Archivi categoria: garante privacy

Garante privacy: via libera alle nuove modalità di verifica del green pass nelle scuole

Il Garante per la protezione dei dati personali, in via d’urgenza, ha espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che introduce modalità semplificate di verifica delle certificazioni verdi del personale scolastico, alternative a quelle ordinarie che prevedono l’uso dell’App VerificaC19, che rimane comunque utilizzabile.

Il testo recepisce le indicazioni fornite dal Garante nell’ambito delle interlocuzioni informali e delle riunioni con i rappresentati del Ministero dell’istruzione e del Ministero della salute, al fine di assicurare il corretto adempimento degli obblighi in materia di green pass per il personale scolastico e il rispetto della disciplina di protezione dei dati personali, nonché di evitare conseguenze discriminatorie, anche indirette, nel contesto lavorativo.

In particolare, le istituzioni scolastiche, in qualità di datori di lavoro, si limiteranno a verificare – attraverso il Sistema informativo dell’istruzione-Sidi e la Piattaforma nazionale-DGC – il mero possesso della certificazione verde Covid-19 da parte del personale, trattando esclusivamente i dati necessari.

Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo comunque chi è assente per specifici motivi: ad esempio, per ferie, permessi o malattia.

A seguito dell’attività di controllo del green pass, i soggetti tenuti alle verifiche potranno raccogliere solo i dati strettamente necessari all’applicazione delle misure previste in caso di mancato rispetto degli obblighi sul green pass (ad esempio assenza ingiustificata, sospensione del rapporto di lavoro e del pagamento dello stipendio).

Particolare attenzione è stata posta anche sulle misure di sicurezza da adottare. I soggetti tenuti ai controlli potranno accedere, in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza. Per evitare eventuali abusi, le operazioni di verifica del possesso delle certificazioni Covid-19 da parte dei soggetti tenuti ai controlli saranno oggetto di registrazione in appositi log (conservati per dodici mesi), senza però conservare traccia dell’esito delle verifiche.

È inoltre previsto che la valutazione di impatto, effettuata dal Ministero della Salute, relativa ai trattamenti connessi all’emissione e alla verifica delle certificazioni verdi Covid-19, sia integrata e aggiornata tenendo conto degli specifici scenari di rischio legati ai dati sanitari del circa un milione di lavoratori della scuola, prestando particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo.

Garante privacy: no al controllo indiscriminato dei lavoratori

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

È quanto affermato dal Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato. L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.

Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr. Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.

Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.

Nell’ambito dell’istruttoria, sono state inoltre riscontrate violazioni anche in merito al trattamento dei dati relativi alle richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo, Il modulo, messo a disposizione dall’amministrazione, prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sulla salute illecito.

Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

corso on line aggiornamento annuale dpo
CORSO ON LINE AGGIORNAMENTO ANNUALE DPO

Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi? Come deve essere supportato e coinvolto, e per quali compiti?

A queste e a molte altre domande risponde il Garante per la privacy con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico, da oggi sul sito http://www.gpdp.it.

L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.

Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”.

Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.

Il documento di indirizzo, in corso di pubblicazione nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.

Oltre al documento rivolto alla Pa, il Garante è intervenuto aggiornando le Faq riguardanti il settore privato. Anche in questo ambito il Rdp, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale. Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative, che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.

Anche le Faq aggiornate sono disponibili da oggi sul sito dell’Autorità.

Newsletter del Garante Privacy N. 476 del 27/4/2021

• Telemarketing selvaggio: il Garante sanziona tre call center
• Direct marketing, Garante: il diritto di opposizione degli utenti va rispettato
• Oblio: no alla cancellazione di un articolo dall’archivio online di un quotidiano
• Cronaca, Garante: troppi dettagli causano pregiudizio, soprattutto ai minori

https://edirama.org/prodotto/modello-report-relazione-annuale-del-dpo-alla-direzione-aziendale/

Privacy: Il datore di lavoro non deve sapere chi si è vaccinato

Lo dice il garante della privacy in risposta ad alcune FAQ relative al trattamento dei dati personali di vaccinazione Covid-19 dei dipendenti di imprese, enti e amministrazioni pubbliche.

Il trattamento di questi dati costituisce un illecito.

In pratica il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali.

Il datore di lavoro può solo acquisire,  i giudizi di idoneità alla mansione specifica redatti dal medico competente (che potrà invece verificare nella propria anamnesi se il lavoratore risulti o meno vaccinato).

FAQ – Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo

1. Il datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione?

NO. Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro.

