Categoria PRIVACY

dal sito Federprivacy

 

Quando possiamo realmente parlare di gestione ottimale della privacy, quindi essere definiti compliant, nella sfera della gestione del personale dipendente? Quali sono, pertanto, gli adempimenti che il Titolare del Trattamento dati dovrà obbligatoriamente adottare per essere conforme al Regolamento (UE) 2016/679, rispettandone i princìpi e adottando procedure organizzative e di sicurezza per assicurare, sui dati trattati, un rischio definibile basso? Per adottare il linguaggio del Regolamento (UE) 2016/679 il Titolare del Trattamento dovrà, solamente, agire con accountability, pertanto con consapevolezza, competenza e responsabilità.

Prerequisito fondamentale al fine di poter trattare un dato è, come ci è stato insegnato, l’istruzione. Tale nuova terminologia, che ritroviamo nella sua etimologia originaria di “formazione” solo nell’art. 39 del GDPR, fa presagire un percorso di apprendimento molto più strutturato rispetto al passato; infatti, istruire un soggetto significa procedere con un percorso teorico e pratico specifico di una determinata attività (il sostantivo “istruzione” è derivato dalla parola latina instruĕre, che significa “costruire, dare una struttura”). Vorrà dunque il nuovo Regolamento (UE) 2016/679 farci trasparire la necessità che la sola teoria senza un’applicazione pratica non potrà essere di reale impatto su coloro che trattano dati?

Se prima dell’avvento del Regolamento (UE) 2016/679 si poteva definire il soggetto che trattava i dati, per conto del Titolare del trattamento, con il nome di “Incaricato al trattamento dati”, notiamo che negli articoli che chiariscono il concetto sicurezza, istruzione e formazione si parla solo ed esclusivamente di “chiunque abbia accesso a dati personali” (art. 29 GDPR), “chiunque agisca sotto la loro autorità e abbia accesso a dati personali” (art. 32 GDPR), “formazione del personale che partecipa ai trattamenti” (art. 39 GDPR), “attribuiti a persone fisiche, espressamente designate” (art. 2-quaterdecies, D.Lgs. n. 196/2003 come modificato dal D.Lgs. n. 101/2018).
Sebbene, quindi, sia formalmente sparita la figura dell’Incaricato al trattamento dati, appare evidente che sia stata solo una epurazione di tipo lessicale; cambiata la forma ma non la sostanza.

Maggiori informazioni

Newsletter Dasein

Le difficoltà della PA nella gestione della privacy sono state confermate dai numeri delle sanzioni pubblicati sul sito del Garante della Privacy, tra il 2020 e il primo quadrimestre 2021. Oltre il 71% delle sanzioni per violazioni dei dati personali è stata irrogata ad Enti Pubblici e il 28,8% a soggetti privati.

Nel dettaglio le sanzioni indirizzate ai Comuni hanno riguardato il 31% dei provvedimenti.

La maggior incongruenza che si riscontra è la presenza di un unico corpo normativo a carattere europeo rappresentato dal Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr), operativo dal 25 maggio 2018 e direttamente applicabile in tutti i paesi membri dell’Unione europea, senza considerare le specificità presenti nei diversi contesti nazionali. La lacunosità del Gdpr è stata più volte discussa e percepita come un mero contenitore di buone prassi ma poco aderente ai contesti in cui va ad agire.

In questi anni di operatività del Gdpr, sono emerse le difficoltà che i Titolari affrontano nella gestione del trattamento dei dati personali e la prassi sanzionatoria conferma quanto sia complesso essere in regola con la privacy, a tal punto che le amministrazioni statali centrali e gli enti locali sono stati puniti con sanzioni pecuniarie a volte significative.

Da ultimo l’intervento sanzionatorio  del Garante nei confronti del Comune di Palermo. Con  un’ordinanza di ingiunzione  l’ente Maggiori informazioni

Nella legge 61/2021, di conversione del decreto legge 30/2021, appena entrata in vigore, è stata inserita una norma che sancisce e rafforza, in via generale, il diritto alla disconnessione dagli strumenti tecnologici per i lavoratori agili. Si tratta del comma 1-ter dell’articolo 2, che, ferma restando la disciplina specifica stabilita per il pubblico impiego dai contratti collettivi nazionali, riconosce «al lavoratore che svolge l’attività in modalità agile il diritto alla disconnessione dalle strumentazioni tecnologiche e dalle piattaforme informatiche, nel rispetto degli eventuali accordi sottoscritti dalle parti e fatti salvi eventuali periodi di reperibilità concordati». Non solo.

