Seminario su GDPR di E-Lex per Adepp

Giovanni Maria Riccio terrà un incontro di formazione sul GDPR presso l’ADEPP – Associazione degli Enti Previdenziali Privati, mercoledì 31 gennaio, a Roma, in Via Ennio Quirino Visconti, 6.

Questo il programma del corso, organizzato con lo studio Brugnoletti & Associati:

  • GDPR – Il nuovo regolamento UE sulla protezione dei dati
  • Nuove regole sulla Privacy: i principali adempimenti della legislazione italiana ed europea; principi e criteri cardine in ambito pubblico e privato, informativa e consenso dal Codice dalla Privacy ad GDPR
  • Il campo di applicazione
  • Dalla Direttiva al Regolamento
  • Organigramma privacy: titolare, contitolare, responsabili del trattamento e responsabile della protezione dei dati personali
  • Le nuove categorie di dati e i big data
  • Informativa e consenso
  • Il Data Protection Officer (DPO): quando è obbligatorio il responsabile della protezione dei dati; presupposti di obbligatorietà, requisiti soggettivi, status, compiti e responsabilità
  • Dalle “misure minime” alle “misure idonee”: il concetto di Analisi dei rischi
  • Il Principio di Accountability e il Risk Assessment: l’onere della prova
  • Diritto all’oblio: cancellazione e portabilità dei dati
  • Cosa cambia in tema di notificazione al Garante
  • Trasferimento extra-UE dei dati personali
  • One-Stop-Shop: rapporti tra le diverse Autorità Garanti
  • Le nuove sanzioni

Corso E-Lex / Maggioli – Adeguamento al Regolamento Privacy

Entro il 25 maggio 2018, tutte le amministrazioni – al pari dei soggetti privati – dovranno adeguarsi nuovo Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (noto anche come “GDPR – General Data Protection Regulation”). C’è solo un anno per completare il percorso di adeguamento e le pubbliche amministrazioni, nella mia esperienza, sono molto indietro… anche sotto il profilo della consapevolezza di quello che sta per cambiare. Per questo motivo, l’8 giugno a Roma si terrà un’iniziativa formativa – organizzata con Gruppo Maggioli – nell’ambito della quale io e il mio socio Giovanni Maria Riccio affronteremo le principali problematiche del Regolamento, con particolare attenzione alle criticità che possono incontrare le pubbliche amministrazioni (come ad esempio il provvedimento di nomina del Data Protection Officer o le modalità per adeguare i contratti in essere con i propri fornitori). Per info su programma e iscrizioni cliccate qui: https://lnkd.in/d8deZrD

Le novità in tema di Data Protection Officer

Una delle maggiori novità del Regolamento privacy è rappresentata dall’introduzione della figura del data protection officer (o responsabile della protezione dei dati). Il DPO era già stato introdotto, come obbligatorio, in alcuni ordinamenti europei, tra cui la Germania, l’Austria e la Repubblica Ceca; in altri ordinamenti, come la Francia, la nomina di tale soggetto è facoltativa.

Il responsabile della protezione dei dati sembra presentare numerose analogie con il datenschutzbeauftragter introdotto nell’ordinamento tedesco nel 2003. Il diritto tedesco, al pari dell’originaria formulazione dell’art. 37 del Regolamento, àncora l’obbligo di nomina del DPO alla presenza di un numero minimo di dipendenti preposti a mansioni che implicano il trattamento di dati personali.

Un’ulteriore corrispondenza si rinviene nell’art. 38, par. 1 del Regolamento, stabilisce che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, nonché nel divieto di penalizzare il DPO per il suo ruolo, atteso il divieto, in capo al titolare del trattamento, di rimuoverlo o penalizzarlo “per l’adempimento dei propri compiti”. Il Regolamento segue la legge tedesca anche nell’assegnare al DPO il diritto di relazionare “direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”, evitando rapporti diretti con altri soggetti.

A ben vedere, di là dalle singole disposizioni, sembra essere circolata l’idea di fondo del modello tedesco, basato su di un approccio di corporate self-monitoring (e di self-responsibility), nel quale le società si fanno carico dell’adeguamento e del controllo capillare sulla gestione dei dati personali. Un complesso uniforme di regole che si rimette alla self-governance delle imprese le quali, incentivate da un quadro sanzionatorio molto rigoroso, hanno interesse a rispettare la disciplina applicabile.

