GESTIONE DEI RISCHI E MISURE DI CONTRASTO

I dati sono sempre più sotto attacco cibernetico

Il titolo stesso dell’articolo Nel primo semestre del 2022 più cyber attacchi di tutti quelli registrati nell’intero anno 2021 ci dice quanto siano incrementati gli attacchi alla sicurezza delle informazioni (ci si riferisce all’Italia). E molti di questi sono andati a buon fine, cioè sono stati veri e propri incidenti, diversi dei quali con violazione dei dati personali.

La carenza di consapevolezza sui danni che può provocare un’inefficace gestione della cybersecurity rappresenta una vulnerabilità, come pure i numerosi i servizi digitali individuali a disposizione dei cittadini.

Le maggiori ripercussioni si sono comunque avute, nell’ordine, come cyber crimini, attacchi a infrastrutture critiche a causa del conflitto russo-ucraino, violazione di dati. Il settore maggiormente colpito è stato quello del “finance”, quindi il settore software/hardware, in particolare società ICT, di servizi digitali, attraverso il furto delle credenziali.

Uno studio evidenzia che le violazioni della sicurezza hanno impatti che vanno oltre il danno economico e le conseguenze sono di lunga durata. Purtroppo i progetti relativi alla sicurezza delle infrastrutture spesso passano in secondo piano o falliscono, a causa del costo e della complessità.

La crescita in Italia delle imprese anti-hacker indica una maggior sensibilità delle imprese al problema.

Ai comuni cittadini sono date le seguenti raccomandazioni [ma sono utili anche al personale delle aziende; ndr]:

  • aggiornare periodicamente le applicazioni sullo smartphone e i sistemi operativi,
  • non installare sui propri dispositivi applicazioni o software di cui non si può verificare la legittimità,
  • prestare attenzione quando si decide di condividere i propri dispositivi con soggetti terzi,
  • non lasciare il portatile sbloccato in luoghi comuni assicurandosi che il computer sia protetto da una password, meglio ancora se complessa,
  • evitare di connettersi a una rete wi-fi pubblica, o almeno affidarsi solo ad app con un appropriato livello di cifratura oppure navigare su siti il cui url incomincia sempre con https://, abbreviazione per “secure http”,
  • effettuare un backup dei propri dati è sempre fondamentale,
  • per proteggere smartphone e device è consigliabile impostare un codice di sblocco di almeno 10 cifre.

Rischia grosso lo studio professionale a cui vengono sottratti i dati dei contribuenti

L’articolo Rischia grosso lo studio professionale a cui vengono sottratti i dati dei contribuenti avverte che un data breach può far scaturire anche richieste di risarcimento da parte degli interessati, oltre che provvedimenti e sanzioni da parte del Garante della privacy. L’incombenza dell’indennizzo, quindi, incombe in pratica solo su chi detiene i dati nei propri computer e server, cioè imprese, pubbliche amministrazioni e professionisti attaccati dai cybercriminali, giacché questi ultimi ben difficilmente saranno individuati.

In capo ai danneggiati è l’esibire la prova del danno subito, mentre godono di una serie di diritti che possono facilitare anche la produzione di tale prova. Per la trasparenza, il danneggiato ha diritto di sapere come si è verificata la violazione dei dati, ciò che gli fornisce informazioni utilizzabili in ambito probatorio. Ha diritto di iniziare una causa per il risarcimento dei danni, provando il fatto e l’ammontare del danno, senza necessità di provare la colpa del titolare del trattamento. Può avvantaggiarsi delle azioni promosse dalle categorie rappresentano, anche in assenza di un mandato conferito.

Per evitare il risarcimento, invece, il titolare dovrebbe dimostrare che l’evento dannoso non gli è in alcun modo imputabile; ma è meno difficile tentare una conciliazione cercando di minimizzare l’importo del risarcimento.

L’occorrenza di una data breach può avere impatti rilevanti: l’impresa che lo subisce perde reputazione commerciale, clienti e fatturato; la stessa impresa deve immediatamente autodenunciarsi alle autorità e deve diffondere la notizia a tutti gli interessati; il Garante della privacy apre le proprie indagini che, in applicazione del GDPR, sfoceranno, molto probabilmente, in una sanzione amministrativa pecuniaria.

Le imprese devono affrontare il rischio informatico-digitale, ma con gli apparecchi informatici e le reti digitali è impossibile essere completamente in regola ed in totale sicurezza e, d’altra parte, non si può fare a meno di usare apparecchi e reti non del tutto sicuri.

In caso di attacco informatico ai dati personali, c’è l’obbligo di comunicazione quando il danno è elevato e spesso può sorgere il dubbio circa l’entità del danno. Il Garante ha già emesso pronunciamenti per tale obbligo in casi in cui non vi era certezza dell’esfiltrazione dei dati [copia, trasferimento o recupero non autorizzato di dati da un dispositivo o una rete; ndr], pertanto la comunicazione va fatta in ogni situazione dubbia. E la mancata comunicazione espone ad una sanzione sino a 10 milioni di Euro.

Altri dettagli (specie in relazione alla ripartizione del risarcimento tra titolare, altri titolari e responsabile del trattamento) sono dati nell’Art. 82 del GDPR.

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

E’ lecito controllare se si copia durante un esame online?

L’articolo Privacy & Scuola: dalle richieste di accesso al proctoring, le indicazioni del Garante offre l’occasione per indicare cos’è il proctoring: uno strumento, basato su intelligenza artificiale, che consente di controllare il dispositivo dello studente ad esami o interrogazioni e di acquisire dati per decretare se l’esaminato sta copiando oppure no.

Ma vi sono problemi di privacy, infatti il Garante ha vietato ad un ateneo ogni ulteriore operazione di trattamento, con riguardo ai dati biometrici degli studenti e ai dati sulla cui base veniva effettuata la profilazione degli interessati mediante il sistema di proctoring e ha vietato il trasferimento dei dati personali degli interessati negli Stati Uniti d’America [quest’ultimo divieto è in relazione alle piattaforme cloud utilizzate, con data center negli USA, che come noto non sono ritenuti adeguati al GDPR; ndr]

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Contrasto alla corruzione e privacy

L’articolo Il contrasto alla corruzione non giustifica la divulgazione di dati sensibili in rete riferisce che la Corte di giustizia dell’Unione europea ha sentenziato che, nella pubblicazione in rete della dichiarazione di interessi privati, che devono presentare i direttori degli enti che percepiscono fondi pubblici, non devono comparire “dati e nominativi, relativi al coniuge, convivente o partner nonché ai parenti o conoscenti del dichiarante”.

