LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Attenzione ai dati di apprendimento dell’IA quando si tratta di dati personali

Prescindendo dal riportare i vari aspetti, pur citati nell’articolo Intelligenza Artificiale: quando si trattano dati personali il pregiudizio può rappresentare un rischio elevato, insiti nell’Intelligenza Artificiale e nei sui processi di sviluppo, nonché dal riferire circa l’indubbia sua utilità in molteplici campi, si cita qua il rischio nei processi decisionali derivanti da algoritmi di deep learning, che consentono di elaborare e analizzare grandi quantità di dati, identificare modelli e fare previsioni.

Quando sono implicati dati personali, tali processi sono un rischio, mancando all’IA le capacità emotive e sociali dell’intelligenza umana. Se i dati di addestramento contengono dati con “pregiudizi” intrinseci dovuti a fattori storici o sociali, si perviene a risultati ingiusti e discriminatori; per cui è necessario porre particolare attenzione ai dati raccolti e selezionati per le basi di dati.

In determinati casi i monitoraggi dei dipendenti possono essere leciti

La tutela alla riservatezza e la dignità dei dipendenti può essere controbilanciata dalla protezione del patrimonio e dell’immagine aziendale. La materia è delicata e l’articolo Videocamere, email, e investigazioni: la privacy del lavoratore non è un diritto assoluto cerca di definire i limiti di liceità dei controlli.

I “controlli difensivi”, definiti dall’Art. 4 dello Statuto dei Lavoratori, diretti ad accertare specifiche condotte illecite ascrivibili -in base a concreti indizi- a singoli dipendenti possono essere messi in atto, anche se effettuati con strumenti tecnologici ed anche senza le garanzie previste dall’articolo 4 dello Statuto dei lavoratori, cioè senza l’autorizzazione dell’ispettorato nazionale del lavoro o dei sindacati e senza informare preventivamente il lavoratore, purché non abbiano ad oggetto la normale attività del lavoratore. Possono essere utilizzate telecamere nascoste nel caso di ripetuti ammanchi di cassa o furti e ragionevoli sospetti in capo a determinati lavoratori, ma il controllo dovrà essere mirato e giustificato, non potendo in ogni caso essere costante e preventivo rispetto al fatto illecito, né rivolto a tutti o gruppi di dipendenti.

E’ lecito il controllo delle email aziendali, a condizione che il lavoratore sia stato adeguatamente informato (per scritto, per averne prova), che il controllo sia proporzionato alle finalità e non sia un controllo massivo. Il trafugamento di informazioni confidenziali è senz’altro una ragione che rende lecita l’indagine.

Sono lecite le riprese, con intento probatorio, dei dipendenti che svolgono normali attività in ambienti esterni durante l’assenza per malattia, a condizione che i dati siano trattati esclusivamente per tale finalità e per il periodo strettamente necessario.

La possibilità del datore di lavoro di chiedere i carichi pendenti e il casellario giudiziale in fase di selezione è invece una questione controversa. La Corte di cassazione ha recentemente ammesso tali richieste, anche quando non previsto dal contratto collettivo nazionale del lavoro. Anche in fase precontrattuale il datore di lavoro sarebbe libero di determinare criteri rigidi che prevedano la verifica dell’assenza di processi penali in corso.

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Il diritto di accesso ai dati delle pubbliche amministrazioni ha pur sempre delle limitazioni

Il FOIA (Freedom Of Information Act) è un istituto, presente anche in Italia, utilizzabile per ottenere informazioni dalle pubbliche amministrazioni. Tuttavia, come precisa l’articolo Scuole, la privacy di personale e studenti sbarra la strada al Foia che prende in considerazione casi specifici del mondo della scuola, non può essere utilizzato indiscriminatamente senza tener conto di un bilanciamento rispetto alla tutela della riservatezza. Quindi non è affatto detto che alle richieste del FOIA debba e possa essere sempre fornita una risposta.

