FAQ Privacy e Coronavirus (Covid19) – Il comportamento legittimo del datore di lavoro.

Durante l’ultima settimana c’è stata una corsa da parte delle aziende a svolgere controlli sui possibili contagi da Covid-19 dei propri dipendenti, fornitori, clienti e in generale dei visitatori delle loro sedi.

Sono state applicate molte azioni “faidate”, con grosse problematiche privacy relative alla pratica di  misurare all’esterno delle aziende, la temperatura corporea (la “febbre”) dei dipendenti, rifiutando l’accesso qualora risulti una temperatura superiore ai 37 gradi. In questo caso i lavoratori vengono rimandati a casa.

Tutto questo è legittimo? In caso di risposta negativa, come deve essere svolto dal punto di vista privacy tale attività?

Una chiara risposta l’ho trovata nell’articolo di Andrea Sitzia, Professore associato di diritto del lavoro Università di Padova, pubblicato sull’ultimo numero della newsletter di Federprivacy.

Riporto i passi più salienti dell’articolo che può essere consultato direttamente dal seguente link

…la misurazione della febbre possa dirsi legittima qualora venga aggiornato il documento di valutazione del rischio, con indicazione del medico competente che prescriva una tale misura come idonea a prevenire il rischio secondo criteri e modalità di diligenza e prudenza. È evidente che solamente qualora la scienza medica indichi una tale misura come necessaria, anche il trattamento del dato personale potrà ritenersi legittimo, purché trattato nel rispetto di tutte le prescrizioni in materia sopra richiamate.

Se, a questo punto, ottemperando ad una misura di sicurezza identificata e prescritta all’interno del DVR, un lavoratore dovesse risultare “fuori parametro”, ed il datore di lavoro, sempre nel rispetto di quanto prescritto dal medico competente, dovesse rifiutare la prestazione lavorativa, la sospensione della prestazione, pur lasciando aperto il profilo retributivo, potrebbe dirsi legittima….

 

Coronavirus: buone prassi per chi svolge i corsi di formazione

Il Coronavirus colpisce anche le attività di formazione professionale, con lo stop nelle aree geografiche dove le ordinanze ne hanno bloccato lo svolgimento, e con l’applicazione di buone prassi ove invece si continueranno a svolgere.
AIFOS ha pubblicato una guida operativa molto interessante che riassume nei seguenti punti cosa fare per ridurre o evitare il contagio nei casi in cui sia possibile svolgere corsi in aula.

– Cercare di organizzare corsi con pochi corsisti facendoli stare seduti il più possibile staccati l’uno dall’altro (se possibile almeno un metro l’uno dall’altro, meglio se due).
– Cercare di tenere almeno due metri di distanza tra il formatore ed i corsisti.
– Prima dell’inizio del corso presentare delle slide per informare i corsisti sul rischio e sulle misure da rispettare e sensibilizzare gli stessi sui corretti comportamenti (usare i riferimenti del Ministero della Salute ripresi anche di seguito).
– Prima e dopo il corso sanificare piani di lavoro presenti nella sala ove avviene il corso, pulire e sanificare prima e dopo il corso le maniglie delle porte ed altre attrezzature utilizzate. L’utilizzo di semplici disinfettanti è in grado di uccidere il virus annullando la sua capacità di infettare le persone, per esempio disinfettanti contenenti alcol (etanolo) al 75% o a base di cloro all’1% (candeggina).
– Utilizzare sanificanti spray per termoconvettori all’inizio dei corsi e durante le pause
– Prima, dopo e nelle pause del corso areare ampiamente la sala corsi aprendo le porte e le finestre. Si possono usare anche spray disinfettanti sulle sedie e le superfici.
– Lavarsi spesso le mani, prima e subito dopo il corso con acqua e sapone con proprietà disinfettanti e durante il corso con soluzioni disinfettanti idroalcoliche.
– Non toccare durante la formazione occhi, bocca e naso.
– Evitare di stringere la mano alle persone.
– Evitare di parlare a stretto contatto con i corsisti e sospendere i corsi BLSD e BLS.
– Starnutire e tossire nell’incavo del braccio.
– Ove possibile prevedere dei bidoni porta rifiuti chiusi dove buttare i fazzoletti di carta usa e getta.

