loader image

Fabio Gastaldo

Termoscanner e lavoro

CoViD-19 e Privacy: le rassicurazioni sul trattamento dei dati sanitari

Sono mesi concitati quelli che stanno muovendo le nostre giornate. La pandemia CoViD-19 ha portato con sé numerosi interrogativi sia sotto il profilo prettamente sanitario e socio-politico, sia su un argomento sinora presente, ma lasciato ai margini delle preoccupazioni quotidiane: il trattamento dei dati personali.

Desiderose di intraprendere ogni misura di sicurezza sanitaria garantendo la protezione dei dati dei propri dipendenti, le aziende hanno sollevato e sottolineato sin da subito numerose questioni vertenti soprattutto sulla liceità delle finalità del trattamento dei dati sanitari dei dipendenti. Le risposte dal Garante per la protezione dei dati sono arrivate in poco tempo, lasciando però tracce di chiaro-scuro su quelli che sono i punti caldi del tema “trattamento dei dati personali al tempo dei CoViD-19”: dalla possibilità di misurare la temperatura ai propri dipendenti per evitare il contagio in azienda, alla comunicazione dei dati sanitari rilevati alle ASL e medici competenti, sino al termo-scanner di cui si accenna in questi giorni che hanno dato avvio alla Fase 2.

Nonostante la situazione così mutevole, il Garante Privacy ha da subito posto alcuni capisaldi nel trattamento dei dati: non  ha fatto divieto di utilizzare metodi e strumenti per garantire l’integrità fisica ai dipendenti delle aziende che hanno deciso di attuare misure di controllo della diffusione del virus, appellandosi sempre ai principi di liceità e trasparenza, affinché si possa continuare a garantire il massimo rispetto delle norme sanitarie imposte dal Governo unitamente a quelle Privacy prefissate dal GDPR.  Il Garante ha dunque provveduto ad emanare numerose linee guida e vademecum per permettere ai Titolari d’impresa di agire serenamente, ricordando anche che il trattamento dei dati sanitari deve essere sempre e comunque sottoposto a maggiori restrizioni e controlli, proprio per evitare la diffusione di dati riguardanti lo stato di salute delle persone. Tali misure si ricalcano nuovamente ai capisaldi della Privacy: raccogliere, trattare e comunicare i dati dei propri dipendenti solo per reale necessità agli organi competenti in materia di salute e sanità, di eliminare i dati nel momento in cui non sono più necessari, evitare la trasmissione di tali dati a terzi per “sola conoscenza” e la profilazione dei dipendenti. Dal canto suo, il dipendente deve essere informato sotto ogni aspetto del trattamento di dati sanitari, consci del periodo straordinario in cui stiamo vivendo. Inoltre, può richiedere in qualsiasi momento maggiori informazioni su chi tratta e detiene i suoi dati, nonché sui propri diritti che sono tuttora tutelati e garantiti dal GDPR.

Per le aziende, la nuova Fase 2 è rappresentata dal ritorno del termo-scanner (strumento già adottato da alcune imprese all’inizio della vicenda). L’uso di questo dispositivo non è considerato illecito dal Garante, bensì uno strumento che presenta una doppia faccia della stessa medaglia, ma comunque entrambe gestibili se sfruttate diligentemente e con criterio. Azienda e dipendente si trovano quindi ad essere vigilante e vigilato ed il secondo può anche sentir violati i propri diritti alla riservatezza e privacy. D’altronde, essere sottoposti a controlli così mirati e di natura sanitaria non rientra nella nostra routine lavorativa… e qui entra in gioco il ruolo del Titolare dell’azienda, il quale dovrà essere in grado di fornire informazioni dettagliate e trasparenti per garantire e dimostrare la liceità di questo trattamento straordinario.

“Spetta pertanto alle aziende che adottano i termoscanner di rassicurare gli utenti sul rispetto delle norme del Gdpr, avendo cura di espletare i vari adempimenti previsti dalla normativa sulla protezione dei dati personali, a partire dalla verifica della liceità del trattamento fino all’informativa da dare agli interessati” (fonte: https://www.federprivacy.org/informazione/punto-di-vista/covid-19-nella-fase-2-largo-ai-termoscanner-tra-business-e-sfide-sul-rispetto-della-privacy).

