Privacy – La formazione è fondamentale

Ai fini di essere “compliance” con il GDPR ed evitare sanzioni è fondamentale definire un piano formativo in grado di coordinare e armonizzare  le competenze interne delle funzioni privacy coinvolte.

dpo_corso corso_agg_dpo

La formazione da un lato è un “prerequisito” per potere operare all’interno delle organizzazioni dall’altro ha l’obiettivo di illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche e informatiche adottate, nonché le responsabilità e le relative sanzioni. Sostanzialmente la formazione contribuisce a fare acquisire maggiore consapevolezza, in linea con il concetto di accountability, prevista dal GDPR.

Due software in regalo!

Questo week-end ti ho riservato due regali:

Area Privacy – DPO
_ il software DPO EASY il software per gestire l’attività del data protection officer
se acquisti
_  Corso on line Esperto DPO GOLD
_ Corso on line Aggiornamento annuale DPO
_  
Abbonamento a Clubdpo.com

oppure

Area Modelli 231
_ il software Preventivo consulenza 231 per realizzare correttamente i preventivi di consulenza per realizzare i modelli 231
se acquisti
Kit 231 – Suite software per realizzare i modelli 231
Kit Aggiornamento modelli 231 Reati FISCALI – dichiarazione fraudolenta emissione false fatture
ODV DOC – software e modulistica per l’Organismo di Vigilanza 231
Corsi on line Esperto 231 ed Esperto ODV 231

Lavoro: è illecito mantenere attivo l’account di posta dell’ex dipendente

Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo.

edirama_card

Questi i principi ribaditi dal Garante per la privacy nel definire il reclamo di un dipendente che lamentava la violazione della disciplina sulla protezione dei dati da parte della società presso la quale aveva lavorato.

L’ex dipendente contestava, in particolare, alla società la mancata disattivazione della email aziendale e l’accesso ai messaggi ricevuti sul suo account. L’interessato era venuto a conoscenza di questi fatti per caso, nel corso di un giudizio davanti al giudice del lavoro promosso nei suoi confronti dalla sua ex azienda, avendo quest’ultima depositato agli atti una email giunta sulla sua casella di posta un anno dopo la cessazione dal servizio.

Dagli accertamenti svolti dall’Autorità è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente.

Il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

L’adozione di tali misure tecnologiche – ha spiegato il Garante – consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).

Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.

 

Pa: il Garante Privacy chiede più tutele per chi segnala gli illeciti

Adottare ulteriori misure per proteggere l’identità di chi segnala riservatamente condotte illecite e quella dei presunti autori, delineare più precisamente i fatti che possono essere segnalati con il “whistleblowing” nella Pa, definire meglio il ruolo dei soggetti coinvolti.

home

Software Gestione Segnalazioni Whistleblower

Queste sono alcune delle condizioni e osservazioni indicate dal Garante per la privacy nel parere sulla bozza di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001, (c.d. whistleblowing)”, predisposta dall’Anac.

Le Linee guida – rivolte ai datori di lavoro in ambito pubblico, ma contenenti anche indicazioni per l’inoltro di segnalazioni da parte di dipendenti di imprese fornitrici di beni o servizi per la Pa – specificano le misure tecniche di base che le pubbliche amministrazioni, titolari del trattamento dei dati, dovranno adottare ed eventualmente ampliare, tenendo conto degli specifici rischi del trattamento e nel rispetto dei principi di privacy-by-design e privacy-by-default.

Il testo delle linee guida era stato inizialmente posto dall’Autorità anticorruzione in consultazione pubblica e poi integrato sulla base di una positiva collaborazione con il Garante per la privacy, così da rafforzare la tutela della speciale riservatezza dell’identità del segnalante e delle informazioni che facilitano l’individuazione di fenomeni corruttivi nella Pa.Tale collaborazione aveva portato anche a delineare meglio, ad esempio, il ruolo dei fornitori di applicativi e servizi informatici utilizzati per l’acquisizione e la gestione delle segnalazioni, nonché a proporre accorgimenti specifici per evitare la tracciabilità del segnalante.