 

 

 

 

 

 

 

Whistleblowing: come trattare i dati?

Whistleblowing
Il termine di origine anglosassone significa “soffiare il fischietto” ed è attivo in Italia dal 2012, con l’entrata in vigore del decreto 165 sull’ordinamento del lavoro nelle amministrazioni pubbliche.

home

Nello specifico, il whistleblowing è la segnalazione del lavoratore dipendente che rinviene una frode, un comportamento pericoloso o in qualsiasi modo contrario alle legge, ai danni dell’azienda stessa, dei colleghi o dei clienti.

Con il DDL Whistleblowing del 2017 si è estesa la tutela del lavoratore che segnala illeciti anche al settore privato, con una modifica al decreto legislativo n. 231 del 2001 relativo alla disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni. In particolare, la modifica ha riguardato l’art. 6 del D.lgs 231/01, che disciplina i modelli di organizzazione e di gestione idonei a prevenire reati. Tali modelli dovranno ora prevedere tra l’altro:

  • uno o più canali che consentano a coloro che a qualsiasi titolo rappresentino o dirigano l’ente di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione;
  • almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;

Implicazioni per la privacy e relazioni con il GDPR

Le attività di Whistleblowing in un sistema documentale 231 richiedono il trattamento di numerosi dati personali ponendo alcuni interrogativi per quanto riguarda la protezione dei dati sia dei segnalati che dei segnalanti.
Vediamo alcune indicazioni operative.

  1. Occorre fornire delle raccomandazioni specifiche e adeguata formazione inerenti la privacy dei dati, alle persone che gestiscono le segnalazioni.
  2. Il responsabile del trattamento deve accertarsi che vengano trattati solo i dati necessari per le apposite finalità di trattamento della segnalazione
  3. Il titolare del trattamento deve indicare che le  informazioni inerenti l’identità del segnalante deve essere mantenuta confidenziale durante l’intero trattamento della segnalazione.
  4. Non vi è obbligo di comunicare al segnalato che eventuali suoi dati personali sono oggetto del trattamento
  5. Occorre inviare un avviso di ricevimento al segnalante in cui sono riassunte tutte le informazioni  ed eventuali allegati alla segnalazione. Questa ricevuta non dove  contenere informazioni identificative (e-mail, numero di telefono, ecc) qualora la persona desiderasse rimanere anonima

La Scuola e la privacy – domande e risposte frequenti

1) La scuola deve rendere l’informativa?

Sì. Tutte le scuole – sia quelle pubbliche, sia quelle private – hanno l’obbligo di far conoscere agli “interessati” (studenti, famiglie, professori, etc.) come vengono trattati i loro dati personali. Devono cioè rendere noto – attraverso un’adeguata informativa con le modalità ritenute più opportune, eventualmente anche online – quali dati raccolgono, come li utilizzano e a quale fine.

scuola

2) È possibile accedere ai propri dati personali detenuti dagli istituti scolastici?

Sì. Ogni persona ha diritto di conoscere se sono conservate informazioni che la riguardano, di farle rettificare se erronee o non aggiornate. Per esercitare questi diritti è possibile rivolgersi direttamente al “titolare del trattamento” (in genere l’istituto scolastico di riferimento). Se la scuola non risponde o il riscontro non è adeguato, è possibile rivolgersi al Garante o alla magistratura ordinaria.

3) È possibile accedere alla documentazione relativa ad alunni e studenti in possesso della scuola?

Sì. È possibile accedere agli atti e ai documenti amministrativi detenuti dalla scuola ai sensi dalla legge n. 241 del 1990 (artt. 22 ss.)

4) In caso di delega per prelevare il proprio figlio a scuola, è necessario fornire copia della carta d’identità del delegante e del delegato?