Da una parte la volontà del Titolare di garantire un ambiente di lavoro sicuro e sano, dall’altro il possibile e repentino diniego di sottoporsi a verifiche quotidiane sulla propria salute fanno intendere che i mesi che seguiranno non saranno proprio dei più idilliaci. L’importante, però, è garantire trasparenza: grazie al rispetto di tal principio, si possono superare anche gli ostacoli derivanti dalla volontà di proteggere la propria riservatezza.

sanzioni

Prime sanzioni del Garante

Certo non è mai troppo tardi. A quattro anni dall’entrata in vigore del GDPR, due dalla sua attuazione e periodi di “prova” e di sospensione del regime sanzionatorio, è arrivata l’ora anche per il Garante per la Protezione dei Dati Personali italiano di attivarsi e di adempiere anche ai suoi, di obblighi. E come iniziare al meglio la propria attività se non iniziando a verificare il livello di attuazione della nuova normativa in materia di protezione dei dati?

Beh, non possiamo certo dire di non aver avuto tempo a sufficienza per regolarizzare le nostre posizioni e i nostri documenti, eppure le sanzioni stanno cogliendo impreparati i più.

sanzioni
Prime sanzioni del Garante

Si sa, i colossi della telefonia sono sempre sotto attacco e sotto assedio: a causa della poca volontà (o poco ritorno…) di mettersi in pari con i compiti a casa, queste sono le aziende che hanno subìto quasi nell’immediatezza le conseguenze di telefonate e messaggi commercial-promozionali mandati a tappeto, anche a coloro che erano iscritti al Registro delle Opposizioni o non desideravano essere ricontattati.

Da qualche anno a questa parte il personale dipendente di aziende, scuole e pubbliche amministrazioni può usufruire di uno strumento molto utile per segnalare casi reali o presunti di illecito a cui ha avuto la sfortuna di assistere, o osservare. Si tratta del Whistleblowing (letteralmente “soffiatore nel fischietto”), ovvero di un iter di denuncia anonima del fatto. L’Ateneo coinvolto in questo caso si è “dimenticata” di ripristinare ed implementare le misure adeguate di sicurezza a seguito dell’aggiornamento software della piattaforma utilizzata dall’Università. Così, le informazioni riservate concernenti denunce e nomi sono rimasti leggibili ed indicizzate da alcuni motori di ricerca. L’Università è intervenuta sulle cache, cancellandone copia e deindicizzando ogni riferimento scappato dalla rete della privacy. Per la mancata adozione di linee adeguate di sicurezza, l’Ateneo ha così dovuto pagare un pegno di 30.000 Euro per la sua disattenzione… o superficialità.

La curiosità porta solo guai… come quelli che hanno bussato alla porta di uno specializzando, di un radiologo e di un terzo soggetto -che ha utilizzato le credenziali incustodite di un medico- hanno effettuato l’accesso ai dossier sanitari dei propri colleghi. La struttura sanitaria ha scoperto questo “slancio di interesse” tra colleghi effettuando i periodici controlli informatici. Intervenuto il Garante Privacy, è stato appurato che le misure tecniche e adeguate di sicurezza non corrispondevano alle linee guida emanate dall’Autorità in materia di Dossier Sanitario nel 2015. Anche qui la sanzione ammonta a 30.000Euro.

È inutile… la curiosità si paga cara e le misure adeguate di sicurezza devono essere costantemente controllate e implementate per mantenere un alto livello di sicurezza, per evitare di mettere nei guai i propri clienti e dipendenti. …e per non dover aprire il portafoglio…

Il diritto alla quiete

2 milioni di telefonate e 22 milioni di sms. No, non sono i messaggi che inviamo e le chiamate che effettuiamo nell’arco della vita, ma sono i contatti promozionali che Vodafone ha recentemente inoltrato ai consumatori che, stanchi di essere letteralmente sommersi dalle offerte indesiderate e non richieste, hanno sporto denuncia al Garante della Privacy. L’Autorità ha messo un freno al “telemarketing selvaggio”, dopo aver scoperto che, tra l’altro, la compagnia telefonica trattava i dati di clienti che non avevano dato alcun consenso per essere contattati. Anche Wind-Tre, compagnia nata da H3G, ha agito alla stessa maniera, utilizzando dati senza consenso, anche di chi aveva espressamente richiesto l’opposizione al trattamento dei suoi dati di contatto, poiché quei numeri risultano non essere mai stati inseriti all’interno delle black list della compagnia telefonica.

Tutti abbiamo diritto alla quiete e a non sentire squillare il telefono che ci costringe ad una corsa precipitosa per rispondere al numero sconosciuto o privato, per poi scoprire che si trattava di vendita e di offerte delle più disparate. Il GDPR, ovvero il Reg. UE 679/2016, non cita espressamente il telemarketing, ma nel considerando 39 e agli Artt. 5, 13 e 14 co. 2 del GDPR viene affrontato ciò che mina le fondamenta di questo nuovo mercato, ovvero il lasso temporale per cui i dati possono essere trattati e conservati presso l’azienda.