Il modello di cui al D.Lgs 231/2011 dovrebbe essere integrato dal GDPR.

L’articolo Integrazione tra la normativa sulla protezione dei dati ed il Dlgs 231/2001 esordisce con il fatto cheIl GDPR non rientra nell’ambito del Dlgs 231/2001 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell´articolo 11 della legge 29 settembre 2000, n. 300”; tuttavia i due modelli hanno punti in comune, a livello documentale ed applicativo.

Il Codice Etico cui fa riferimento il Dlgs 231/2001 potrebbe quindi considerare anche l’aspetto della protezione dei dati personali, fornire istruzioni agli autorizzati al trattamento dei dati e prevedere anche delle  sanzioni in caso di mancato rispetto delle misure per la protezione dei dati personali.

I punti procedurali di possibile integrazione sono molti:

  • i rapporti con la Pubblica Amministrazione, del Dlgs 231/2001, dovrebbe contemplare anche quelli con l’Autorità Garante; anche dal punto di vista delle verifiche;
  • il Whistleblowing dovrebbe prevedere la protezione dei dati dei soggetti sia segnalanti che segnalati;
  • nell’acquisto e dismissione degli hardware si dovrebbe prevedere anche la gestione delle licenze software (per il copyright) e lo smaltimento dei rifiuti hw dovrebbe considerare anche gli aspetti ambientali;
  • si dovrebbero prevedere misure contro i delitti informatici e il trattamento illecito di dati;
  • in caso di data breach si dovrebbe segnalare l’evento all’Organismo Di Vigilanza e si dovrebbero prevedere le possibili implicazioni per il DPO;
  • ci dovrebbe essere una qualificazione soggettiva dell’Organismo di Vigilanza ai fini privacy e le informative privacy dovrebbero indicare anche questo tra gli enti di controllo, con tanto di tempi e luoghi di conservazione dei dati e con aggiornamento dei registri del trattamento e delle analisi dei rischi;

Il comportamento dell’ODV in relazione alla privacy dovrebbe essere procedurato nel Modello Organizzativo Privacy, come più dettagliatamente illustra l’articolo originale, cui si rimanda.

[Si ricorda che il modello derivante dal D.Lgs. 231, detto anche MOG 231 – Modello di Organizzazione, Gestione e Controllo – permette alle aziende, di qualsiasi dimensio, di tutelarsi dagli illeciti commessi dai propri dipendenti; tuttavia non è obbligatorio, se non in relazione a regolamenti regionali che ne impongono l’adozione per poter ottenere o mantenere l’accreditamento in alcuni settori specifici. Ndr]

eCommerce: senza consenso, niente marketing

Il titolo dell’articolo in oggetto (La base giuridica per l’utilizzo e la memorizzazione dei dati personali archiviati nei dispositivi degli utenti per finalità di marketing può essere solo il consenso) è già sufficientemente esplicativo. L’affermazione è supportata da un recente provvedimento del Garante, con il quale ha avvertito il noto social network Tik Tok che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso e non è affatto sufficiente l’interesse legittimo del titolare o dei terzi cui i dati vengono comunicati.

La Direttiva Europea 2002/58, (c.d. direttiva “ePrivacy”, attuata dall’art. 122 del Codice in materia di protezione dei dati personali [D.lgs 196/2003 aggiornato al D.lgs 101/2018]), prevede espressamente come base giuridica “per l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente” esclusivamente il consenso degli interessati.

Se abbiamo un’auto recente ed abbiamo attivato la connessione Internet, è possibile che abbiamo rinunciato alla nostra privacy

L’articolo Auto connesse: molte comodità in cambio della rinuncia alla vostra privacy illustra numerosi aspetti della nostra privacy che vengono acquisiti dai moderni autoveicoli connessi ad Internet, da quelli relativi allo specifico utilizzo del veicolo (tragitti e soste compresi) a quelli recepiti dal collegamento USB o Bluetooth con lo smartphone.

Tali dati possono essere utilizzati non sono per fornire all’utente le informazioni sullo stato e l’utilizzo dell’auto, ma anche per fare profilazione ai fini di marketing; inoltre non si sa in quali altre mani possano finire.

Non si riesce neppure a capire come revocare i consensi dati precedentemente o come e se sia possibile disconnettere l’auto da internet temporaneamente.

Nel marzo 2021 l’European Data Protection Board ha emanato le “Linee guida 01/2020 sul trattamento dei dati personali nel contesto dei veicoli connessi e delle applicazioni legate alla mobilità”, che perlomeno richiamano al rispetto delle regole dettate dal GDPR e forniscono molte modalità applicative delle norme.

[Saranno effettivamente rispettate? Sembra strano che le Autorità garanti non abbiano ancora effettuato delle verifiche in merito presso le varie case automobilistiche, o perlomeno sinora non ce ne è stato sentore. Ndr]

Se l’azienda attiva un processo disciplinare deve tenere in considerazione anche gli aspetti privacy

L’argomento in titolo è trattato dall’articolo Processo disciplinare e protezione dei dati personali. Un lavoratore può essere sanzionato da pubblici ufficiali (ad es. dall’INAIL per mancato utilizzo dei DPI previsti) e dall’azienda di cui è dipendente. In quest’ultimo caso, l’azienda deve tener presenta anche gli aspetti privacy relativi alla documentazione prodotta in merito.

Le sanzioni possono riguardare ciò che comporta

– danni per l’organizzazione, ad es. furto di beni aziendali, comunicazioni di dati aziendali o personali a terzi non autorizzati;

– compromissione dei sistemi aziendali, ad es. scaricando software illegale o comunque aggirando i controlli previsti;

– compromissione del clima aziendale, ad es. aggredendo un collega, riportando notizie non veritiere o assumendo un comportamento negligente.