Sulla base del principio generale di accountability, è facoltà delle istituzioni scolastiche regolare e modulare tale modalità, assicurando al tempo stesso le cautele necessarie a garantire l’identificabilità dei soggetti coinvolti e che i dati eventualmente raccolti siano protetti (da accessi abusivi, rischi di perdita o manomissione) con adeguate misure di sicurezza.

5) Gli esiti degli scrutini o degli esami di Stato sono pubblici?

Sì. Le informazioni sul rendimento scolastico sono soggette ad un regime di conoscibilità stabilito dal MIUR. Nel pubblicare i voti degli scrutini e degli esami nei tabelloni, l’istituto scolastico deve evitare, però, di fornire informazioni sulle condizioni di salute degli studenti o altri dati personali non pertinenti. Il riferimento alle “prove differenziate” sostenute, ad esempio, dagli studenti con disturbi specifici di apprendimento (DSA) non va inserito nei tabelloni, ma deve essere indicato solamente nell’attestazione da rilasciare allo studente.

6) Le scuole possono trattare le categorie particolari di dati personali?

Le scuole possono trattare le categorie particolari di dati personali (es. dati sulle convinzioni religiose, dati sulla salute) solo se espressamente previsto da norme di legge o regolamentari. In ogni caso non possono essere diffusi i dati relativi alla salute: non è consentito, ad esempio, pubblicare online una circolare contenente i nomi degli studenti con disabilità oppure quegli degli alunni che seguono un regime alimentare differenziato per motivi di salute.

7) Nelle comunicazioni scuola-famiglia possono essere inseriti dati personali degli alunni?

No, nelle circolari, nelle delibere o in altre comunicazioni non rivolte a specifici destinatari non possono essere inseriti dati personali che rendano identificabili gli alunni (ad esempio, quelli coinvolti in casi di bullismo o quelli cui siano state comminate sanzioni disciplinari o interessati da altre vicende delicate).

8) Chi può trattare i dati degli allievi disabili o con disturbi specifici dell’apprendimento (DSA)?

La conoscenza di tali dati è limitata ai soli soggetti a ciò legittimati dalla normativa scolastica e da quella specifica di settore, come ad esempio i docenti, i genitori e gli operatori sanitari che congiuntamente devono predisporre il piano educativo individualizzato (L. n. 104/92, L. n. 328/2000 e D.Lgs. n. 66/2017).

scuola

9) L’utilizzo degli smartphone all’interno delle scuole è consentito?

Spetta alle istituzioni scolastiche disciplinare l’utilizzo degli smartphone all’interno delle aule o nelle scuole stesse. In ogni caso, laddove gli smartphone siano utilizzati per riprendere immagini o registrare conversazioni, l’utilizzo dovrà avvenire esclusivamente per fini personali e nel rispetto dei diritti delle persone coinvolte.

10) Violano la privacy le riprese video e le fotografie raccolte dai genitori durante le recite, le gite e i saggi scolastici?

No. Le immagini, in questi casi, sono raccolte per fini personali e destinate a un ambito familiare o amicale. Va però prestata particolare attenzione alla eventuale pubblicazione delle medesime immagini su Internet e sui social network. In caso di diffusione di immagini dei minori diventa infatti indispensabile ottenere il consenso da parte degli esercenti la potestà genitoriale.

11) È possibile registrare la lezione da parte dell’alunno?

Sì. È lecito registrare la lezione per scopi personali, ad esempio per motivi di studio individuale, compatibilmente con le specifiche disposizioni scolastiche al riguardo. Per ogni altro utilizzo o eventuale diffusione, anche su Internet, è necessario prima informare le persone coinvolte nella registrazione (professori, studenti…) e ottenere il loro consenso.

12) Gli allievi con DSA possono utilizzare liberamente strumenti didattici che consentano loro anche di registrare (c.d. “strumenti compensativi e aumentativi”)?