Per ciò che concerne l’invio e la ricezione delle newsletter, la questione è molto semplice: ora le aziende che effettuano tali operazioni devono scrivere, all’interno di ogni mail che spediscono, le modalità attraverso cui l’utente può richiedere o effettuare autonomamente la disiscrizione dal servizio, al fine di evitare di conservare troppo a lungo i dati dei consumatori. Si può dire che la decisione se continuare a ricevere mail pubblicitarie è una decisione diretta del consumatore. A seguito dell’entrata in vigore del GDPR, le newsletter possono essere inoltrate nel momento in cui l’utente acconsente liberamente ed espressamente al trattamento dei suoi dati per il fine pubblicitario (consenso che, ricordiamo, può essere sempre e in qualsiasi revocato). Per contro, il consenso non deve essere richiesto se sul sito web è presente un box di iscrizione apposito “newsletter” che il cliente può compilare per ricevere le comunicazioni commerciali. Se decide di non ricevere più tali comunicazioni, spesso è sufficiente cliccare su una dicitura quale “clicca qui per annullare l’iscrizione alla newsletter”: da quel momento, il mittente non è più autorizzato alla trasmissione di comunicazioni commerciali.

Per quanto riguarda le telefonate provenienti da call center, è possibile iscriversi al registro delle opposizioni (disciplinato dalla L. 05/2018: disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni): qualunque chiamata di telemarketing si dovesse ricevere senza aver espressamente manifestato la volontà di essere contatti, diventa sanzionabile. La stretta è arrivata qualche mese fa, a seguito di continue telefonate anche a quei consumatori che avevano declinato il ricontatto, forti anche della loro iscrizione al registro.

Con la stretta del GDPR, le aziende devono prestare la massima attenzione per non contattare coloro che vogliono rimanere anonimi al telemarketing. Certo è che i grandi colossi di questo nuovo ramo del mercato, o quelle aziende e società che si appoggiano a loro per vendere pacchetti ed offerte, sono nell’occhio del ciclone e sono tenuti a trattare i dati personali responsabilmente, verificando costantemente chi effettivamente ha espresso il consenso per essere chiamato, perché ogni consumatore ha il diritto di decidere a chi consegnare i suoi dati di contatto.

Intanto, il Garante Privacy ha agito contro le compagnie di telefonia avviando procedure sanzionatorie e vietandole di contattare i consumatori che non avevano prestato il consenso e sono state sollecitate a rivedere le loro politiche aziendali in ambito marketing. Ancora, devono aggiornare quotidianamente le loro liste di contatti, proprio per assicurare al consumatore di non ricevere chiamate indesiderate.

il reclamo - gdpraosta.it

Strumenti per tutelare i vostri dati: il Reclamo

Tutti, in qualità di Interessati, abbiamo il diritto di sporgere reclamo all’azienda, ente o organizzazione che raccoglie e tratta i nostri dati in maniera illecita. Se fino al 25 maggio 2018 il ricorso era a pagamento, per cui l’Interessato perplesso doveva pagare circa €. 150,00 per chiedere al Garante Privacy o all’autorità competente di verificare il dubbio sull’illegittimo trattamento dei dati raccolti, ora il reclamo è gratuito. Ma come si sporge istanza di reclamo?

il reclamo - gdpraosta.it
Il reclamo – gdpraosta.it

Tutti noi, in qualità di Interessati, possiamo sporgere reclamo all’azienda o all’ente che tratta i nostri dati attraverso i metodi esplicitati sul sito istituzionale dell’azienda alla sezione prevista (solitamente è quella “privacy”). I metodi per esporre il reclamo maggiormente adottati tra gli enti e le organizzazioni sono quelli di inviare una mail o una missiva agli indirizzi specificati, o completare un apposito modulo. Dal momento della ricezione del reclamo, l’azienda ha tempo un mese, prorogabile a due se i dati oggetto di reclamo sono molti o la procedura per estrapolarli e valutare il trattamento risulta complicato, per rispondere e dimostrare che i nostri dati in loro possesso non sono trattati illegittimamente ed illecitamente. Se non si dovesse ricevere riscontro entro il tempo prestabilito e/o non si considerasse la risposta esaustiva, allora ci si può rivolgere al Garante Privacy. È possibile scaricare il modulo del reclamo al link seguente: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524 .