La norma prosegue affermando che «l’esercizio del diritto alla disconnessione, necessario per tutelare i tempi di riposo e la salute del lavoratore, non può avere ripercussioni sul rapporto di lavoro o sui trattamenti retributivi».

Siamo in presenza di una disposizione che, pur estemporaneamente inserita in un provvedimento di natura contingente, è destinata ad avere un impatto significativo sulla regolazione del lavoro agile, ben al di là del periodo emergenziale. Non si tratta, infatti, della mera ripetizione di quanto già previsto, in materia di disconnessione, dalla legge 81/2017, istitutiva del lavoro agile. Quest’ultima si limita ad assegnare all’accordo individuale il compito di individuare «le misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche di lavoro».

La nuova disposizione va oltre, e afferma l’esistenza, in capo al lavoratore, di un vero e proprio diritto alla disconnessione, il cui esercizio, necessario per tutelare riposo e salute, non è sottoposto ad altre limitazioni che non siano le previsioni dell’accordo individuale e i periodi di reperibilità in esso eventualmente previsti. Il che, in pratica, potrebbe significare che, al di fuori delle fasce orarie previste dall’accordo, il lavoratore non ha l’obbligo di rimanere connesso agli strumenti e ai sistemi aziendali, e quindi anche di rispondere tempestivamente alle telefonate, alle email eccetera.

Per rafforzare il diritto alla disconnessione, è previsto poi il divieto di ripercussioni sfavorevoli (cioè di sanzioni di qualsiasi tipo) per il lavoratore che lo esercita. In questo la norma riecheggia il contenuto della risoluzione approvata dal Parlamento europeo il 21 gennaio 2021, nella quale, premessa una lunga serie di considerazioni sulla necessità di affermare e regolamentare in modo uniforme in Europa il diritto alla disconnessione, si invita la Commissione a presentare una proposta di direttiva dell’Unione, il cui testo è allegato alla risoluzione stessa. Lo scopo dichiarato è contrastare quella che viene definita la cultura del “sempre connesso”, che, si afferma, può andare a scapito dei diritti e della salute dei lavoratori. Sembra quasi che il legislatore italiano, in questo caso, abbia voluto precorrere i tempi e conformarsi (più che anticipatamente) a una direttiva ancora in gestazione, con un intervento forse non sufficientemente meditato.

Quel che è certo è che, su un piano pratico, occorrerà prestare ancor più attenzione di prima alla formulazione degli accordi individuali, occupandosene ancor prima della scadenza dello smart working semplificato dell’emergenza. È negli accordi individuali infatti che, in relazione alle specificità delle situazioni lavorative, andranno individuate eventuali fasce di reperibilità durante le quali il lavoratore ha l’obbligo di mantenersi connesso e raggiungibile, così come eventuali momenti/orari in cui è richiesta la prestazione, nonché i tempi di riposo. Un esercizio talvolta non semplice, ma necessario, per adempiere il precetto legislativo, tutelando il lavoratore (e l’azienda da potenziali contenziosi), senza perdere l’autonomia e la flessibilità del modello.

di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 10 maggio 2021)

 

Pubbliche amministrazioni in affanno con la privacy. Norme privacy oscure mettono all’angolo gli enti pubblici. Ma anche il settore privato non può fare festa. Dal 2020 al primo quadrimestre 2021 oltre il 71% (per numero) delle sanzioni per violazioni della privacy è stata irrogata a enti pubblici e il 28,8% a soggetti privati. Su un totale di 80 ordinanze-ingiunzioni, 57 sono state indirizzate a pubbliche amministrazioni e 23 a privati. Se quelle imposte a soggetti privati arrivano, in singoli casi, a importi milionari, quelle rivolte agli enti pubblici preoccupano per la loro capillare diffusione, sia tra amministrazioni centrali sia tra enti locali. Continua a leggere

https://www.federprivacy.org/informazione/societa/pa-in-affanno-sulla-privacy-il-71-delle-sanzioni-per-violazioni-del-gdpr-sono-state-irrogate-a-enti-pubblici

Fonte: Italia Oggi del 27 aprile 2021

Pubblicare il numero di matricola di un dipendente nell’albo pretorio può costare caro al comune.