I documenti prodotti sono relativi al verbale di contestazione, alle giustificazioni addotte dal dipendente, alle conseguenti decisioni dell’azienda circa l’archiviazione del procedimento o l’esecuzione del provvedimento sanzionatorio. Potrebbero contenere anche i riferimenti ad una eventuale segnalazione di whistleblowing.

Le basi per la liceità del trattamento sono da individuare tra

– il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte (nella maggior parte dei casi);

– il trattamento è necessario per adempiere ad un obbligo legale, al quale il titolare del trattamento è soggetto;

– il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (ad es. se è stato calunniato un collega).

Il trattamento di questi dati necessita di informativa privacy, analisi dei rischi e registro del trattamento. Dovranno essere determinati la conservazione dei dati (10 anni dall’interruzione del rapporto di lavoro, salvo periodi più lunghi nel caso di pertinenza con malattie professionali), il responsabile esterno del trattamento (es. lo studio legale), i titolari autonomi del trattamento (es. le associazioni sindacali).

L’articolo accenna anche all’eventualità di sanzioni dell’azienda in capo a fornitori o a membri del CDA, sulla base del codice etico.

[E se informativa, analisi dei rischi e registro del trattamento non sono state predisposti? Converrà forse provvedere, anche sulla base dei dati specifici, preliminarmente alla consegna del verbale qualora intercorra un evento passibile di provvedimento disciplinare, con un’integrazione all’informativa all’interessato, piuttosto che aggiornare a priori le informative già consegnate a tutti i dipendenti. Ndr]

Sta nascendo una autoregolamentazione relativa all pubblicità ed alle vendite telefoniche

L’articolo Codice di condotta per il telemarketing e il teleselling: in consultazione pubblica fino al 9 settembre lo schema di autoregolamentazione informa che è in elaborazione uno schema di codice per il telemarketing e il teleselling, a cura di associazioni rappresentative di promotori mediante telemarketing, call center, teleseller, list provider e associazioni di consumatori. Tale schema è proposto in consultazione pubblica fino al prossimo 9 settembre. Omettendo i dettagli di cui all’articolo originale, vi sono elementi a favore dell’utente (ad es. il divieto di promozioni telefoniche al di fuori di determinate fasce orari) ed altri meno (es. modalità molto semplificate di accettazione delle promozioni).

La possibilità di emissione, da parte delle associazioni di categoria, di codici di condotta, finalizzati alla corretta applicazione della normativa sulla privacy disposizioni di dettaglio in specifici settori, è prevista dall’Art. 40 del GDPR. La loro applicazione resterà tuttavia volontaria [quindi non si potrà far affidamento sulla loro applicazione generalizzata; ndr].

Vi sono precise informazioni da fornire al personale assunto, a corredo del contratto di lavoro

In base all’articolo Dal 13 agosto nuovi obblighi di informativa e trasparenza per i lavoratori. La circolare dell’INL, sono in vigore gli obblighi informativi ai lavoratori introdotti dal decreto legislativo 104/2022 [in applicazione, tra l’altro della la direttiva (UE) 2019/1152 del Parlamento europeo, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea; ndr]. Chiarimenti sono forniti dalla circolare 4/2022 pubblicata dall’Ispettorato nazionale del lavoro. Per i lavoratori già in forza al 1° agosto, le informazioni devono essere fornite entro i 60 giorni successivi l’eventuale richiesta scritta dei lavoratori.

Pur rimandando all’articolo, nonché direttamente al decreto e alla circolare suddetti, seguono (sebbene non in modo esaustivo) alcuni punti trattati.

Il decreto disciplina il diritto all’informazione sugli elementi essenziali del rapporto di lavoro e sulle condizioni di lavoro e la  relativa  tutela. Si applica ai contratti di lavoro subordinato, a tempo indeterminato e determinato, anche a tempo parziale ed anche in somministrazione. Ci sono altre forme contrattuali applicabili ed alcune eccezioni.

Il datore di lavoro comunica a ciascun lavoratore in modo chiaro e trasparente le informazioni previste dal presente decreto in formato cartaceo oppure elettronico (anche a mezzo bacheca elettronica). Le informazioni sono conservate e rese accessibili al lavoratore ed il datore di lavoro ne conserva la prova della trasmissione o della ricezione per la  durata di cinque anni dalla conclusione del rapporto di lavoro.

Tra le informazioni da fornire, vi sono le seguenti indicazioni:

–  l’identità delle parti, ivi compresa quella di eventuali co-datori di lavoro,

– il diritto a ricevere la formazione erogata dal datore di lavoro, se prevista,

– il contratto collettivo, anche aziendale, applicato al rapporto di lavoro, con l’indicazione delle parti che lo hanno sottoscritto,

– gli enti e gli istituti che ricevono i contributi previdenziali e assicurativi dovuti dal datore di lavoro e qualunque forma di protezione in materia di sicurezza sociale fornita dal datore di lavoro stesso,

– gli ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati (ad es. ai fini dell’assunzione, dell’assegnazione di mansioni, della sorveglianza e valutazione delle prestazioni), incluse finalità e logica decisionale. In questa eventualità sono previste anche la valutazione di impatto e la consultazione preventiva del Garante per la protezione dei dati personali.

– la programmazione dell’orario normale di lavoro e le eventuali condizioni relative al lavoro straordinario e alla sua retribuzione, nonché le eventuali condizioni per i cambiamenti di turno (salvo modalità organizzative non prevedibili a priori).

L’Art. 4 del D,Lgs in oggetto riporta l’elenco esatto e dettagliato delle informazioni dovute.

Tutti questi dati possono essere resi noti in riferimento al contratto collettivo o al contratto aziendale, se ivi previsti e previa consegna degli stessi.

L’obbligo dell’informazione è assolto mediante la consegna del contratto individuale di lavoro, scritto, oppure, ove prevista, della copia della comunicazione di instaurazione del rapporto di lavoro. Se le informazioni non sono incluse nel contratto o nella comunicazione, vanno fornite entro 7 giorni dall’inizio della prestazione lavorativa (entro un mese, per alcune informazioni).

Naturalmente ogni mancata, ritardata, incompleta o inesatta informazione è sanzionata e gli importi possono arrivare a 1500 Euro per ogni dipendente interessato. Il lavoratore ha facoltà di denunciare le inadempienze all’Ispettorato Nazionale del Lavoro.

