Archivi categoria: garante privacy

Dal 20 maggio sanzioni privacy a pieno regime

Il 19 maggio 2019 scade il periodo di «prima applicazione», in cui il Garante deve, per legge, mostrare la sua comprensione e, nei limiti del (giuridicamente) possibile, andarci piano con le sanzioni per violazioni del Regolamento Ue 2016/679 (Gdpr) e del nuovo Codice della privacy (figlio del dlgs 101/2018). Ora, però, alla porta ci sono 7.219 reclami e segnalazioni e 946 notificazioni di violazioni della privacy.

Fonte: Federprivacy

Il piano ispettivo Garante privacy primo sementre 2019

SOFTWARE ISPEZIONE GDPR – ACCEDI ALLA DEMO DEL SOFTWARE

Istituti di credito, sanità, sistema statistico nazionale (Sistan), Spid, telemarketing, carte di fedeltà, grandi banche dati pubbliche. Sono questi i settori sui quali nei prossimi mesi punterà la sua lente il Garante per la protezione dei dati personali contenuti nel piano ispettivo per il primo semestre 2019 approvato nelle scorse settimane.

L’attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza, riguarderà innanzitutto i trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti; i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca;  la gestione delle carte di fidelizzazione da parte delle aziende; il rilascio dell´identità digitale ai cittadini italiani (Spid); il Sistema Integrato di Microdati (Sim) dell´Istat.

I controlli si concentreranno anche sull´adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull´informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati. L’attività ispettiva verrà svolta anche in riferimento a segnalazioni e reclami con particolare attenzione alle violazioni più gravi.

Intanto il bilancio 2018 dell´attività ispettiva dell´Autorità conferma l’incremento dell´attività sanzionatoria già registrato lo scorso anno.

Nel corso del 2018 sono state adottate 175 ordinanze-ingiunzione, a fronte delle 109 del 2017 ed è stato rilevato un notevole aumento delle somme riscosse pari a 8.161.806 euro, a fronte dei 3.776.694   euro registrati nel 2017 (con una variazione positiva del +116% ).

Da registrare inoltre un incremento del 20% delle violazioni amministrative contestate: 707 nel 2018 rispetto alle 589 contestazioni del 2017.

Le contestazioni hanno riguardato la violazione di disposizioni del Codice per illeciti commessi prima della data di applicazione del Regolamento (UE) 2016/679.

Sono invece diminuite le segnalazioni all´autorità giudiziaria: 27 nel 2018 rispetto alle 41 del 2017.

Gli accertamenti, svolti nel 2018 anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell´ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito, da società per attività di rating sul rischio e sulla solvibilità delle imprese, dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, da società che svolgono attività di telemarketing, da società che offrono servizi di “money transfer”. Oggetto di particolare accertamento anche i trattamenti di dati svolti da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app.

Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata su enti pubblici, soprattutto Comuni e Regioni, che svolgono trattamenti di dati personali  mediante app per smartphone e tablet,  con  particolare attenzione all’eventuale profilazione e geolocalizzazione degli utenti; sulle grandi banche dati; sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit; sul sistema informativo dell´Istat e sullo Spid.

I medici possono trattare i dati dei pazienti per finalità di cura senza consenso

ACCEDI ALLA VIDEO DEMO DI ISPEZIONE GDPR

I medici potranno trattare i dati dei pazienti, per finalità di cura, senza dover richiedere il loro consenso, ma dovranno comunque fornire loro informazioni complete sull’uso dei dati. Il medico che opera come libero professionista non è tenuto a nominare il Responsabile della protezione dati.  Tutti gli operatori del settore dovranno tenere un registro dei trattamenti dei dati. 

Questi sono i principali chiarimenti forniti dal Garante della privacy a cittadini, medici, asl e soggetti privati, sulle novità introdotte, in ambito sanitario, dal Regolamento UE in materia di protezione dei dati (GDPR) e dalla normativa nazionale.

Il provvedimento generale, adottato dall’Autorità, intende favorire un’interpretazione uniforme della nuova disciplina, ancora in fase transitoria, e supportare gli operatori con informazioni utili alla sua corretta attuazione.

Il Garante ha chiarito, ad esempio, che il professionista sanitario (come il medico), soggetto al segreto professionale, non deve più richiedere il consenso per i trattamenti di dati necessari alla prestazione sanitaria.

E’ invece richiesto il consenso, o una differente base giuridica, quando tali trattamenti non sono strettamente necessari per le finalità di cura, anche quando sono effettuati da professionisti della sanità. Ne sono un esempio i trattamenti di dati sulla salute connessi all’uso di “App” mediche (ad eccezione di quelle per la telemedicina), quelli effettuati per la fidelizzazione della clientela (come quelli praticati da alcune farmacie o parafarmacie), oppure per finalità promozionali, commerciali o elettorali.