Il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (considerando 43 del Regolamento).

corso_agg_dpo

2. Il datore di lavoro può chiedere al medico competente i nominativi dei dipendenti vaccinati?

NO. Il medico competente non può comunicare al datore di lavoro i nominativi dei dipendenti vaccinati. Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).

Il datore di lavoro può invece acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008).

3. La vaccinazione anti covid-19 dei dipendenti può essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni (ad es. in ambito sanitario)?

Nell’attesa di un intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, allo stato, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008).

In tale quadro solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del d.lgs. n.81/2008).

Le schede sui diritti di accesso ai dati personali – Disponibile la terza scheda: Diritto di accesso riguardante persone decedute

corso_agg_dpo

Il Garante lancia una serie di prodotti informativi che affrontano con un linguaggio semplice il tema del diritto di accesso, dal caso generale ad alcuni più particolari.

L’iniziativa fa parte di un più ampio progetto dell’Autorità, che punta ad offrire strumenti per comprendere facilmente quali diritti sono riconosciuti alle persone in materia di protezione dei dati personali e illustrano le modalità per un concreto esercizio di tali diritti.

Le schede saranno pubblicate sul sito Internet del Garante alla pagina https://www.garanteprivacy.it/home/diritti. La prima scheda approfondisce il tema: diritto di accesso dell’interessato.

Data breach: le istruzioni dei Garanti privacy Ue per gestire le violazioni di dati

corso_agg_dpo

Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.

Le “Guidelines 01/2021 on Examples regarding Data Breach Notification“, approvate nella riunione plenaria del 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati – affrontati dai Garanti privacy nazionali, incluso quello italiano – subiti da banche, ospedali, medie imprese, municipalità, società che offrono servizi online di vario genere.

Sul documento l’Edpb ha avviato una consultazione pubblica per un periodo di sei settimane (fino al 2 marzo 2021).

Le linee guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche, raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione), indicano in quali casi chi tratta i dati deve notificare la violazione all’Autorità Garante e, se necessario, informare le persone coinvolte.

Tra le mancanze più frequenti ricordati dalle Linee guida vi è, ad esempio, l’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare violazioni anche la non corretta gestione dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro. Nel settore bancario, potrebbe causare enormi danni l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti. Drammatiche potrebbero essere le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati.

Il testo, che integra e aggiorna gli orientamenti già forniti negli anni passati dal Gruppo “Articolo 29”, proprio per offrire un contributo concreto a imprese e Pa, analizza anche le misure adottate dai titolari del trattamento, prima di aver subito un data

modlelo_rel_ann_DPO

Data Breach: il Garante lancia un nuovo servizio online per semplificare gli adempimenti

corso_agg_dpo

E’ operativo da oggi il nuovo servizio del Garante (https://servizi.gpdp.it/databreach/s/) per supportare i titolari del trattamento negli adempimenti previsti in caso di Data Breach (violazioni dei dati personali).

Da qui gli utenti potranno accedere al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di Notifica di una violazione dei dati personali all’autorità di controllo e di Comunicazione di una violazione dei dati personali all’interessato.

modlelo_rel_ann_DPO

App IO: approfondimento sulla privacy e conservazione dei dati personali

corso_agg_dpo

PagoPA S.p.A. opera nella ferma convinzione che la privacy dei cittadini sia un valore irrinunciabile e un elemento essenziale della digitalizzazione della Pubblica Amministrazione. Proprio per questo, tutti i nostri progetti sono attentamente verificati dal nostro team di esperti privacy. Tra questi, anche l’App IO è stata analizzata nei minimi dettagli per assicurare il pieno rispetto del Regolamento Generale sulla protezione dei dati (GDPR) ai propri utenti.

modlelo_rel_ann_DPO

Per quanto riguarda il programma Cashback, il decreto del Ministero dell’economia e delle finanze (DM n.156/2020), su cui il Garante per la protezione dei dati personali ha espresso il proprio parere positivo, ha disciplinato nel dettaglio le modalità di trattamento dei dati raccolti tramite il programma. Inoltre, il Garante ha approvato la valutazione di impatto (DPIA) che è stata predisposta dal Ministero dell’Economia e delle Finanze, in quanto titolare del programma, con la collaborazione di PagoPA S.p.A., e che descrive tutti i flussi e trattamenti che quest’ultima svolge per conto del Ministero stesso.