L’autore dell’articolo evidenzia che distinguendo tra contratto individuale di assunzione e informativa, quest’ultima è un atto unilaterale dell’impresa sulla base delle previsioni di legge e quindi molto più flessibile nelle modifiche, mentre il contratto comporta vincoli per entrambe le parti essendo una “fonte pattizia”.

Suggerimenti in merito all’applicazione del “Decreto Trasparenza”

Con l’articolo ‘Decreto Trasparenza’: impatti sulla privacy dei lavoratori e ricadute operative per imprese e DPO viene ripreso, dall’ing. Monica Perego, l’argomento di cui al precedente articolo Dal 13 agosto nuovi obblighi di informativa e trasparenza per i lavoratori. La circolare dell’INL, con l’intento di fornire esempi e istruzioni operative relativi al D.Lgs. 104 del 27-06-2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea”.

Ci si concentra in particolare sul comma 4 del paragrafo b) (Articolo 1-bis)  dell’Art. 4 “Modifiche al decreto legislativo 26 maggio 1997, n. 152”, che recita testualmente:

<< Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo. >>

Le attività di cui al citato comma 1 riguardano << l’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini dell’assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro,  dell’assegnazione di  compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. >>

Quanto sopra significa che, in caso di presenza di sistemi di sorveglianza o monitoraggio automatizzati, specie se con il ricorso a sistemi decisionali automatici, deve essere aggiornata l’informativa privacy e parallelamente deve essere aggiornato il registro dei trattamenti, vanno effettuate la valutazione dei rischi e la valutazione d’impatto e, se necessario, una consultazione preventiva del Garante. [Quest’ultima è dovuta se il trattamento presenta un rischio (residuo) elevato rispetto alle misure adottate dal titolare del trattamento per attenuare il rischio stesso. Ndr].

Il D.Lgs 104 definisce i limiti di tempo per la consegna dell’informativa aggiornata nei vari casi. Ciò che vale sempre è la necessità di documentarla, pena sanzioni amministrative.

La Circolare n 4/2022 del 10.08.2022 dell’INL pone l’accento anche sulla necessità, sempre in merito ai sistemi decisionali o di monitoraggio automatizzati, di effettuare la stessa comunicazione alle rappresentanze sindacali, pur senza che l’informativa sia soggetta alla loro approvazione. Le rappresentanze sindacali sono quelle aziendali, ovvero la rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, le sedi territoriali delle  associazioni sindacali comparativamente più rappresentative sul piano nazionale. [E’ bene ricordare che i monitoraggi, quali la videosorveglianza, sono soggetti anche ad altri regolamenti e leggi di cui tener conto. Ndr]

L’autrice dell’articolo propone una lista, pur non esaustiva, dei trattamenti che in qualche modo possono essere soggetti a sistemi automatici. Questi trattamenti sono relativi a:

  • accesso fisico alle aree aziendali, mediante dispositivi come le chiavi elettroniche;
  • rilevamento presenze in azienda che rendono obsoleta la timbratura;
  • avvio di attività lavorative da remoto o presso una sede diversa da quella aziendale (es. cantiere);
  • utilizzo del il GPS (es. in dotazione ad un vigilante per verificare che lo stesso non sia stato aggredito da un malintenzionato);
  • videosorveglianza dei luoghi in cui opera il lavoratore (es. in una centrale di conta denaro);
  • premi basati su algoritmi o “anche” su algoritmi;
  • utilizzo di dispositivi indossabili – applicazioni di tecnologia wearable – (es. bracciale elettronico, palmare, occhiali dotati di registrazione video) che prevedono la comunicazione da/verso altri sistemi anche attraverso triangolazioni di dati;
  • utilizzo di dispositivi uomo presente/uomo a terra/uomo fermo (che fanno scattare un allarme se lavoratore resta fermo per un tempo superiore a X);
  • determinazione del gradimento dei dipendenti da parte degli utenti di un servizio (es. in un centro commerciale, aeroporto, uffici della P.A.);
  • monitoraggio del traffico sul cellulare aziendale (es. per finalità controllo del traffico telefonico allo scopo di valutare situazioni anomale che possono compromettere i sistemi aziendali 
  • accesso fisico per la rilevazione della presenza di collaboratori in aree precluse o che prevedono un’autorizzazione preventiva non richiesta o non fornita;
  • accesso logico e di rilevazione dei log dei collaboratori per segnalare comportamenti anomali (prima in forma anonima e poi – nei casi più impattanti – con riferimenti specifici personale);
  • software per la tenuta sotto controllo dei sistemi di gestione (compresi quelli di whistleblowing);
  • gestione con controllo della posta elettronica (e-mail);
  • sistemi di videoconferenza;
  • assistenza da remoto e/o gestione dei ticket;
  • specifiche applicazioni software (es. utilizzate nei centri di contatto);
  • MDM – Mobile device management;
  • MES – Monitoring Execution System (prevalenti applicazioni nell’ambito di industria 4.0).

Quantunque alcuni di questi trattamenti possano essere effettuati per la tutela della salute e sicurezza dei lavoratori, o la tutela dei dati sia dei lavoratori che di altri interessati, e non per effettuare il controllo (peraltro vietato) delle attività del lavoratore, l’informativa in merito deve essere comunque fornita.

Può essere opportuno dotarsi di uno scadenziario ai fini dell’aggiornamento periodico degli obblighi di cui sopra, in ragione della possibile introduzione, nel tempo, di nuovi sistemi decisionali o di monitoraggio automatizzati.

Se è previsto il DPO, deve essere consultato dal titolare del trattamento dei dati personali, all’atto della esecuzione della valutazione di impatto.

Va da sé che anche la mancata comunicazione alle rappresentanza sindacali è sanzionabile, così come lo sono informazioni lacunose o errate o formulate con un linguaggio non idoneo ad una corretta e completa comprensione da parte del lavoratore.

