Archivia 2021

Istruzione, formazione e aggiornamento degli autorizzati: prerequisito fondamentale per la compliance al Gdpr

dal sito Federprivacy

 

Quando possiamo realmente parlare di gestione ottimale della privacy, quindi essere definiti compliant, nella sfera della gestione del personale dipendente? Quali sono, pertanto, gli adempimenti che il Titolare del Trattamento dati dovrà obbligatoriamente adottare per essere conforme al Regolamento (UE) 2016/679, rispettandone i princìpi e adottando procedure organizzative e di sicurezza per assicurare, sui dati trattati, un rischio definibile basso? Per adottare il linguaggio del Regolamento (UE) 2016/679 il Titolare del Trattamento dovrà, solamente, agire con accountability, pertanto con consapevolezza, competenza e responsabilità.

Prerequisito fondamentale al fine di poter trattare un dato è, come ci è stato insegnato, l’istruzione. Tale nuova terminologia, che ritroviamo nella sua etimologia originaria di “formazione” solo nell’art. 39 del GDPR, fa presagire un percorso di apprendimento molto più strutturato rispetto al passato; infatti, istruire un soggetto significa procedere con un percorso teorico e pratico specifico di una determinata attività (il sostantivo “istruzione” è derivato dalla parola latina instruĕre, che significa “costruire, dare una struttura”). Vorrà dunque il nuovo Regolamento (UE) 2016/679 farci trasparire la necessità che la sola teoria senza un’applicazione pratica non potrà essere di reale impatto su coloro che trattano dati?

Se prima dell’avvento del Regolamento (UE) 2016/679 si poteva definire il soggetto che trattava i dati, per conto del Titolare del trattamento, con il nome di “Incaricato al trattamento dati”, notiamo che negli articoli che chiariscono il concetto sicurezza, istruzione e formazione si parla solo ed esclusivamente di “chiunque abbia accesso a dati personali” (art. 29 GDPR), “chiunque agisca sotto la loro autorità e abbia accesso a dati personali” (art. 32 GDPR), “formazione del personale che partecipa ai trattamenti” (art. 39 GDPR), “attribuiti a persone fisiche, espressamente designate” (art. 2-quaterdecies, D.Lgs. n. 196/2003 come modificato dal D.Lgs. n. 101/2018).
Sebbene, quindi, sia formalmente sparita la figura dell’Incaricato al trattamento dati, appare evidente che sia stata solo una epurazione di tipo lessicale; cambiata la forma ma non la sostanza.

Maggiori informazioni

Da Sole 24 : Whistleblowing, niente anonimato se la contestazione disciplinare si basa sulla segnalazione, di Pietro Alessio Palumbo

In breve

L’identità può essere rivelata ma solo con il consenso del segnalante

L’attuale ordinamento del lavoro alle dipendenze della Pa prevede un regime di tutela del dipendente pubblico che segnala condotte che sospetta illecite, di cui sia venuto a conoscenza in ragione del rapporto di lavoro. A tal fine il dipendente è protetto dall’anonimato. Tuttavia l’Amministrazione deve sempre realizzare un equilibrato trade off tra l’esigenza di garantire l’anonimato del denunciante e l’esigenza di garantire il diritto di difesa all’incolpato. Con la sentenza n. 436/2021, il Cgar Sicilia ha chiarito che se la segnalazione ha costituito la mera occasione per lo svolgimento degli accertamenti disciplinari, la conoscenza dell’identità del denunciante non deve essere rivelata in quanto si presume non essere indispensabile per la difesa dell’incolpato. Se invece la segnalazione ha costituito in tutto o in parte la base stessa del procedimento disciplinare e la conoscenza del segnalante è indispensabile per la difesa dell’incolpato, l’identità può essere rivelata – ma si badi – con il preciso consenso del segnalante oppure non può essere utilizzata. In tale ultima ipotesi ove la denuncia fosse ugualmente utilizzata senza la rivelazione dell’identità del segnalante si sarebbe in presenza di una seria anomalia del provvedimento disciplinare.