Il sistema alla base dell’App IO non comporta alcuna profilazione o geolocalizzazione degli utenti. Nel caso specifico del Cashback, il sistema non registra né la tipologia di acquisto né il luogo in cui sono effettuati gli acquisti da parte dell’utente, ma memorizza unicamente: un codice crittografato in modo irreversibile (tecnicamente detto “hash PAN”) che corrisponde allo strumento di pagamento registrato ai fini del programma; data, ora e importo dell’acquisto effettuato tramite quello strumento di pagamento, unicamente per rendere visibili all’utente le transazioni che permettono il calcolo del rimborso ai fini del Cashback.

Il sistema alla base dell’App IO non memorizza i dati delle carte di credito/debito aggiunte dall’utente nella sezione “Portafoglio”: questi, infatti, vengono memorizzati dal fornitore SIA S.p.A. in un ambiente protetto secondo gli standard PCI DSS (Payment Card Industry Data Security Standard) e conservati in server situati in Italia.

Il sistema alla base dell’App IO, quindi, non trasferisce all’estero i dati relativi agli strumenti di pagamento aggiunti nella sezione “Portafoglio” (es. i dati delle carte di credito/debito). Allo stesso modo, i server dove vengono memorizzati i dati personali degli utenti (quali, ad esempio, il codice fiscale, l’email, le informazioni contenute nella sezione “Messaggi”) sono situati all’interno dell’Unione Europea dove è applicato il Regolamento generale sulla protezione dei dati personali (GDPR) e, quindi, le stesse tutele applicabili in Italia.

Utilizziamo alcuni fornitori extra UE per servizi marginali o residuali e sempre, in ogni caso, in modo pienamente conforme alla normativa sulla protezione dei dati personali italiana. In particolare, utilizziamo fornitori esteri solo per un servizio che ci aiuta a gestire le segnalazioni degli utenti e per uno strumento che raccoglie i dati sull’utilizzo dell’app e che usiamo per scopi di debug (individuazione e correzione di problemi tecnici), incident response (gestione degli incidenti informatici), assistenza tecnica e miglioramento dell’App. Inoltre, in alcuni casi residuali, potremmo utilizzare uno strumento di comunicazione interna aziendale che di norma, ovviamente, non tratta dati riferiti agli utenti dell’App IO ma che opera in supporto della divisione di PagoPA S.p.A. responsabile del customer care per accelerare eventuali interventi. Infine, utilizziamo i sistemi di Google per inviare notifiche push ai cittadini che, accedendo all’app IO da dispositivi Android, non sarebbero diversamente raggiungibili. Google riceve dati personali di tali utenti esclusivamente nel caso di notifiche non generiche, ma contenenti informazioni relative agli stessi: nello specifico del programma Cashback, non sono previste notifiche push che contengano dati personali.

Con tutti i predetti fornitori, abbiamo stipulato una nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR, con cui tali fornitori hanno accettato di trattare i dati esclusivamente al fine di svolgere il servizio che ci rendono precludendo agli stessi, pertanto, un qualsivoglia utilizzo per altre finalità o per fini loro propri.

A seguito della sentenza della Corte di Giustizia dell’Unione Europea che ha invalidato il c.d. Privacy Shield ci siamo adoperati per garantire che tutti i trasferimenti verso società stabilite negli Stati Uniti siano coperti dalle Clausole contrattuali tipo della Commissione Europea (SCC), che costituiscono uno degli strumenti ammessi dal GDPR, (v. art. 46). Con alcuni di essi, inoltre, abbiamo rinforzato le SCC con specifiche ed ulteriori previsioni, in attesa di poter adottare il nuovo testo delle SCC, attualmente in fase di consultazione pubblica.

Nell’ottica di una piena trasparenza, in linea con tutte le attività che contraddistinguono il lavoro del team responsabile dell’App IO e grazie al feedback degli utenti, abbiamo deciso di rendere ancora più dettagliata l’informativa dell’App IO includendo la lista aggiornata dei nostri fornitori (disponibile a questo link) con le informazioni di base rispetto ai dati trattati dai loro servizi e di cui l’App IO si serve per la sua operatività. Come si evince da questa lista, quando possibile prediligiamo società situate in Italia e in UE e, laddove disponibili, selezioniamo opzioni che consentono di mantenere i dati in UE.

Infine, ricordiamo che IO si basa sul concetto di sviluppo collaborativo che deve coinvolgere tutti i soggetti direttamente o indirettamente attivi nel processo di digitalizzazione. Per questo rinnoviamo ed estendiamo anche ai lettori di questo comunicato l’invito a contribuire e a segnalarci qualunque proposta migliorativa per rendere IO sempre più sicura e rispettosa della privacy dei cittadini.