Se il Garante Privacy o l’autorità preposta rileva che il motivo del nostro reclamo è lecito, allora dal reclamo si passa all’istruttoria preliminare. Da questo momento in avanti si intraprende l’iter di un vero e proprio procedimento amministrativo. A seguito degli accertamenti e delle varie verifiche previste dal procedimento, e se nel caso, il Garante o l’autorità preposta procede con la comminazione delle sanzioni contro l’ente che ha utilizzato illecitamente i dati di cui era in possesso, il tutto secondo l’Art. 58 del GDPR.

Logo garante della privacy

Il Garante della Privacy

Nata con la Direttiva Comunitaria 95/46/CE e recepita in Italia con la Legge sulla Privacy L. 675/1996, l’Autorità di controllo italiana trova la sua espressione nel Garante per la protezione dei dati personali, o Garante Privacy. Ad oggi, il Garante Privacy italiano risponde D.Lgs. 196/2003 modificata ed integrata con il D.Lgs. 101/2018 (decreto di recepimento nell’Ordinamento Nazionale del GDPR-nda).

Logo garante della privacy
Logo garante della privacy

Tutti i Paesi dell’Unione Europea hanno un equivalente del nostro Garante Privacy. Tutti rispondono sia alla normativa europea, sia all’ordinamento nazionale e agisce per competenza territoriale.

Per ciò che concerne la nostra Nazione, i compiti del Garante Privacy sono molteplici e vanno da verificare che le aziende, gli enti, le organizzazioni e le pubbliche amministrazioni trattino in maniera corretta, lecita e trasparente i dati da loro raccolti (o forniti da terzi), ad esaminare eventuali reclami e ricorsi avviati dagli interessati vittime di trattamenti illeciti. Dal punto di vista giurisprudenziale, l’Autorità di controllo si occupa di adottare le linee guida emanate dalle Istituzioni Europee e di adeguarle alla legislazione nazionale e di promuovere codici deontologici e di buona condotta. Ancora, le Autorità di controllo sono legittimate dall’Unione Europea a comminare sanzioni in diversi casi, quali per esempio: sospendere il flusso migratorio dei dati da uno Stato all’altro, richiedere al Titolare di rispondere in tempi celeri alle richieste dell’Interessato e a motivare i trattamenti illeciti svolti su dati, piuttosto che di ammonire le aziende per aver assunto dei comportamenti illeciti o essere state poco trasparenti nei confronti dei consumatori, ossia degli Interessati.

Se prima del 25 maggio 2018 l’Autorità di controllo operava ex ante, a priori e per prevenzione, ora è tenuta ad intervenire solo se interpellata e/o se, durante le sue indagini, si accorge di comportamenti illeciti e contrari alla normativa privacy. Si può quindi affermare che essa opera ex post, ossia (quasi) su segnalazione.

Secondo il Regolamento Europeo, le Autorità di controllo dei diversi Stati europei possono incontrarsi e formare il Comitato Europeo per la Protezione dei dati (ex Gruppo Articolo 29): i loro lavori sono incentrati soprattutto sull’interpretazione della normativa privacy e su rispondere ai quesiti di carattere generale provenienti dai Paesi UE. Altro importante principio del GDPR è quello dello sportello unico, per cui un’azienda che ha sedi in diversi Stati europei deve avere un’unica Autorità di controllo in uno degli Stati membri. Tale Autorità deve essere stabilita tra tutte le Autorità in cui l’azienda è presente.

 

Nota sul Registro! (del Trattamento)

8 ottobre 2018.

E’ tempo di chiarimenti interpretativi sull’applicazione del “Codice sulla Privacy” rivisitato nella sua interezza dal D.lgs. 101 (c.d. Decreto attuativo).

A neanche 20 giorni dall’entrata in vigore delle modifiche apportate alla 196/03, nostro riferimento normativo per la materia privacy, ecco che spunta una notizia imponente pronta a rimbombare presso tutte le aziende del nostro territorio. Infatti l’Autorita del Garante per la Protezione dei dati Personali ha pubblicato proprio oggi, 8 ottobre 2018, una news fresca contenente le risposte ufficiali a tutti i quesiti e le incertezze che potevano sorgere sul famoso Registro dei Trattamenti

Il chiarimento non lascia spazio alle interpretazioni e nella seconda FAQ e cioè “Chi è tenuto a redigerlo?” amplia in maniera inequivocabile il raggio di azione dell’adempimento, inglobando, nell’obbligatorietà di produrre e mantenere questo documento, la maggior parte del tessuto aziendale del territorio nazionale. Praticamente la totalità delle attività che svolgono trattamento di dati dovrà adoperarsi per redigere il Registro in questione.