Pubblicare all’albo pretorio online anche solo un numero di matricola di un dipendente in contenzioso con l’ente può costare caro al comune. Anche se esiste un obbligo di pubblicazione infatti è sempre opportuno oscurare ogni riferimento personale per non incorrere in sanzioni privacy.

Lo ha chiarito il garante per la protezione dei dati con il proprio provvedimento sanzionatorio n. 34 del 27 gennaio 2021. Un dipendente comunale in contenzioso con il proprio ente ha presentato un reclamo all’autorità contro la diffusione di una serie di dati personali sul sito del comune in riferimento al suo contenzioso legale con l’amministrazione.

Il garante ha quindi avviato un’attività istruttoria che si è conclusa con l’adozione di un’ordinanza ingiunzione a carico del comune. Anche in presenza di un obbligo di pubblicazione i soggetti chiamati a darvi attuazione non possono comunque diffondere dati personali eccedenti e non pertinenti. Anche se si tratta solo di un numero di matricola che permette ad una stretta cerchia di persone di collegare la matricola all’interessato.

Quindi pubblicazioni sul sito del comune si, ma sempre con adeguato oscuramento dei dati personali non pertinenti.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9549165

A causa della situazione pandemica, che dallo scorso anno ha investito anche il nostro paese modificando la fisionomia del mercato del lavoro, il Governo – con il DPCM del 1 marzo 2020 – ha previsto la possibilità per i datori di lavoro di attivare, in deroga all’art. 18 della L. 81/2017, lo smart working in modalità semplificata, ovvero senza la stipula di un previo accordo individuale con il lavoratore. Tale modalità scadrà, salvo proroghe, il 30 aprile 2021. L’art. 19 del D.L. 31 dicembre 2020, n. 183 (c.d. Decreto Mille Proroghe) convertito con modificazioni in Legge 26 febbraio 2021, n. 21 ha, infatti, confermato nuovamente la procedura semplificata già adottata a marzo 2020 sino a tale data.

Con la diffusione dello smart working aumentano anche le criticità sulla privacy.

Questa modalità in deroga consente al datore di lavoro di attivare lo smart working mediante l’invio della lista dei lavoratori che saranno posti in lavoro agile senza – appunto – alcun accordo individuale con questi ultimi, che tenga conto delle regole previste dal Capo II, L. 81/2017 (rubricato “Lavoro Agile”).

In Commissione Lavoro della Camera è stata avanzata la possibilità di prorogare la scadenza di accesso alla procedura semplificata di attivazione dello smart working e, da quanto risulta, il Ministero del Lavoro sta già approntando il testo della proroga che, ufficiosamente, dovrebbe essere fissata per il prossimo 30 settembre 2021.

Se da un lato tale modalità……… clicca qui

https://www.federprivacy.org/informazione/primo-piano/modalita-semplificata-di-attivazione-dello-smart-working-senza-accordi-individuali-a-rischio-privacy-dei-lavoratori-e-sicurezza-dati-aziendali

Fonte: Italia Oggi del 19 marzo 2021.

Il segreto di ufficio al quale è tenuto il consigliere comunale non consente un accesso senza limiti ai dati delle pratiche trattate dal comune. È, di conseguenza, illegittimo accedere ai nominativi delle persone che hanno chiesto il beneficio dei buoni spesa, previsti dall’ordinanza della Protezione civile 658/2020. Il Consiglio di stato, con la sentenza della Sezione V 11 marzo 2021, n. 2889 corregge il tiro della Tar Basilicata, sezione I, 25 settembre 2020, n. 574, che aveva considerato legittimo fornire ad un consigliere comunale i nominativi e i dati personali delle persone che avevano richiesto l’aiuto economico al comune.

Per palazzo Spada, invece, considerando che il comune aveva garantito al richiedente una serie di dati anonimi, ma utili per il mandato, estendere l’accesso anche ai nominativi è illegittimo.

La sentenza è particolarmente interessante, perché per la prima volta mette in evidenza un elemento importante: non basta il dovere di attenersi al segreto d’ufficio in capo al consigliere per considerare il suo diritto di accesso come necessariamente privo di vincoli.