Ancora un breve promemoria sul “Decreto Trasparenza”

Anche l’articolo Sistemi automatizzati e privacy, lavoratori più tutelati con il ‘Decreto Trasparenza’ riprende il tema del D.Lgs 104/2022, che recepisce la direttiva UE 2019/1152 in materia di condizioni di lavoro trasparenti e prevedibili nell’Unione Europea, il cui scopo è quello di promuovere un’occupazione più trasparente e prevedibile, pur garantendo allo stesso tempo l’adattabilità del mercato del lavoro. La direttiva presuppone tra l’altro il miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali, pur in attesa che vengano varate norme di tutela specifica per le piattaforme stesse ed in merito all’intelligenza artificiale

Il datore di lavoro deve fornire ai lavoratori le informazioni relative agli aspetti del rapporto di lavoro sui quali incidono sistemi automatizzati, ivi compresi scopi, finalità, la loro logica ed il loro funzionamento. Dovrà informare circa le categorie dì dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni, le misure dì controllo adottate per le decisioni automatizzate e il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

I lavoratori hanno, d’altra parte, il diritto di accedere, direttamente o per il tramite delle rappresentanze sindacali (aziendali o territoriali), ai dati e di richiedere inoltre ulteriori approfondimenti.

Contratti più complessi se riguardano trattamento di dati personali

Secondo l’autore dell’articolo Committenti e imprese: per gli aspetti privacy non vale lo scaricabarile, in caso di inadempienza nei riguardi dei requisiti del GDPR, il fornitore non può difendersi dicendo di essersi limitato a eseguire le istruzioni del committente ed il committente non può difendersi dicendo di essersi affidato a un fornitore esperto.

Infatti, il fornitore [quale responsabile esterno del trattamento dei dati personali; ndr] deve informare immediatamente il committente qualora, a suo parere, un’istruzione di quest’ultimo violi le norme sulla privacy (Art. 28, paragrafo 3, ultimo comma). Ed il committente [quale titolare del trattamento] deve ricorrere unicamente a fornitori che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a rispettare le norme sulla privacy e a garantire i diritti degli interessati [sempre Art. 28, paragrafo 1].

Nei contratti di fornitura di servizi, diventa quindi importante dilungarsi sugli aspetti riguardanti la privacy, spiegando, dettagliatamente e analiticamente, quali sono gli obblighi assunti dal committente e quelli a carico del fornitore: sia riguardo al trattamento delle informazioni, sia riguardo ai requisiti di sicurezza da rispettare. Infatti “ogni possibile inadempimento contrattuale rischia di essere un inadempimento privacy (con l’applicazione di sanzioni amministrative) e, viceversa, ogni inadempimento privacy rischia di diventare un inadempimento contrattuale (con possibilità di risoluzione del contratto e pagamento dei danni)”.

Per approfondimenti, l’autore rimanda all’articolo “Contratti di fornitura di servizi a regola d’arte sugli aspetti riguardanti la privacy per evitare il rischio di sanzioni e contenziosi”, di cui si riporta qua sotto l’estratto.

Contratti di fornitura di servizi a regola d’arte sugli aspetti riguardanti la privacy per evitare il rischio di sanzioni e contenziosi

In riferimento al precedente articolo “Committenti e imprese: per gli aspetti privacy non vale lo scaricabarile” dello stesso autore, nell’articolo Contratti di fornitura di servizi a regola d’arte sugli aspetti riguardanti la privacy per evitare il rischio di sanzioni e contenziosi sono illustrati tre casi (reali) di esempio in cui sono, rispettivamente, penalizzati il titolare, il responsabile esterno del trattamento dei dati personali ed entrambi.

  1. Un comune è stato multato perché ha tenuto sul suo sito internet il curriculum di una persona per troppo tempo. Il Garante, infatti, ha giudicato che spetta al titolare del trattamento impartire al fornitore, incaricato della gestione del sito, adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati trattati per suo conto.
  2. Una piattaforma Internet utilizzata dalla polizia municipale di un comune per la gestione delle contravvenzioni al codice della strada, contenente i dati personali dei destinatari di contravvenzioni, è stata oggetto di un accesso abusivo, da parte di soggetti non autorizzati: alcuni agenti non avrebbero modificato la password di primo accesso ed avrebbero divulgato l’Url di accesso. La sanzione è stata comminata alla società che aveva in gestione la piattaforma, per non avere adottato un obbligo informatico di cambio password al primo accesso, quale requisito minimo di sicurezza, avendo il comune esplicitamente richiesto la messa in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, inclusa una procedura per verificarne regolarmente l’efficacia.
  3. Il Garante della privacy ha multato sia un’azienda ospedaliera sia la società informatica che gestiva il servizio di whistleblowing (per denunciare presunte attività corruttive o altri comportamenti illeciti). L’accesso all’applicazione web avveniva attraverso sistemi non correttamente configurati, che conservano i dati di navigazione consentendo l’identificazione degli utenti, tra cui i potenziali segnalanti. Il Garante ha sostenuto che il titolare del trattamento deve eseguire una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, o si pongono comunque in contrasto con le norme del Gdpr.

I giudizi del Garante possono anche sconcertare. Lo stesso autore dell’articolo afferma che il GDPR è un insieme di regole generali, di principio, che possono condurre a qualsiasi esito. Per questo, a maggior ragione, i contratti di fornitura di servizi devono essere precisi nella descrizione delle prestazioni e clausole, evitando espressioni fumose del tipo “compiere tempestivamente ogni attività necessaria e utile”. Dovrebbero essere specificati i requisiti tecnico-informatici dei dispositivi, degli applicativi e delle reti e stabiliti gli obblighi di aggiornamento di strumenti e apparati. Ed è ragionevole che ciò incida nella determinazione del corrispettivo, assunto che una parte dello stesso debba finanziare la sicurezza informatica.

Nel contratto, la specifica delle prestazioni relative ai possibili flussi di dati dovrebbe comprendere un complesso di istruzioni relative alla privacy. Il contratto potrebbe altresì prevedere le conseguenze (quali risoluzione del contratto o riduzione del corrispettivo)  di eventuali violazioni della privacy che dovessero emergere. Il contratto potrebbe anche prevedere la manleva a rispetto a richieste di danno da parte di privati per violazione della loro privacy. In ogni caso, le prescrizioni contrattuali non vincolano il Garante nell’applicazione di eventuali sanzioni, rispetto alle quali qualsiasi clausola di manleva è nulla. Al più il Garante potrebbe tener in conto le clausole contrattuali, circa l’applicazione delle misure tecniche e organizzative, nella determinazione degli importi delle sanzioni.