E’ necessario quindi muoversi fin da subito per sfruttare l’ultimo periodo finestra sanzionatorio concesso dal Garante, e adeguare le proprie aziende a ciò che viene richiesto; se pur semplici che siano, gli adempimenti vanno applicati per evitare le sanzioni.

GDPRAOSTA.it vi ricorda che attiveremo a breve i nostri servizi di consulenza online, strumenti volti a semplificare il vostro carico burocratico e ad evitare inutili sanzioni.

Rimani aggiornato sulla privacy e sui servizi di consulenza da noi offerti, iscrivendoti gratuitamente sul nostro portale.

Qui un estratto del testo delle FAQ del Garante:

[…] “Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD). 

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:  

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).” […]

La privacy e gli 8 mesi.

Quattro mesi e il 25 maggio 2018, così tanto atteso e temuto, quasi come se fosse stata la nuova data comunicata dai Maya per la fine del mondo, è passato. Quel momento di terrore, ansia, inquietudine è diventato ormai solo un lontano ricordo. E ora? Nemmeno il tempo necessario per prendere confidenza con il nuovo Regolamento Generale sulla Protezione dei Dati (RGDP-Reg. UE 679/2016 o GDPR, dall’acronimo della definizione inglese) che, quasi dalla sera alla mattina-per modo di dire, abituati come siamo alla “scorrevolezza” e “velocità” della legislatura italiana- ci hanno presentato il D.Lgs. 101/2018. E ora? La confusione. Alcuni hanno tentato di avventurarsi nel labirinto privacy senza filo di Arianna, molti hanno desistito subito. Ecco quindi una piccola “matassa sciolta” utile per orientarsi in questa materia complessa.

Fino ad ora siamo stati abituati a cercare informazioni riguardanti la Privacy all’interno del Testo Unico, ovvero del D.Lgs. 196/2003, Decreto a cui si faceva riferimento anche nella diversa documentazione da produrre per regolarizzare la posizione Privacy dell’azienda. Negli anni, vista la difficoltà di trovare Leggi omogenee tra i diversi Paesi membri e la confusione che si creava nei casi di scambio di dati da aziende che hanno sedi e succursali in Paesi terzi, l’Unione Europea deciso di uniformare e armonizzare le normative privacy di ogni Stato, in modo da agevolare e migliorare lo scambio dei dati, pur mantenendo altissimi i livelli di protezione: è così che nasce il GDPR o Reg. UE 679/2016.

Volgendo lo sguardo verso “casa nostra”, il nostro Testo Unico Privacy presentava delle incongruenze con il GDPR. Dunque, l’Italia si è trovata a dover compiere una scelta: o abrogare completamente il Decreto 196 del 2003, o abrogare e modificare solo alcune parti dello stesso, così da non creare il conflitto normativo tra legge italiana ed europea. Conscia dell’importante lavoro da portare a termine in tempi ristretti, l’Italia ha optato per l’emanazione del D.Lgs. 101/2018. Il nuovo Decreto italiano ha parzialmente modificato la vecchia normativa datata 2003, rendendola più snella e fluida e permettendo così il pieno recepimento del Regolamento Europeo all’interno dell’Ordinamento Italiano. Il 196/2003 ha preso una nuova forma, adeguata quindi al GDPR, rimanendo comunque il c.d. “Codice sulla privacy”, punto di riferimento per tutte le aziende e le imprese italiane che devono interfacciarsi con la materia.

Ora che la confusione normativa pare svanita, è importante comprendere e valutare quali sono i termini temporali che il Legislatore ha concesso a quelle aziende che ancora non si sono mobilitate per rispolverare la privacy, ma anche per quelle che, invece, hanno già intrapreso da tempo il percorso, consci delle difficoltà che emergono applicando il Regolamento Europeo.

L’8 settembre scorso è stato emanato il D.Lgs. 101/2018 ed è entrato in vigore il 19 settembre. Ciò vuol dire che ormai tutte le aziende, nessuna esclusa, devono essere in regola con la documentazione privacy e devono mobilitarsi al fine di rispettare le nuove disposizioni sancite dal Legislatore Italiano. Data la complessità della materia e le modifiche che sono state apportate al vecchio Decreto del 2003, l’Italia ha voluto alleggerire l’imposizione normativa nei primi otto mesi a decorrere dall’entrata in vigore del 101/2018.