Secondo il Consiglio di stato, il segreto non fonda la legittimità dell’istanza; al contrario, il dovere di segretezza si impone solo a condizione che l’accesso sia legittimamente esercitato: «in termini generali il segreto è un obbligo che si riferisce all’uso di dati e informazioni legittimamente acquisiti, mentre nel presente giudizio si controverte proprio sulla legittimità di tale acquisizione. Nel caso specifico l’obbligo del consigliere comunale di attenersi al segreto comporta che i dati e le informazioni acquisite siano utilizzati esclusivamente per l’esercizio del suo mandato e a vietare per contro qualsiasi uso privato. Lo stesso obbligo non tutela invece la riservatezza delle persone, la quale verrebbe comunque lesa se l’accesso venisse consentito».

Maggiori informazioni

di Manuela Sodini ( Sole 24)

Il Garante privacy si è espresso su un’istanza di accesso civico generalizzato di richiesta di documentazione edilizia limitandolo esclusivamente al permesso di costruire.

Nello specifico, si è rivolto al Garante il Responsabile della prevenzione della corruzione e della trasparenza di un Comune per richiedere il parere previsto dall’articolo 5, comma 7, del decreto 33/2013, nell’ambito di una richiesta di riesame presentata dal soggetto controinteressato su un provvedimento di accoglimento parziale di un’istanza di accesso generalizzato. La richiesta di accesso aveva a oggetto tutta la documentazione inerente a una pratica edilizia riferita a un’azienda agricola (ditta individuale).

L’amministrazione, che ha individuato come soggetto controinteressato il rappresentante dell’azienda agricola, ha accordato un accesso civico parziale agli atti e documenti relativi a pratiche edilizie e urbanistiche limitando l’accesso alla documentazione non contenente dati sensibili e omettendo i dati personali contenuti, il soggetto controinteressato ha quindi presentato una richiesta di riesame al Responsabile della trasparenza insistendo sui propri motivi di opposizione e, quindi, sulla lesione degli interessi privati di cui all’articolo 5-bis, comma 2, del decreto 33/2013.

Maggiori informazioni

E’ operativo il nuovo servizio del Garante (https://servizi.gpdp.it/databreach/s/) per supportare i titolari del trattamento negli adempimenti previsti in caso di Data Breach (violazioni dei dati personali).

Gli utenti potranno accedere al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di Notifica di una violazione dei dati personali all’autorità di controllo e di Comunicazione di una violazione dei dati personali all’interessato.

Informazioni e approfondimenti in tema di data breach sono disponibili anche alla pagina https://www.gpdp.it/regolamentoue/databreach.

Il Garante della Privacy con il Parere del 15 ottobre pubblicato in questi giorni si è espresso sull’accesso civico riferito agli «Ordini di servizio» e al «Registro delle variazioni» di questi ordini per quel che riguarda il personale della Polizia Locale.

A rivolgersi al Garante è stato il Responsabile prevenzione corruzione e trasparenza (Rpct) di un Comune in quanto destinatario di una richiesta di riesame da parte di un cittadino su un provvedimento di accoglimento parziale alla sua istanza di accesso civico.

Nella richiesta di parere al Garante, il Responsabile prevenzione corruzione e trasparenza ha precisato che i documenti oggetto di accesso indicati come ordini di servizio contengono l’elenco delle attività che ogni incaricato è chiamato a svolgere nel giorno indicato, mentre per disposizioni di servizio si intendono quelle formali di carattere generale astratto indirizzate indistintamente a tutto il personale interessato. Solo per queste ultime è stato accordato l’accesso. richiesta precisa poi che le assegnazioni delle attività d’ufficio avvengono tramite di ordini di servizio di tipo preventivo che riportano il turno di servizio previsto, le attività da svolgere nel giorno seguente ed eventuali assenze; a questi seguono ordini di servizio a consuntivo che riportano invece le prestazioni effettive.

Il sistema informatico che gestisce questi dati non permette un’estrapolazione che garantisca l’anonimizzazione, né tantomeno l’oscuramento impedisce di risalire al singolo dipendente cui si riferisce l’ordine di servizio.

Maggiori informazioni