L’Autorità ricorda che, sulla base dell’attuale normativa che regola il settore, permane la necessità di acquisire il consenso anche per il trattamento dei dati relativo al fascicolo sanitario elettronico, o per la consultazione dei referti online.

Nel documento del Garante sono forniti chiarimenti anche in merito all’informativa agli interessati, che deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro. Rispetto al modello pre-GDPR, essa deve contenere maggiori informazioni a tutela dell’interessato quali, ad esempio, quelle relative ai tempi di conservazione dei dati,  che – se non sono specificati dalla normativa di settore – dovranno comunque essere individuati dal titolare (ad esempio il medico specialista o l’ospedale).

Il Garante dedica una sezione anche al Responsabile per la protezione dei dati (RPD, DPO nell’acronimo inglese). Sono tenuti alla nomina del RPD tutti gli organismi pubblici, nonché gli operatori privati che effettuano trattamenti di dati sanitari su larga scala, quali le case di cura. Non sono invece tenuti alla sua nomina i liberi  professionisti o altri soggetti, come le farmacie, che non effettuano trattamenti su larga scala.

L’Autorità infine chiarisce che è obbligatorio per tutti gli operatori sanitari tenere un registro nel quale sono elencate le attività di trattamento effettuate sui dati dei pazienti. Tale documento rappresenta, in ogni caso, un elemento essenziale per il “governo dei trattamenti” e per l’efficace individuazione di quelli a maggior rischio, anche per dimostrare il rispetto del principio di responsabilizzazione (accountability) previsto da GDPR.

Fonte: Garante privacy

Novità dal Garante Privacy

E’ stata pubblicata la newsletter n° 450

• Lavoro: no a invio massivo di dati degli infermieri a Ordine professionale
• Dati dei defunti: in Italia continuano a essere tutelati
• Privacy: no all’accesso civico generalizzato su pratiche SCIA e CILA
• Privacy: le regole sul trasferimento di dati UK-UE in caso di “Hard Brexit”

Novità dal Garante Privacy

Il Garante Privacy ha pubblicato la newsletter 449 del 7/2/2019.

Da segnalare l’articolo

Consulenti del lavoro: quando sono responsabili del trattamento dei dati
Precisazioni del Garante privacy dopo il nuovo Regolamento UE


Il Garante per la privacy ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, il Garante ha infatti chiarito che il Regolamento (UE) 679/2016 si pone in linea di continuità con quanto già prefigurato dalla Direttiva 95/46/CE. Il Regolamento conferma, infatti, le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.

E dunque i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento. Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.

Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.

Il Garante ha chiarito infine che ai consulenti, pur in qualità di “responsabili” del trattamento, viene riconosciuto un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.

Alert_privacy – Le novità della settimana sulla privacy

Questa settimana ti segnaliamo queste novità accessibili agli abbonati ad Alert Privacy

Cassazione – Un’interessante sentenza della Cassazione relativa a una vertenza tra una banca e un dipendente che richiedeva l’accesso ai propri dati valutativi.
Come fare – Questa settimana ti spieghiamo come gestire i dati delle risorse umane: utili consigli operativi per evitare di commettere errori e ricevere sanzioni
Convegni – I convegni privacy dal 14 al 18 gennaio
Offerte di lavoro per consulenti e DPO – Le nuove opportunità professionali per consulenti e DPO
Documenti scaricabili
– modello registro trattamenti del responsabile / sub-responsabili

 

Come abbonarsi ad  Alert Privacy

abbonamento_pay_pal
_ Con carta di credito su protocollo sicuro PayPal – Clicca qui
In qualsiasi momento puoi annullare il tuo abbonamento dal seguente link

Con Alert Privacy Europea ricevi ogni settimana (il venerdì pomeriggio)  nella tua email le novità  raccolte quotidianamente in rete:
_ articoli approfondimenti
_ convegni/corsi gratuiti
_ offerte di lavoro
_ rassegna stampa
_ social network
_ segnalazione novità editoriali (libri, ebook, software)

inerenti il nuovo Regolamento europeo 2016/679

e con un click accedi direttamente alla fonte . Senza perdere tempo in ricerche inutili!
In pochi click contenuti selezionati e aggiornati, risorse indispensabili per la tua vita professionale
Il servizio è disponibile al prezzo di 49 euro/mese.

Puoi iscriverti tramite carta di credito su protocollo sicuro Paypal e puoi cancellarti in qualsiasi momento con un semplice clic

Al termine delle 12 mensilità di abbonamento viene rilasciato l’attestato di iscrizione per dimostrare l’aggiornamento delle conoscenze professionali in ambito privacy europea.

Quali vantaggi per te
1) risparmi tempo per il tuo aggiornamento professionale
2) aggiornamento rapido
3) puoi annullare l’abbonamento in qualsiasi momento con un semplice click