L’art. 22, punto 13 del decreto è cosi scritto:

Per i primi otto mesi dalla data  di  entrata  in  vigore  del presente decreto, il Garante per la  protezione  dei  dati  personali tiene conto, ai fini dell’applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase  di  prima  applicazione  delle disposizioni sanzionatorie.

Sembra quindi evidente la volontà del legislatore italiano di obbligare l’Autorità nazionale del Garante a procedere con cautela, nella prima fase di applicazione delle disposizioni sanzionatorie, valutando a monte, attenuanti applicabili caso per caso.

Secondo le interpretazioni più diffuse, in questo lasso di tempo, le aziende saranno sottoposte a controllo da parte delle autorità preposte, ma le sanzioni dovranno tener conto di eventuali attenuanti giustificate e giustificabili, comprovanti la buona fede nello sforzo aziendale di adeguamento normativo ed il periodo di incertezza interpretativa dovuta al recepimento di nuove normative di riferimento. Da aprile 2019 in poi, però, le aziende non avranno più modo di giustificare ritardi nella corretta applicazione normativa, dato che, comunque, è già dal 2016 che le aziende avrebbero dovuto iniziare a regolarizzare le loro posizioni rispetto al GDPR.

Otto mesi di di alta pressione dunque,  durante i quali anche il Garante Privacy è chiamato a stilare le Linee Guida necessarie per chiarificare alcuni punti della materia. Ma non per questo ci è permesso di dormire sonni tranquilli: le aziende devono comunque impegnarsi e non distogliere l’attenzione dagli obiettivi della nuova privacy, poiché gli adempimenti sono parecchi e alcuni possono richiedere anche dispendiose energie, è meglio approfittare e non farsi cogliere impreparati. D’altronde, chi ha tempo non aspetti tempo.

Facebook, ovvero la vetrina su casa mia.

Mark Zuckerberg

Non ha più senso parlare di riservatezza online, le norme sociali sono cambiate” così esordiva il CEO di Facebook Mark Zuckerberg in una delle sue interviste, affermando inoltre che ormai nessuno ha problemi a condividere i propri dati personali sul social network, puntando il dito contro gli utenti e sentendosi così (quasi) legittimato ad effettuare  trattamenti illeciti di dati personali.

 

Non passa giorno che non postiamo foto, inviti e partecipazioni ad eventi, idee ed opinioni su tutto quello che succede perché ormai, diciamolo onestamente, siamo diventati tutti molto social. Viviamo nella ferma convinzione che se non si posta sul social network del momento una foto comprensiva di geolocalizzazione e stato d’animo annesso e non completiamo la frase “in compagnia di…” ci sentiamo esclusi dalla vita sociale. Ebbene, crediamo di non nuocere a nessuno se rendiamo partecipi i nostri 800 amici  di quello che stiamo vivendo, dimenticandoci che dare informazioni su di noi, su ciò che facciamo e dove ci troviamo diventa una ghiotta occasione per chi, con queste informazioni, ci lavora smuovendo dati e capitali – intesi proprio nel vero termine della parola. A causa della poca trasparenza di Facebook e dalla leggerezza dell’utente, è proprio quest’ultimo a pagare le conseguenze maggiori vedendo i suoi dati ceduti ad agenzie di marketing, ma non solo, senza aver fornito consenso alcuno rimanendo così vittima di trattamenti illeciti di dati personali.

L’ultimo caso che ha coinvolto il colosso Facebook è quello di Cambridge Analytica, per cui Zuckerberg è stato chiamato da Europa e Stati Uniti per giustificare l’utilizzo irregolare ed illecito dei dati di circa 50 milioni di utenti (dichiarati dallo stesso Zuckerberg come molti di più), al fine di manipolare e guidare le ultime elezioni americane che hanno visto gli staff politici coinvolti nella corsa elettorale impegnati nello studio dei profili degli elettori americani.

I Senatori americani Amy Klobuchar e John Kennedy affermano che il problema di fondo si trova nell’enorme quantità di dati ammassati da Facebook, Google e Twitter, colossi che si sentono autorizzati a trattarli “quando vendono pubblicità, compresa pubblicità politica”. L’utente Facebook pensa che la sua bacheca sia protetta dalla privacy, ma numerosi e complicati algoritmi calcolano le preferenze, gli stati d’animo, i like e i desideri delle persone consentendo, nel caso dello scandalo di Cabridge Analytica, di studiare slogan e discorsi a tavolino che il futuro presidente americano dovrà tenerr alla comunità. Insomma: diamo al popolo ciò che il popolo vuole.