Nell’informativa privacy è completo l’elenco degli incaricati al trattamento dei dati personali?

L’articolo Informative privacy e soggetti preposti al controllo/ispezione/verifica/audit: un aspetto spesso trascurato pone l’attenzione sul fatto che le informative privacy rivolte agli interessati ed i registri del trattamento dovrebbero includere nella lista degli incaricati al trattamento anche gli enti deputati alle ispezioni, verifiche ed audit.

Per fare un esempio, la Guardia di Finanza, L’INAIL, altre P.A. e gli auditor di 2a e 3a parte rappresentano enti esterni, mentre le funzioni di audit interno (di 1a parte), la funzione relativa al Sistema di gestione (anche integrato), la funzione preposta alla sicurezza delle informazioni e altre funzioni direttive rappresentano enti interni. L’articolo originale riporta una tabella più esaustiva.

Le basi legali che giustificano l’accesso ai dati personali da parte di questi enti possono essere obblighi di legge, prescrizioni contrattuali, o legittimo interesse, da individuare più esattamente per ogni specifico caso ed ente.

L’articolo rammenta anche il significato di “parte” e di livello, rispettivamente, nel caso degli audit e nel caso dei controlli interni. In breve:

  • Audit di 1a parte: sono richiesti dal titolare del trattamento e svolti da personale interno o esterno all’azienda;
  • audit di 2a parte: sono svolti dai cliente nei confronti dei fornitori, nella fattispecie del responsabile esterno del trattamento;
  • audit di 3a parte: sono svolti da un organismo accreditato e riguardano le certificazioni dell’azienda.
  • Controlli interni di 1o livello: sono svolti, a spot o periodicamente, dai responsabili delle singole unità operative; fanno parte del ciclo PDCA;
  • Controlli interni di 2o livello: sono svolti, da precise competenze aziendali, per verificare la correttezza dei processi con particolare attenzione al processo di gestione dei rischi, il rispetto delle procedure interne, la conformità alle normative;
  • Controlli interni di 3o livello: sono svolti dall’auditor interno dell’azienda, per valutare eventuali violazioni alle procedure interne, l’adeguatezza delle stesse in termini di efficacia, efficienza, completezza ed affidabilità del sistema di gestione, incluso il presidio dei controlli interni.

L’articolo si sofferma infine sul ruolo del Data Protection Officer e dell’Organismo di Vigilanza, in quanto possibili soggetti con accesso a dati personali.

Non serve il consenso al trattamento, se vale il legittimo interesse, ma previa attenta verifica

L’articolo Dal diritto di difesa al no profit: quando per trattare i dati non serve il consenso dell’interessato elenca alcuni casi in cui un’impresa può trattare i dati senza consenso, pur previa redazione di una “Lia” (“legitimate interest assessment”, di cui al prossimo articolo L’azienda che tratta dati personali senza il consenso dell’interessato deve documentare il legittimo interesse):

  • dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;
  • dati relativi allo svolgimento di attività economiche, purché trattati nel rispetto della normativa in materia di segreto aziendale e industriale;
  • svolgimento delle investigazioni difensive o difesa di un diritto in sede giudiziaria, sempre nei limiti di dette finalità e per il solo tempo necessario;
  • trattamento effettuato da associazioni, enti od organismi senza scopo di lucro, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi connessi allo statuto e previa informativa agli interessati;
  • comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate, consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese, per finalità amministrativo contabili e previa informativa indicante tali finalità;

Per l’ultimo punto è interessante rilevare, dall’articolo, che << nelle finalità amministrativo-contabili sono compresi i trattamenti connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro. >>

Redazione del documento del “legitimate interest assessment” per eseguire un trattamento di dati personali senza richiesta di consenso

Secondo l’articolo L’azienda che tratta dati personali senza il consenso dell’interessato deve documentare il legittimo interesse, per poter trattare dati personali senza il consenso degli interessati, a fronte legittimo interesse imprenditoriale (e nella specificità dei casi di cui al precedente articolo Dal diritto di difesa al no profit: quando per trattare i dati non serve il consenso dell’interessato) un’azienda deve redigere un apposito documento, detto “Lia” (“legitimate interest assessment”), relativo al bilanciamento del legittimo interesse.

La “Lia” è necessaria quando è impossibile richiedere o acquisire il consenso (videosorveglianza in luogo pubblico) e quando lo squilibrio dei rapporti imporrebbe agli interessati di darlo per forza (rapporti tra impresa e dipendente).

L’articolo cita il caso della video-sorveglianza [caso in cui, peraltro, sono d’obbligo, tra l’altro, una valutazione di impatto ed il rispetto dei requisiti generali del GDPR e specifici per il trattamento di dati appartenenti a categoria particolare, un preventivo accordo sindacale (in ambito aziendale) oppure un’autorizzazione amministrativa; ndr].

La “Lia” serve a giustificare e documentare il legittimo interesse dell’azienda. I punti da compilare sono i seguenti.