Prestigio e credibilità della Pa
In linea con la legge anticorruzione del 2012, scopo della disciplina del whistleblowing è valorizzare l’etica e l’integrità nella Pa per dare prestigio, autorevolezza e credibilità alla stessa, rafforzando i principi di legalità e buon andamento dell’azione amministrativa voluti dal testo costituzionale. Il pubblico dipendente che nell’interesse dell’integrità della Pa segnala al responsabile anticorruzione o all’Anac condotte illecite di cui sia venuto a conoscenza in ragione del proprio rapporto di lavoro non può essere sanzionato, demansionato, licenziato, trasferito.

Anonimato e “riconoscibilità”
Anche grazie alle modifiche apportate al sistema di protezione del whistleblower dal legislatore nel 2017 si vuole oggi offrire tutela, tra cui la segretezza dell’identità, a chi “porti alla luce” condotte e fatti illeciti. La normativa è finalizzata a evitare che il dipendente, venuto a conoscenza di condotte illecite in ragione del rapporto di lavoro, ometta di segnalarle per il timore di subire ritorsioni. Ma tale tutela opera solo nei confronti di soggetti individuabili e riconoscibili. Ciò in quanto da un lato non può proteggersi la riservatezza di chi non si conosce; dall’altro se il segnalante non svela la propria identità l’Amministrazione o l’Anac non hanno modo di verificare se il denunciante appartiene effettivamente alla categoria dei dipendenti pubblici o equiparati. Di qui non soltanto il divieto di rivelare l’identità di chi abbia reso la segnalazione salvo il suo consenso, ma anche quello non espressamente statuito tuttavia chiaramente evincibile dallo scopo stesso della disciplina, di fornire tutti gli elementi utili a permettere l’identificazione del whistleblower.

Maggiori informazioni

Privacy: le difficoltà della PA e le sanzioni per le violazioni del GDPR

Newsletter Dasein

Le difficoltà della PA nella gestione della privacy sono state confermate dai numeri delle sanzioni pubblicati sul sito del Garante della Privacy, tra il 2020 e il primo quadrimestre 2021. Oltre il 71% delle sanzioni per violazioni dei dati personali è stata irrogata ad Enti Pubblici e il 28,8% a soggetti privati.

Nel dettaglio le sanzioni indirizzate ai Comuni hanno riguardato il 31% dei provvedimenti.

La maggior incongruenza che si riscontra è la presenza di un unico corpo normativo a carattere europeo rappresentato dal Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr), operativo dal 25 maggio 2018 e direttamente applicabile in tutti i paesi membri dell’Unione europea, senza considerare le specificità presenti nei diversi contesti nazionali. La lacunosità del Gdpr è stata più volte discussa e percepita come un mero contenitore di buone prassi ma poco aderente ai contesti in cui va ad agire.

In questi anni di operatività del Gdpr, sono emerse le difficoltà che i Titolari affrontano nella gestione del trattamento dei dati personali e la prassi sanzionatoria conferma quanto sia complesso essere in regola con la privacy, a tal punto che le amministrazioni statali centrali e gli enti locali sono stati puniti con sanzioni pecuniarie a volte significative.

Da ultimo l’intervento sanzionatorio  del Garante nei confronti del Comune di Palermo. Con  un’ordinanza di ingiunzione  l’ente Maggiori informazioni

Da Sole 24 ore – Il diritto alla disconnessione va regolato nell’accordo

Nella legge 61/2021, di conversione del decreto legge 30/2021, appena entrata in vigore, è stata inserita una norma che sancisce e rafforza, in via generale, il diritto alla disconnessione dagli strumenti tecnologici per i lavoratori agili. Si tratta del comma 1-ter dell’articolo 2, che, ferma restando la disciplina specifica stabilita per il pubblico impiego dai contratti collettivi nazionali, riconosce «al lavoratore che svolge l’attività in modalità agile il diritto alla disconnessione dalle strumentazioni tecnologiche e dalle piattaforme informatiche, nel rispetto degli eventuali accordi sottoscritti dalle parti e fatti salvi eventuali periodi di reperibilità concordati». Non solo.

La norma prosegue affermando che «l’esercizio del diritto alla disconnessione, necessario per tutelare i tempi di riposo e la salute del lavoratore, non può avere ripercussioni sul rapporto di lavoro o sui trattamenti retributivi».