Il caso di Cambridge Analyitica non è l’unico in cui Zuckerberg e la sua azienda sono coinvolti. nell’ultimo periodo infatti, egli è stato accusato di aver concluso dei contratti che prevedevano la cessione di dati personali tra lui e le compagnie produttrici di smartphones, anche qui per carpire illegittimamente informazioni sulle preferenze degli utenti.

Insomma, per concludere si può dire che quello che spetta al nuovo regolamento europeo è un compito arduo: da una parte punta a proteggere sempre di più i dati forniti online da utenti europei e dall’altra vuole responsabilizzare le persone, cercando di consapevolizzarle sul pericolo di vedere i propri dati utilizzati per fini manipolatori. Quel che è certo, è che gli scandali Facebook dovrebbero far capire a tutti noi “utenti social” che dobbiamo essere più consapevoli dell’importanza che hanno i nostri dati personali.

 

Fonti:   www.corriere.it            www.garanteprivacy.it            www.federprivacy.org

 

 

Privacy, cosa cambia. Intervista al Segretario del Garante.

Incontrato ed intervistato dal giornalista de “Il Sole 24 Ore” Antonello Cherchi, il Segretario Generale del Garante della Privacy, Avv. Giuseppe Busia, chiarisce alcuni punti essenziali del nuovo regolamento europeo 679/2016 entrato in vigore il 25 maggio scorso.

Nonostante il GDPR (acronimo di General Data Protection Regulation – regolamento europeo sulla protezione dei dati personali) sia stato approvato dall’Unione Europea due anni fa, l’Italia non ha ancora recepito la normativa europea, causando un vuoto normativo all’interno del nostro ordinamento. Il Decreto Legislativo, fermo presso il nostro Parlamento, avrà quindi il compito di abrogare le norme italiane in contrasto con quelle europee sancite dal GDPR e chiarificherà le modalità di raccolta, trattamento e cancellazione dei dati. Come sottolinea l’Avv. Busia, il recepimento del GDPR all’interno dell’ordinamento nazionale è molto importante, poiché il GDPR è un regolamento che rispecchia anche il cambiamento culturale europeo, volto verso l’internazionalizzazione e la facilitazione del libero mercato e della concorrenza leale tra aziende ed organizzazioni sparse in Europa, pur garantendo la massima protezione dei dati personali e, quindi, della privacy. Per permettere tutto questo, l’Europa ha redatto il regolamento 679/2016 tenendo conto dei principi di autonomia ed autodeterminazione degli Stati europei: essi sono invitati a plasmare e adattare le norme del GDPR ai propri ordinamenti nazionali, senza, ovviamente, stravolgerne il significato.

Il GDPR, chiarisce ancora Busia, è quel regolamento nato dalla volontà di offrire maggiori strumenti di tutela a tutti, dai privati alle imprese, dalle pubbliche amministrazioni alle organizzazioni, implementando diritti già presenti e garantendone altri. Quindi oltre a poter chiedere l’accesso, la modifica e la cancellazione dei dati che l’interessato ha fornito, dal 25 maggio 2018 egli può avvalersi anche del diritto all’oblio e alla portabilità. Il primo è un plus del diritto di cancellazione, per cui il dato in oggetto e su richiesta dell’interessato deve essere eliminato in modo permanente da qualsiasi registro e database. Per portabilità, chiarisce l’Avvocato Busia, si intende quel diritto per cui l’interessato può richiedere lo spostamento di tutti i suoi dati conservati in modo elettronico da una piattaforma ad un’altra, evitando così il monopolio aziendale, soprattutto quello che opera tra i social networks.

Sono proprio i social networks a destare maggiormente l’attenzione dei legislatori di Bruxelles e non solo per la quantità di dati che trattano quotidianamente, ma anche per l’età degli utenti. Punto caldo del GDPR è proprio quello che riguarda i minorenni. La normativa europea afferma che il minore di 16 anni non può esprimere un consenso senza la tutela dei genitori o di chi ne fa le veci. Il limite d’età non è fisso per tutti gli Stati d’Europa: anche qui il nuovo regolamento europeo ha lasciato ampia discrezionalità ai legislatori nazionali, i quali possono abbassare il limite del consenso fino a 13 anni. Non è detto che maggiore è l’età per dare il proprio consenso e maggiore consapevolezza dell’utente, in quanto molto spesso i giovani mentono sulla loro età pur di iscriversi ai social. Se il minorenne dichiarasse la sua vera età al momento dell’iscrizione aiuterebbe la piattaforma ad inserire contenuti idonei alla sua fascia d’età, afferma Busia che chiude il concetto elencando i principi fondamentali del consenso: esso deve essere vero, reale e libero.