  1. Valutare la base giuridica applicabile, indicando per quale [eventuale] ragione non si può usare il consenso o [/e] la condizione di liceità del trattamento.
  2. Il legittimo interesse deve soddisfare tutte le seguenti condizioni: essere lecito (cioè in conformità con il diritto dell’UE e nazionale), soddisfare bilanciamento tra gli interessi aziendali e i diritti fondamentali dell’interessato, rappresentare un effettivo interesse reale.
  3. Determinare se il trattamento è necessario per raggiungere l’interesse perseguito, considerando se esistono altri mezzi (rispetto al trattamento senza il consenso degli interessati) per raggiungere lo scopo del trattamento.
  4. Stabilire un’ipotesi di bilanciamento (“bilanciamento provvisorio”), valutando se l’interesse del titolare del trattamento prevale sui diritti o sugli interessi fondamentali degli interessati. L’azienda deve: considerare la natura degli interessi del titolare del trattamento (diritto fondamentale, altro tipo di interesse, interesse pubblico); valutare l’eventuale pregiudizio subito dal titolare, da terzi o dalla comunità qualora il trattamento dei dati non abbia luogo; tenere conto della natura dei dati (categori e specificità dei dati); considerare lo status dell’interessato (minore, dipendente, ecc.) e del titolare del trattamento (ad es. se un’organizzazione aziendale si trova in una posizione dominante sul mercato); prendere in considerazione il modo in cui i dati vengono elaborati (su larga scala, data mining [estrapolazione mirata da grandi banche dati; ndr], profilazione); identificare i diritti e/o gli interessi fondamentali dell’interessato; considerare le ragionevoli aspettative degli interessati; valutare gli impatti sull’interessato e confrontarli con il beneficio atteso dal trattamento da parte del titolare del trattamento.
  5. Effettuare il “bilanciamento finale” tenendo conto di adeguate garanzie aggiuntive: minimizzazione dei dati (ad esempio cancellazione immediata dei dati dopo l’uso [in senso generale la minimizzazione dei dati è comunque un requisito del GDPR; ndr]); misure per evitare che i dati siano utilizzati per prendere decisioni o altre azioni nei confronti delle persone (“separazione funzionale”); utilizzo di tecniche di anonimizzazione, aggregazione di dati, tecnologie che migliorano la privacy, privacy by design, valutazioni d’impatto sulla protezione dei dati; maggiore trasparenza, diritto generale e incondizionato di opposizione (opt-out), portabilità dei dati e misure affinché gli interessati possano esercitare i loro diritti.
  6. Dimostrare la conformità e garantire la trasparenza, sia nelle informative agli interessati (sui motivi per cui si ritiene che il bilanciamento penda a favore del titolare del trattamento), che nella documentazione (che deve restare a disposizione delle autorità di protezione dei dati).
  7. Nel caso in cui l’interessato si opponga al trattamento, l’impresa deve garantire un meccanismo adeguato e di facile utilizzo per rivalutare l’equilibrio per quanto riguarda la persona interessata e interrompere il trattamento dei suoi dati se dalla valutazione emerge che prevalgono i suoi interessi. Nel caso in cui l’interessato si opponga al trattamento, tale scelta dovrebbe essere rispettata a mera richiesta, senza la necessità di compiere ulteriori passi o valutazioni.

Dlgs ‘Trasparenza’, termini perentori e quadro sanzionatorio. La circolare della Fondazione Studi Consulenti del Lavoro

L’articolo Dlgs ‘Trasparenza’, termini perentori e quadro sanzionatorio. La circolare della Fondazione Studi Consulenti del Lavoro ha per oggetto il D.Lgs 104/2022 “Decreto Trasparenza” e le indicazioni applicative di cui alla circolare 4/2022 con dell’Ispettorato Nazionale del Lavoro. A ciò si aggiunge il riferimento alla Circolare 11/2022 della Fondazione Studi Consulenti del Lavoro, che riassume i nuovi adempimenti e il quadro sanzionatorio.

L’articolo originale riporta, per sommi capi, alcuni aspetti relativi all’informativa che le organizzazioni devono fornire ai propri dipendenti con o in allegato al contratto di lavoro: scadenze, modalità di comunicazione, diffide e sanzioni.

[Si ritiene peraltro utile il chiarimento dato dalla suddetta circolare 11/2022 in merito ai “sistemi decisionali o di monitoraggio automatizzati”:

1) vi è un richiamo espresso non a tutti i sistemi automatizzati, ma solo a quelli decisionali e di monitoraggio -qua è utilizzata la congiunzione “e”, al posto della congiunzione “o” con valore disgiuntivo del testo del D.Lgs; ciò farebbe considerare ‘decisioni automatizzate conseguenti a sistemi di monitoraggio’, ma la valenza la dà il decreto, non la circolare della fondazione; ndr-.

2) sono testualmente richiamati i sistemi “deputati a fornire indicazioni rilevanti” nelle ipotesi successivamente declinate -non è specificato cosa sia “rilevante”, purtroppo, anche perché dalle inadempienze si hanno sanzioni conseguenti-.

Ad ogni modo, se le indicazioni fornite da detti sistemi non sono pertinenti “ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori” (si cita testualmente il decreto), l’impiego di sistemi di monitoraggio non ricade nelle prescrizioni del decreto stesso. Ndr]

IN BREVE, DALL’ITALIA E DAL MONDO

Un manuale per realizzare il design di siti rivolti alle esigenze dei cittadini

L’articolo Dall’AgID le nuove Linee Guida di design per i siti internet e i servizi web della Pubblica Amministrazione informa che l’Agenzia per l’Italia Digitale ha pubblicato sul proprio portale le nuove Linee guida di design per i siti internet e i servizi web della Pubblica Amministrazione.

Al di là delle osservazioni in merito da parte del Garante, per le quali si rimanda all’articolo in originale, si fornisce qua il link al Manuale operativo di design, guida di lavoro dedicata alla PA e i suoi fornitori, volto a fornire indicazioni operative a supporto della progettazione e della realizzazione dei punti di contatto digitali verso il cittadino.

Maggiori controlli sulle imprese, a fronte di minor burocrazia iniziale

Dall’articolo Imprese sotto i raggi X delle pubbliche amministrazioni la notizia che la legge annuale per il mercato e la concorrenza 2021, approvata definitivamente dal senato il 2 agosto, prevede ispezioni amministrative sulle attività economiche. La P.A. farà sempre meno autorizzazioni all’inizio (per il silenzio-assenso, le comunicazioni di inizio attività, ed i procedimenti lasciati all’iniziativa privata) e sempre più ispezioni a posteriori.

Il Governo dovrà scrivere decreti legislativi relativi ai controlli sulle imprese, nei quali disciplinare il potere di accedere ai dati nel rispetto del regolamento privacy, anche perché questa legge ha l’effetto di collegare in rete, ai fini del controllo sulle imprese, tutte le banche dati pubbliche e fornisce uno strumento di controllo potenzialmente illimitato, soprattutto se usato con algoritmi e sistemi di cosiddetta intelligenza artificiale. Inoltre, le P.A. dovranno valutare le condizioni di sicurezza e arginare il più possibile l’eventualità di accessi indebiti, di sospensioni deleterie della disponibilità dei dati e di esfiltrazioni con o senza ricatto telematici, oltre naturalmente ad adempiere agli obblighi relativi all’informativa privacy, alla valutazione di impatto, alla capacità di soddisfare i diritti degli interessati.