Il parere favorevole del Garante privacy è però condizionato – anche alla luce degli esiti di attività ispettive avviate nel corso del 2019 proprio nei confronti dei principali soggetti (società informatiche, pubbliche amministrazioni) che trattano dati nell’ambito del whistleblowing – all’introduzione di specifiche modifiche che possano evitare di compromettere la corretta gestione delle segnalazioni.

Al fine di incrementare l’utilizzo e la fiducia in questo strumento, il Garante ha chiesto, ad esempio, che nelle Linee guida vengano circoscritte e definite meglio le condotte segnalabili con il “whistleblowing”, così da evitare che gli uffici che gestiscono le segnalazioni rischino di trattare illecitamente i dati delle persone citate, magari perché riferibili a casi non previsti dalla normativa anticorruzione. Dovranno poi essere specificati meglio – seppure con alcune limitazioni a tutela dell’identità del segnalante – i diritti garantiti dalla normativa privacy anche all’autore del presunto illecito.

Dovrà inoltre essere limitata al “responsabile della prevenzione della corruzione e della trasparenza” la possibilità di associare la segnalazione all’identità del segnalante. Nel parere è indicato, tra l’altro, che occorre specificare meglio il ruolo svolto nel trattamento dei dati dai soggetti (sia interni all’amministrazione, sia esterni come l’Autorità giudiziaria e la Corte dei Conti) che possono conoscere le informazioni contenute nelle segnalazioni riservate.

Il Garante ha infine chiesto all’Anac di rafforzare nelle Linee guida le misure tecniche e organizzative necessarie per tutelare l’identità del segnalante, utilizzando, ad esempio, protocolli sicuri per la trasmissione dei dati, abilitando accessi selettivi ai dati contenuti nelle segnalazioni, ed evitando che la piattaforma invii al segnalante notifiche sullo stato della pratica, in quanto tali messaggi potrebbero consentire di svelarne l’identità.

 

La relazione annuale del DPO: errori da evitare

La relazione annuale del DPO al vertice gerarchico dell’azienda,  è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.

modlelo_rel_ann_DPO

La relazione annuale del DPO, ha una duplice funzione:
_ per  il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.

Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.

  1. strutturarla in modo poco dettagliato
  2. omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
  3. incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
  4. elenco DPIA attivate non aggiornato
  5. elenco DATA BREACH non aggiornato
  6. assenza programmazione verifiche/audit per l’anno successivo
  7. indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO
  8. Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
  9. nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sula privacy .

 

La procedura del diritto all’oblio

E’ stato pubblicato su www.alertprivacy.it l’articolo “Procedura gestione diritto all’oblio”, in cui viene approfondita la modalità di gestione del diritto all’oblio, che dopo la sentenza storica della Corte di Giustizia europea del 13/5/2014 è divenuto un argomento molto attuale (si pensi che solo in Italia sono state oltre 300.000 le richieste di rimozione a Google, che ha preso subito una posizione netta, rifiutandone il 62,5%).

Gli errori che il DPO non deve fare!

E’ stato pubblicato su www.clubdpo.com l’articolo “Gli errori che il DPO non deve fare“, in cui sono presentati i più comuni ma anche i meno frequenti errori che il Data Protection Officer può compiere, nello svolgimento della propria attività.

Ne pubblichiamo un estratto:

  • Non controllare adeguatamente i registri trattamenti. Va ricordato che è necessario avere un registro trattamenti per ogni “entità legale” aziendale (ad esempio nel caso di gruppi internazionali). Verificare inoltre per quelle aziende che operano trattamento di dati personali per conto terzi, sia disponibile accanto al Registro del Titolare, anche il    Registro del Responsabile.
  • Non definire opportuni flussi informativi per essere tempestivamente informato sui cambiamenti organizzativi, di business, di strumenti, infrastrutture o di fornitori ecc., tutti elementi che richiedono un aggiornamento dei registri, dell’analisi dei rischi o di altra documentazione, lo svolgimento di una valutazione rischi impatto trattamenti
  • Non definire una periodicità dei controlli. E’ bene a inizio anno prevedere già una periodicità dei controlli almeno quadrimestrale