modelli231 #odv #privacy #coronavirus

Il ruolo degli Organismi di Vigilanza dopo il Gdpr

Il ruolo degli Organismi di Vigilanza dopo il Gdpr
I chiarimenti del Garante Privacy

Il Garante per la privacy ha precisato il ruolo e le responsabilità degli Organismi di Vigilanza (OdV) riguardo ai trattamenti dei dati personali svolti nelle loro funzioni e ha escluso che essi possano essere qualificati come titolari autonomi o come responsabili del trattamento.

Gli OdV sono gli organi ai quali l’ente, ossia la persona giuridica, la società o l’associazione affida, nel rispetto della disciplina sulla responsabilità amministrativa prevista dal decreto legislativo n. 231/2001, il compito di vigilare sull’osservanza dei modelli di organizzazione e di gestione adottati, allo scopo di prevenire i reati commessi nell’interesse o a vantaggio dell’ente, dai vertici dello stesso o da persone a questi sottoposti.

Nella risposta ad una richiesta di parere presentata da un’associazione rappresentativa dei componenti degli Organismi di Vigilanza, il Garante ha infatti chiarito che il Gdpr (Regolamento Ue 679/2016) si pone in linea di continuità con quanto già previsto dalla Direttiva europea sulla privacy del 1995 in relazione alla definizione del ruolo di titolare e responsabile del trattamento: il primo è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo è colui che “tratta dati personali per conto del titolare del trattamento”.

Gli OdV, sia pur dotati di autonomi poteri di iniziativa e controllo previsti dalla normativa 231 per l’espletamento delle loro funzioni, non possono essere considerati autonomi titolari del trattamento perché i loro compiti non sono determinati dagli Organismi stessi, ma dall’organo dirigente dell’ente che, nell’ambito del modello di gestione e organizzazione, ne definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.

Inoltre, l’OdV non può essere considerato neppure quale responsabile del trattamento, inteso come persona giuridicamente distinta dal titolare che agisce per conto di quest’ultimo secondo le istruzioni impartite. Il Gdpr, infatti, pur non modificandone l’essenza, prevede ora, in funzione della gestione dei dati svolta per conto del titolare, un serie di obblighi in capo al responsabile del trattamento, come pure la sua diretta responsabilità per l’eventuale inosservanza degli stessi. Al contrario, eventuali omessi controlli sull’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso.

L’OdV nel suo complesso non è quindi distinto dall’ente ma è “parte dell’ente” che, quale titolare del trattamento, definisce il perimetro e le modalità di esercizio dei compiti assegnati all’organismo, nonché il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. In particolare, l’ente designerà i singoli membri dell’OdV come soggetti autorizzati, i quali dovranno attenersi alle istruzioni del titolare.