Nelle intenzioni, più controlli, ma con minor impatto sulle imprese (in regola)

L’articolo Dal 27 agosto in vigore la legge annuale per il mercato e la concorrenza: le pubbliche amministrazioni dovranno evitare doppi controlli sulle imprese riprende in considerazione l’argomento di cui al precedente articolo Imprese sotto i raggi X delle pubbliche amministrazioni.

In base all’Art. 27 della legge del 5 agosto 2022, n. 118, Legge annuale per il mercato e la concorrenza 2021, entro due anni i controlli sulle attività economiche da parte delle P.A. dovranno essere svolti raccogliendo tutte le informazioni archiviate nei database degli enti pubblici, che dovranno essere interoperabili in tempo reale.

Il governo dovrà scrivere decreti legislativi circa i controlli sulle imprese, nei quali disciplinare il potere di accedere ai dati e di scambiare le informazioni tra i soggetti che svolgono funzioni di controllo. Dovranno essere eliminati i doppioni nei controlli sulle imprese, dovrà essere impedito che vengano richiesti documenti già in possesso delle P.A., anche sanzionando i funzionari inadempienti, dovranno essere evitate le verifiche a sorpresa introducendo invece la programmazione delle stesse e, ove possibile, dovranno essere sostituite le sanzioni con le diffide, quali deterrenti al mancato rispetto delle regole.

Una fonte particolare di informazioni sarà il cd. “fascicolo di impresa” (previsto dal  Dpr 445/2000), pur soggetto alle precauzioni e cautele imposte dalla normativa sulla protezione dei dati personali.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • In Germania è stata sanzionata una banca che profilava i propri clienti registrandone l’utilizzo della stampante per riprodurre i propri estratti conto. Mancava il consenso degli interessati e l’informativa era data in mezzo a un documento di ben 28 pagine.
  • Il gestore dei rifiuti incaricato da un comune è stato pesantemente sanzionato per aver diffuso, a mezzo di un social network, i immagini che consentivano di identificare indirettamente persone intente ad abbandonare rifiuti. Il problema in merito alla privacy (al di là di altre irregolarità tra cui la mancanza di un atto giuridico) non era tanto quello della videoregistrazione, giustificabile con l’accertamento di illeciti, quanto dalla sua pubblicazione per finalità dissuasive. [Ognuno di noi avrà opinioni diverse, ma se penso ad esempio che è stata protetta la privacy dell’incendiario che ha appiccato il fuoco a ettari di bosco, oscurandone il volto dalle riprese video, mi chiedo quali siano le priorità; ndr]
  • Meta, un ospedale e un’organizzazione non-profit sono state denunciate da alcuni utenti statunitensi per aver raccolto illegalmente dati sanitari, successivamente utilizzati per visualizzare inserzioni personalizzate su Facebook.
  • L’Autorità Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pecuniaria di 100 mila euro a Banca Intesa San Paolo perché un proprio funzionario aveva consultato tramite i terminali della banca i dati del conto corrente dell’ex compagna, correntista dell’istituto di credito. [Ovviamente, niente da eccepire circa la contestazione del data breach. Sarebbe stato interessante però sapere se la banca avesse in precedenza predisposto un MOSP (Modello Organizzativo per la Sicurezza e Privacy dei dati personali) o, più in generale un MOG 231 (Modello di Organizzazione, Gestione e controllo secondo il D.Lgs 231/2001), che consente alle aziende di tutelarsi dagli illeciti commessi dai propri dipendenti. Ndr]
  • 42,7 milioni di dollari australiani di multa a Google perché, nonostante circa 1,3 milioni di utenti, in Australia, avessero disattivato la cronologia delle posizioni sui loro smartphone ed altri dispositivi elettronici, Google li aveva ugualmente tracciati raccogliendo i dati di geolocalizzazione e inviando loro annunci pubblicitari mirati in base alla loro posizione e alle loro preferenze.
  • Oracle, multinazionale del settore informatico, è chiamata a difendersi nei tribunali statunitensi dalla pesante accusa di aver messo in piedi una vera e propria “macchina di sorveglianza mondiale” violando la privacy e memorizzando i dati personali di 5 miliardi di persone.
  • Mosca ha inflitto una sanzione di 358 milioni di dollari a Google LLC (la sussidiaria russa di Google) per non aver limitato l’accesso e aver quindi contribuito alla diffusione di informazioni online che in Russia sono vietate e considerate “fake news”. Gli utenti russi che effettueranno ricerche online su Google e YouTube vedranno un avviso sulla violazione della legge da parte dell’azienda e non potranno inserire annunci pubblicitari o utilizzarli come fonti di informazioni. A fronte di tutto ciò, Google LLC ha dichiarato l’incapacità di proseguire le attività. [Stavolta, a difesa puramente ideale di Google, si potrebbe considerare da quale parte provengano le fake news; ogni riferimento all’invasione dell’Ucraina è puramente intenzionale. Ndr]
  • Deutsche Bank S.p.A. ha ricevuto un’ingiunzione dovuta alla mancata risposta alle richieste di esercizio dei propri diritti, in base al GDPR ed in merito ai propri dati personali. L’Art. 12 par. 3) del GDPR prevede un massimo di un mese per rispondere, eventualmente dichiarando una proroga fino ad ulteriori due mesi, purché a fronte di giustificati motivi. [Sempre in base all’Art. 13, la risposta può anche prevedere, in determinati casi, il rifiuto di soddisfare le richieste, oppure l’addebito di un contributo spese ragionevole, dando l’avvertenza che l’interessato ha facoltà di rivolgersi al Garante. Ndr]
  • Un’azienda farmaceutica dell’isola di Man è stata sanzionata per oltre 200 mila Euro per aver inoltrato una email con informazioni sanitarie personali, destinata ad un unico paziente, ad altri 1870 indirizzi; inoltre non vi era alcuna password o altra protezione a garantire l’accesso al solo destinatario effettivo. [Il rispetto della privacy non ammette errori. Ndr]

ing. Michele Lopardo

Responsabile Qualità @ Wondersys