Nel regolamento europeo si sottolinea più volte la necessità di offrire maggiore tutela al cittadino che inizia con il fornire al cittadino delle informative privacy semplici, chiare, immediate e dirette. Il problema che i diversi Garanti Privacy hanno riscontrato in questi anni di “rodaggio” della normativa privacy è che nessuno perdeva del tempo a leggere informative troppo complesse e giuridiche. L’obiettivo, dice ancora Busia, è quello di semplificare il più possibile l’informativa, anche attraverso l’uso di schemi ed immagini per offrire la possibilità al cittadino di scegliere se offrire o meno il suo consenso, confermando così la presa di coscienza e la consapevolezza di essere responsabile delle sue azioni e scelte, ovvero rispondendo al principio di responsabilizzazione presente nel reg. 679/2016.

L’Avv. Busia sottolinea l’importanza del dialogo tra cittadino, impresa e autorità. È proprio qui che il Segretario Generale del Garante della Privacy spiega la figura del Data Protection Officer (o DPO – Responsabile per la Protezione dei Dati). Il DPO è una figura essenziale, caldamente consigliata dal GDPR se non obbligatoria per aziende rispondenti a determinate caratteristiche, perché è il punto di contatto tra il Garante Privacy (di cui è il referente) e l’organizzazione presso cui lavora, aiutandola e suggerendole nuove soluzioni. I dati di tutti i DPO verranno raccolti in un registro nazionale e avranno sempre più spesso contatti con le istituzioni europee per permettere la creazione di una rete e di un dialogo tra i diversi DPO degli Stati dell’Unione Europea, per cui continueranno a confrontarsi sui problemi che mano a mano si riscontreranno con l’applicazione della nuova normativa. I Garanti Privacy nazionali vareranno nuove linee guida che faciliteranno e spiegheranno l’applicazione delle norme previste dal regolamento europeo, garantendo sempre e comunque ampie libertà di azione alle pubbliche amministrazioni, aziende e privati.

Ecco la video intervista completa: http://stream24.ilsole24ore.com/video/norme-e-tributi/privacy-ecco-che-cosa-cambiera-25-maggio/AEDF6moE

Parola al presidente dell’Autorità del Garante

Soro Presidente Garante Privacy
A. Soro – Presidente dell’Autorità Garante Privacy

Intervistato dal giornalista di Italia Oggi Antonio C. Messina, il Presidente del Garante per la Protezione dei Dati Personali, Antonello Soro, risponde alle domande che tutti si pongono da quando è stato emanato il Regolamento Europeo 679/2016 sul trattamento dei dati personali (GDPR) a questa parte, ovvero da due anni.

Nonostante l’idea comune sia quella che il GDPR abbia complicato ulteriormente la materia privacy, il Presidente Soro sostiene che, in realtà, il regolamento sia l’espressione di un cambiamento per le aziende che andranno via via incontro a “nuove sfide di un’economia fondata sui dati”. Egli afferma ancora che la nuova normativa deve essere considerata come una nuova opportunità di crescita delle imprese a livello concorrenziale e come una “risorsa reputazionale” che indica il livello di credibilità e serietà dell’azienda. Per adempiere in modo ottimale al GDPR, il Presidente del Garante sottolinea l’importanza della preparazione in materia di dipendenti e personale per una loro maggiore responsabilizzazione nel momento in cui dovranno trattare i flussi di dati presenti in azienda. Il Dott. Soro sottolinea ancora l’importanza delle misure di sicurezza e tecnico-organizzative per garantire il rispetto della privacy e della protezione del dato.

Analizzando la relazione tra GDPR ed enti pubblici, il Presidente afferma ancora che, per ovviare al problema del recepimento della normativa da parte delle pubbliche amministrazioni, sono stati organizzati numerosi corsi formativi. Il Garante sta lavorando per pubblicare nuove linee guida, FAQ e materiale sul Reg. UE 679/2016 per facilitare la materia a tali enti, nonché alle micro-piccole e medie imprese.

Concludendo l’intervista, il giornalista Messina porta l’attenzione su uno dei temi focali del nuovo Regolamento Europeo: le sanzioni. Analizzate ancora una volta dal Dott. Soro, le sanzioni saranno comminate secondo un approccio gradualistico (da amministrative a pecuniarie) alle aziende, associazioni ed organizzazioni che violano le norme del GDPR.

Fonte: Italia Oggi del 21/05/2018

intervista di A. C. Messina