Siamo in presenza di una disposizione che, pur estemporaneamente inserita in un provvedimento di natura contingente, è destinata ad avere un impatto significativo sulla regolazione del lavoro agile, ben al di là del periodo emergenziale. Non si tratta, infatti, della mera ripetizione di quanto già previsto, in materia di disconnessione, dalla legge 81/2017, istitutiva del lavoro agile. Quest’ultima si limita ad assegnare all’accordo individuale il compito di individuare «le misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche di lavoro».

La nuova disposizione va oltre, e afferma l’esistenza, in capo al lavoratore, di un vero e proprio diritto alla disconnessione, il cui esercizio, necessario per tutelare riposo e salute, non è sottoposto ad altre limitazioni che non siano le previsioni dell’accordo individuale e i periodi di reperibilità in esso eventualmente previsti. Il che, in pratica, potrebbe significare che, al di fuori delle fasce orarie previste dall’accordo, il lavoratore non ha l’obbligo di rimanere connesso agli strumenti e ai sistemi aziendali, e quindi anche di rispondere tempestivamente alle telefonate, alle email eccetera.

Per rafforzare il diritto alla disconnessione, è previsto poi il divieto di ripercussioni sfavorevoli (cioè di sanzioni di qualsiasi tipo) per il lavoratore che lo esercita. In questo la norma riecheggia il contenuto della risoluzione approvata dal Parlamento europeo il 21 gennaio 2021, nella quale, premessa una lunga serie di considerazioni sulla necessità di affermare e regolamentare in modo uniforme in Europa il diritto alla disconnessione, si invita la Commissione a presentare una proposta di direttiva dell’Unione, il cui testo è allegato alla risoluzione stessa. Lo scopo dichiarato è contrastare quella che viene definita la cultura del “sempre connesso”, che, si afferma, può andare a scapito dei diritti e della salute dei lavoratori. Sembra quasi che il legislatore italiano, in questo caso, abbia voluto precorrere i tempi e conformarsi (più che anticipatamente) a una direttiva ancora in gestazione, con un intervento forse non sufficientemente meditato.

Quel che è certo è che, su un piano pratico, occorrerà prestare ancor più attenzione di prima alla formulazione degli accordi individuali, occupandosene ancor prima della scadenza dello smart working semplificato dell’emergenza. È negli accordi individuali infatti che, in relazione alle specificità delle situazioni lavorative, andranno individuate eventuali fasce di reperibilità durante le quali il lavoratore ha l’obbligo di mantenersi connesso e raggiungibile, così come eventuali momenti/orari in cui è richiesta la prestazione, nonché i tempi di riposo. Un esercizio talvolta non semplice, ma necessario, per adempiere il precetto legislativo, tutelando il lavoratore (e l’azienda da potenziali contenziosi), senza perdere l’autonomia e la flessibilità del modello.

PA in affanno sulla privacy: il 71% delle sanzioni per violazioni del Gdpr irrogate a enti pubblici

di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 10 maggio 2021)

 

Pubbliche amministrazioni in affanno con la privacy. Norme privacy oscure mettono all’angolo gli enti pubblici. Ma anche il settore privato non può fare festa. Dal 2020 al primo quadrimestre 2021 oltre il 71% (per numero) delle sanzioni per violazioni della privacy è stata irrogata a enti pubblici e il 28,8% a soggetti privati. Su un totale di 80 ordinanze-ingiunzioni, 57 sono state indirizzate a pubbliche amministrazioni e 23 a privati. Se quelle imposte a soggetti privati arrivano, in singoli casi, a importi milionari, quelle rivolte agli enti pubblici preoccupano per la loro capillare diffusione, sia tra amministrazioni centrali sia tra enti locali. Continua a leggere

https://www.federprivacy.org/informazione/societa/pa-in-affanno-sulla-privacy-il-71-delle-sanzioni-per-violazioni-del-gdpr-sono-state-irrogate-a-enti-pubblici

Piccoli Comuni, il sindaco può presiedere la commissione del concorso

di Pietro Alessandro Palumbo*

……………………………. “Con la sentenza n. 3436/2021, il Consiglio di Stato ha ora “sdoganato” la possibilità per i Comuni con meno di 5000 abitanti di attribuire al sindaco la presidenza delle commissioni di concorso. Una lettura che ruota sul presupposto per il quale se il sindaco di tali comunità può dirigere un ufficio o un servizio, discende dallo stesso incarico (anche) la possibilità di presiedere una commissione di concorso per nuovo personale”.