La nomina di un DPO è obbligatoria in tre casi:

  1. a) per le amministrazioni e gli organismi pubblici, con esclusione delle autorità giurisdizionali quando esercitano le loro funzioni;
  2. b) laddove le attività principali di titolare o responsabile consistano in trattamenti che, per la loro natura, il loro oggetto o, ancora, per le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. c) laddove le attività principali di titolare o responsabile consistano in trattamenti, su larga scala, di dati sensibili (inclusi i dati relativi allo stato di salute o alla vita sessuale), di dati genetici, di dati giudiziari e di dati biometrici.

L’obbligo è imposto, quindi, solo sulle grandi società o, per essere più precisi, sulle società che trattano una mole significativa di dati personali o di dati rientranti nel c.d. “nocciolo duro” della privacy.

L’art. 37 ammette poi che un gruppo imprenditoriale o più enti pubblici possano nominare un unico DPO, a condizione che sia facilmente raggiungibile da ciascuno stabilimento.

In caso di nomina del DPO – che, ai sensi del comma 6 dell’art. 37, può essere un dipendente o un soggetto esterno – è necessario che i suoi dati di contatto siano resi pubblici e comunicati al Garante nazionale.

La scelta se nominare un soggetto interno o esterno è rimessa al titolare del trattamento: chi scrive, tuttavia, è dell’avviso che, soprattutto gli enti pubblici e le medie e grandi imprese, dovrebbero preferire un soggetto esterno attesa la difficoltà di reperire, all’interno del proprio organigramma, professionisti dotati dei requisiti di esperienza e professionalità richiesti dalla normativa comunitaria.

Il parere del Garante Privacy sulla Banca Dati dei beni culturali illecitamente sottratti.

Con nota del 20 novembre 2015, il Ministero dei beni e delle attività culturali e del turismo (MIBACT) ha richiesto il parere del Garante privacy sullo schema di Decreto Ministeriale recante il regolamento di attuazione dell’articolo 85 del D.Lgs. 22 gennaio 2004, n. 42 riguardante l’attivazione della Banca Dati dei beni culturali illecitamente sottratti. (altro…)

Geolocalizzazione dei dipendenti: il Garante Privacy detta le regole

Con due distinti provvedimenti (n. 3505371 3474069), il Garante per la protezione dei dati personali ha accolto le istanze di verifica preliminare ex art. 17 del Codice Privacy avanzate da due società di telefonia in merito al trattamento di dati personali di geolocalizzazione dei propri dipendenti.

Le società coinvolte – Wind Telecomunicazioni S.p.A. ed Ericsson Telecomunicazioni S.p.A. – intenzionate ad introdurre, sui dispositivi smartphone forniti in dotazione ai propri lavoratori dislocati sul territorio, una nuova app di localizzazione geografica, hanno infatti richiesto all’Autorità un parere preventivo in ragione dei rischi specifici legati al trattamento dei dati personali.

L’attivazione di tale funzionalità sarebbe volta all’ottimizzazione del livello di servizi forniti sul territorio, in quanto consentirebbe di migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici, incrementando la velocità di risposta alle richieste dei clienti, anche e soprattutto in casi di emergenza o in presenza di calamità naturali. La geo-localizzazione, inoltre, rafforzerebbe le condizioni di sicurezza dei lavoratori permettendo l’invio mirato di soccorsi in caso di incidenti o difficoltà.

Le criticità connesse all’utilizzo di applicazioni di geolocalizzazione riguardano la possibilità che le stesse siano utilizzate al fine di effettuare un controllo a distanza indiretto sull’operato dei lavoratori. Sul punto il Garante si era già pronunciato con provvedimento generale n. 370 del 2011 in merito ai sistemi di localizzazione dei veicoli, sancendo che “se sono adottate le garanzie previste dall’art. 4, comma 2, l. n. 300/1970, i datori di lavoro privati e gli enti pubblici economici possono effettuare lecitamente il trattamento dei dati personali (diversi da quelli sensibili) relativi all’ubicazione dei propri dipendenti per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro, anche in assenza del consenso degli interessati”, individuando in ciò un legittimo interesse.