Sì. La specifica normativa di settore (L. n. 170/2010) prevede che gli studenti che presentano tali disturbi hanno il diritto di utilizzare strumenti di ausilio per una maggiore flessibilità didattica. In particolare, viene stabilito che gli studenti con diagnosi DSA possono utilizzare gli strumenti di volta in volta previsti dalla scuola nei piani didattici personalizzati che li riguardano (ivi compreso il registratore o il pc). In questi casi non è necessario richiedere il consenso delle persone coinvolte nella registrazione.

13) Gli istituti scolastici possono pubblicare sui propri siti internet le graduatorie di docenti e personale ATA?

Sì. Questo consente a chi ambisce a incarichi e supplenze di conoscere la propria posizione e il proprio punteggio. Tali liste devono però contenere solo il nome, il cognome, il punteggio e la posizione in graduatoria. È invece eccedente la pubblicazione dei numeri di telefono e degli indirizzi privati dei candidati.

14) Si possono installare telecamere all’interno degli istituti scolastici?

Sì, ma l’eventuale installazione di sistemi di videosorveglianza presso le scuole deve garantire il diritto dello studente alla riservatezza. Può risultare ammissibile l’utilizzo di tali sistemi in casi di stretta indispensabilità, al fine di tutelare l’edificio e i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate. È inoltre necessario segnalare la presenza degli impianti con cartelli. Le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche. Se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato. [Progetti di revisione della disciplina sull’utilizzo degli strumenti di videosorveglianza negli istituti scolastici sono attualmente all’attenzione del Parlamento.]

15) Le scuole possono consentire a soggetti legittimati di svolgere attività di ricerca tramite questionari, da sottoporre agli alunni, contenenti richieste di informazioni personali?

Sì, ma soltanto se i ragazzi e, nel caso di minori, chi esercita la responsabilità genitoriale, siano stati preventivamente informati sulle modalità di trattamento e sulle misure di sicurezza adottate per proteggere i dati personali degli alunni e, ove previsto, abbiano acconsentito al trattamento dei dati. Ragazzi e genitori devono, comunque, avere sempre la facoltà di non aderire all’iniziativa.

Fonte: Garante Privacy

Privacy – La formazione è fondamentale

Ai fini di essere “compliance” con il GDPR ed evitare sanzioni è fondamentale definire un piano formativo in grado di coordinare e armonizzare  le competenze interne delle funzioni privacy coinvolte.

dpo_corso corso_agg_dpo

La formazione da un lato è un “prerequisito” per potere operare all’interno delle organizzazioni dall’altro ha l’obiettivo di illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche e informatiche adottate, nonché le responsabilità e le relative sanzioni. Sostanzialmente la formazione contribuisce a fare acquisire maggiore consapevolezza, in linea con il concetto di accountability, prevista dal GDPR.

Due software in regalo!

Questo week-end ti ho riservato due regali:

Area Privacy – DPO
_ il software DPO EASY il software per gestire l’attività del data protection officer
se acquisti
_  Corso on line Esperto DPO GOLD
_ Corso on line Aggiornamento annuale DPO
_  
Abbonamento a Clubdpo.com

oppure

Area Modelli 231
_ il software Preventivo consulenza 231 per realizzare correttamente i preventivi di consulenza per realizzare i modelli 231
se acquisti
Kit 231 – Suite software per realizzare i modelli 231
Kit Aggiornamento modelli 231 Reati FISCALI – dichiarazione fraudolenta emissione false fatture
ODV DOC – software e modulistica per l’Organismo di Vigilanza 231
Corsi on line Esperto 231 ed Esperto ODV 231

Lavoro: è illecito mantenere attivo l’account di posta dell’ex dipendente

Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo.

edirama_card

Questi i principi ribaditi dal Garante per la privacy nel definire il reclamo di un dipendente che lamentava la violazione della disciplina sulla protezione dei dati da parte della società presso la quale aveva lavorato.

L’ex dipendente contestava, in particolare, alla società la mancata disattivazione della email aziendale e l’accesso ai messaggi ricevuti sul suo account. L’interessato era venuto a conoscenza di questi fatti per caso, nel corso di un giudizio davanti al giudice del lavoro promosso nei suoi confronti dalla sua ex azienda, avendo quest’ultima depositato agli atti una email giunta sulla sua casella di posta un anno dopo la cessazione dal servizio.