………. “mette in evidenza il Consiglio di Stato – (che) gli enti locali con popolazione inferiore a cinquemila abitanti anche al fine di operare un contenimento della spesa, possono adottare disposizioni organizzative anche in difformità dalla disciplina generale, attribuendo ai componenti dell’organo esecutivo la responsabilità di uffici e servizi ed il potere di svolgere compiti anche di natura tecnico-gestionale che all’incarico amministrativo sono, per legge, ricollegati. Tra questi compiti, pertanto, anche la presidenza delle commissioni di concorso.”…..

https://ntplusentilocaliedilizia.ilsole24ore.com/art/piccoli-comuni-sindaco-puo-presiedere-commissione-concorso-AE5IXi

*SOLE24ORE NT – ENTI LOCALI ED EDILIZIA

Pubblicare all’albo pretorio online anche solo un numero di matricola di un dipendente in contenzioso con l’ente può costare caro al comune.

Fonte: Italia Oggi del 27 aprile 2021

Pubblicare il numero di matricola di un dipendente nell’albo pretorio può costare caro al comune.

Pubblicare all’albo pretorio online anche solo un numero di matricola di un dipendente in contenzioso con l’ente può costare caro al comune. Anche se esiste un obbligo di pubblicazione infatti è sempre opportuno oscurare ogni riferimento personale per non incorrere in sanzioni privacy.

Lo ha chiarito il garante per la protezione dei dati con il proprio provvedimento sanzionatorio n. 34 del 27 gennaio 2021. Un dipendente comunale in contenzioso con il proprio ente ha presentato un reclamo all’autorità contro la diffusione di una serie di dati personali sul sito del comune in riferimento al suo contenzioso legale con l’amministrazione.

Il garante ha quindi avviato un’attività istruttoria che si è conclusa con l’adozione di un’ordinanza ingiunzione a carico del comune. Anche in presenza di un obbligo di pubblicazione i soggetti chiamati a darvi attuazione non possono comunque diffondere dati personali eccedenti e non pertinenti. Anche se si tratta solo di un numero di matricola che permette ad una stretta cerchia di persone di collegare la matricola all’interessato.

Quindi pubblicazioni sul sito del comune si, ma sempre con adeguato oscuramento dei dati personali non pertinenti.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9549165

Smart working e criticità privacy

A causa della situazione pandemica, che dallo scorso anno ha investito anche il nostro paese modificando la fisionomia del mercato del lavoro, il Governo – con il DPCM del 1 marzo 2020 – ha previsto la possibilità per i datori di lavoro di attivare, in deroga all’art. 18 della L. 81/2017, lo smart working in modalità semplificata, ovvero senza la stipula di un previo accordo individuale con il lavoratore. Tale modalità scadrà, salvo proroghe, il 30 aprile 2021. L’art. 19 del D.L. 31 dicembre 2020, n. 183 (c.d. Decreto Mille Proroghe) convertito con modificazioni in Legge 26 febbraio 2021, n. 21 ha, infatti, confermato nuovamente la procedura semplificata già adottata a marzo 2020 sino a tale data.

Con la diffusione dello smart working aumentano anche le criticità sulla privacy.

Questa modalità in deroga consente al datore di lavoro di attivare lo smart working mediante l’invio della lista dei lavoratori che saranno posti in lavoro agile senza – appunto – alcun accordo individuale con questi ultimi, che tenga conto delle regole previste dal Capo II, L. 81/2017 (rubricato “Lavoro Agile”).

In Commissione Lavoro della Camera è stata avanzata la possibilità di prorogare la scadenza di accesso alla procedura semplificata di attivazione dello smart working e, da quanto risulta, il Ministero del Lavoro sta già approntando il testo della proroga che, ufficiosamente, dovrebbe essere fissata per il prossimo 30 settembre 2021.

Se da un lato tale modalità……… clicca qui

https://www.federprivacy.org/informazione/primo-piano/modalita-semplificata-di-attivazione-dello-smart-working-senza-accordi-individuali-a-rischio-privacy-dei-lavoratori-e-sicurezza-dati-aziendali

WP2Social Auto Publish Powered By : XYZScripts.com