È evidente che, nel caso specifico portato all’attenzione dell’Autorità da Wind ed Ericsson, le garanzie nei confronti dei diritti e delle libertà dei dipendenti dovranno essere superiori stante la peculiarità del mezzo utilizzato per la geolocalizzazione, ossia lo smartphone, per sua stessa natura destinato a seguire il lavoratore in tutti gli spostamenti, anche in orario non lavorativo.

Il Garante, ritenuto di dover svolgere degli approfondimenti, ha richiesto chiarimenti alle aziende. In conseguenza di ciò è emerso che, in entrambi i casi, l’applicazione mobile installata sul dispositivo del dipendente invierà i dati di geolocalizzazione ad intervalli regolari (10 o 15 minuti) e che, al di fuori di questo intervallo, non sarà possibile accedere ai dati di posizione in tempo reale se non in presenza di specifiche esigenze (es. situazione di pericolo o emergenza del dipendente).

Allo stesso modo, le società richiedenti hanno comunicato che l’applicazione installata non interferirà con altre applicazioni e non potrà accedere a telefonate, sms o mail, e che non sarà possibile ricostruire, mediante i dati raccolti, gli spostamenti dei lavoratori nel corso della giornata lavorativa.

Da ultimo, il dipendente potrà disattivare l’applicazione al termine dell’orario di lavoro, nei periodi di ferie o malattie e, comunque, nei momenti contrattualmente stabiliti, come la pausa pranzo.

A tali condizioni, quindi, il Garante ha accolto e istanze di verifica preliminare, imponendo adempimenti ulteriori, quali la notificazione ai sensi dell’art. 37 comma 1, lett. a) del Codice Privacy e l’attivazione delle procedure previste dall’art. 4 comma 2 dello Statuto dei lavoratori[1], nonché la predisposizione di idonee misure di sicurezza volte a preservare l’integrità dei dati raccolti.

Ovviamente, le società istanti dovranno informare in maniera chiara e completa i propri dipendenti sulla natura dei dati trattati, sulle funzionalità del dispositivo e sulle ipotesi in cui sarà possibile disattivare la localizzazione durante l’orario lavorativo. Inoltre, le applicazioni utilizzate dovranno essere configurate in modo tale da rendere ben visibile se la funzionalità di geolocalizzazione è o meno attiva.

 


[1]Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.

Il Garante privacy interviene sul trattamento illecito dei dati nell’attività di telemarketing

Con provvedimento dell’11 ottobre 2012 il Garante per la privacy ha sanzionato un’azienda che svolgeva attività di telemarketing per non aver fornito correttamente l’informativa agli interessati e per non averne raccolto il consenso in modo specifico per ciascuna distinta finalità del trattamento.

Il provvedimento rappresenta una buona occasione per fare il punto su alcune regole a cui è necessario adeguarsi se si vuole contattare i potenziali clienti a mezzo telefono, posta elettronica, etc… per fare proposte di natura commerciale.

Innanzitutto la società sanzionata aveva ottenuto il database dei clienti, acquistando nell’ambito di una procedura fallimentare un’altra azienda che a suo tempo aveva già raccolto il consenso degli interessati dopo aver fornito l’informativa; sul punto il Garante ha però chiarito che la vecchia informativa non è sufficiente in quanto il soggetto che subentra rappresenta un nuovo titolare del trattamento e come tale è tenuto a rinnovare l’informativa ex articolo 13, comma 4 del Codice privacy, trattandosi di dati raccolti non direttamente presso l’interessato.

Perché l’attività di telemarketing sia svolta correttamente è inoltre necessario che il titolare del trattamento specifichi le differenti modalità attraverso cui l’interessato potrà essere contattato per ricevere proposte di natura commerciale; non è quindi sufficiente indicare nell’informativa che i dati potranno essere trattati per finalità di natura promozionale, se tale informazione non è accompagnata dall’indicazione specifica degli strumenti (telefono, posta elettronica, etc…) di cui il titolare intende servirsi per contattare l’interessato.

Il Garante, infine, ribadisce un principio già più volte affermato in altre sedi ma spesso dimenticato dalle aziende al momento della redazione delle informative: non è possibile acquisire un unico consenso con riferimento a tutte le finalità per il cui perseguimento i dati vengono raccolti in quanto l’interessato deve essere messo nella condizione di poter manifestare ovvero negare il proprio consenso avuto riguardo a ciascuna distinta finalità.