Dagli accertamenti svolti dall’Autorità è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente.

Il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

L’adozione di tali misure tecnologiche – ha spiegato il Garante – consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).

Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.

 

Pa: il Garante Privacy chiede più tutele per chi segnala gli illeciti

Adottare ulteriori misure per proteggere l’identità di chi segnala riservatamente condotte illecite e quella dei presunti autori, delineare più precisamente i fatti che possono essere segnalati con il “whistleblowing” nella Pa, definire meglio il ruolo dei soggetti coinvolti.

home

Software Gestione Segnalazioni Whistleblower

Queste sono alcune delle condizioni e osservazioni indicate dal Garante per la privacy nel parere sulla bozza di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001, (c.d. whistleblowing)”, predisposta dall’Anac.

Le Linee guida – rivolte ai datori di lavoro in ambito pubblico, ma contenenti anche indicazioni per l’inoltro di segnalazioni da parte di dipendenti di imprese fornitrici di beni o servizi per la Pa – specificano le misure tecniche di base che le pubbliche amministrazioni, titolari del trattamento dei dati, dovranno adottare ed eventualmente ampliare, tenendo conto degli specifici rischi del trattamento e nel rispetto dei principi di privacy-by-design e privacy-by-default.

Il testo delle linee guida era stato inizialmente posto dall’Autorità anticorruzione in consultazione pubblica e poi integrato sulla base di una positiva collaborazione con il Garante per la privacy, così da rafforzare la tutela della speciale riservatezza dell’identità del segnalante e delle informazioni che facilitano l’individuazione di fenomeni corruttivi nella Pa.Tale collaborazione aveva portato anche a delineare meglio, ad esempio, il ruolo dei fornitori di applicativi e servizi informatici utilizzati per l’acquisizione e la gestione delle segnalazioni, nonché a proporre accorgimenti specifici per evitare la tracciabilità del segnalante.

Il parere favorevole del Garante privacy è però condizionato – anche alla luce degli esiti di attività ispettive avviate nel corso del 2019 proprio nei confronti dei principali soggetti (società informatiche, pubbliche amministrazioni) che trattano dati nell’ambito del whistleblowing – all’introduzione di specifiche modifiche che possano evitare di compromettere la corretta gestione delle segnalazioni.

Al fine di incrementare l’utilizzo e la fiducia in questo strumento, il Garante ha chiesto, ad esempio, che nelle Linee guida vengano circoscritte e definite meglio le condotte segnalabili con il “whistleblowing”, così da evitare che gli uffici che gestiscono le segnalazioni rischino di trattare illecitamente i dati delle persone citate, magari perché riferibili a casi non previsti dalla normativa anticorruzione. Dovranno poi essere specificati meglio – seppure con alcune limitazioni a tutela dell’identità del segnalante – i diritti garantiti dalla normativa privacy anche all’autore del presunto illecito.

Dovrà inoltre essere limitata al “responsabile della prevenzione della corruzione e della trasparenza” la possibilità di associare la segnalazione all’identità del segnalante. Nel parere è indicato, tra l’altro, che occorre specificare meglio il ruolo svolto nel trattamento dei dati dai soggetti (sia interni all’amministrazione, sia esterni come l’Autorità giudiziaria e la Corte dei Conti) che possono conoscere le informazioni contenute nelle segnalazioni riservate.

Il Garante ha infine chiesto all’Anac di rafforzare nelle Linee guida le misure tecniche e organizzative necessarie per tutelare l’identità del segnalante, utilizzando, ad esempio, protocolli sicuri per la trasmissione dei dati, abilitando accessi selettivi ai dati contenuti nelle segnalazioni, ed evitando che la piattaforma invii al segnalante notifiche sullo stato della pratica, in quanto tali messaggi potrebbero consentire di svelarne l’identità.