Analogamente si evince da un altro articolo (Atti della PA più privati che pubblici: scudo privacy sui dati relativi ai richiedenti bonus edilizi) che gli uffici tecnici comunali non devono esaudire richieste di accesso generalizzato alle pratiche, quando oltre ai dati anagrafici sono implicati anche dati personali di carattere privato. Divieti di accesso ai dati riguardano inoltre sanità, Inps, sinistri, email, curriculum, dipendenti e tasse.

L’acquisizione di dati da Internet per il Machine Learning deve rispettare il GDPR

L’Intelligenza Artificiale utilizza il Machine Learning, cioè un costante e massivo addestramento reso possibile da enormi database che contengono testi, video, fotografie, suoni, ecc.. In molti casi, questi dati sono raccolti dal web attraverso tecniche di web scraping realizzate tramite software denominati crawler.

Si tratta tuttavia di un’operazione sanzionabile ai fini del GDPR (come da un provvedimento del Garante, del 2022). Infatti, il fatto che i dati siano pubblicamente disponibili su Internet (per es. perché presenti nei social media) non significa affatto che sussistano le basi legali per un trattamento che non ha niente a che fare con quello per il quale sono stati pubblicati.

Analogamente un provvedimento del Garante del 2023 ha vietato la pubblicazione di elenchi telefonici creati raccogliendo indiscriminatamente i numeri da Internet.

Whistleblowing: un cenno all’informativa privacy

L’articolo L’informativa privacy: specificità per il whistleblowing tratta dell’informativa privacy in relazione a whistleblowing di cui al d.lgs. 24/2023 (DLWB), che è già esecutivo dal 15 luglio scorso per la P.A. e per le imprese più grandi e lo sarà il prossimo 17 dicembre anche per quelle minori.

Dopo aver esaminato alcune ipotesi, la soluzione prospettata è quelle di un’informativa preventiva rivolta a tutto il personale e rivolta specificatamente senz’altro ai segnalanti, ma eventualmente anche ai segnalati nonché a terzi coinvolti, per non dover procedere solo al momento in cui sono chiamati in causa.

Tra le informazioni da fornire: titolare (o contitolari) e responsabile del trattamento ed altri incaricati, il canale interno ed esterno e le modalità di segnalazione, il periodo di conservazione dei dati (max 5 anni) e le altre informazioni proprie del GDPR.

Al segnalante si dovrebbe, a posteriori, chiedere inoltre il consenso alla comunicazione della propria identità, se ciò fosse necessario quale testimonianza per perseguire il segnalato e conseguentemente per garantire a questo il diritto alla difesa. In assenza di tale specifico consenso, la gestione della segnalazione non potrebbe avere luogo.

Via libera alle segnalazioni (whistleblowing) esterne

L’articolo Whistleblowing: fissate le garanzie per il dipendente che si rivolge all’Anac informa che l’Autorità Nazionale Anticorruzione, prevede nella propria guida la possibilità di ricevere direttamente dai segnalanti comunicazioni relative a illeciti commessi presso la propria amministrazione o la propria azienda, nei casi di assenza o inefficacia dei canali di segnalazione interna nella società di cui il whistleblower è dipendente.

Le violazioni possono essere segnalate all’Anac, che ne garantisce la riservatezza, tramite la piattaforma online, il telefono o in presenza.

Elementi specifici attualmente nel mirino del Garante

Secondo l’articolo Garante Privacy, varato il piano delle attività ispettive per il secondo semestre 2023: nel mirino riconoscimento facciale, telemarketing, e cookies, gli oggetti di verifiche specifiche del Garante entro l’anno sono in particolare il settore della statistica e della ricerca scientifica, il telemarketing, il riconoscimento facciale, i gestori ed i fornitori di servizi che utilizzano lo SPID e la carta d’identità elettronica (CIE) nell’ambito di servizi online offerti anche tramite app, nonché i cookie e gli altri strumenti di tracciamento, la protezione dei dati personali incluse le istruttorie relative a reclami e segnalazioni.

Per quanto riguarda i cookie sarà verificata la corretta implementazione delle relative Linee guida, anche attraverso lo strumento degli accertamenti on line.

Colloquio di selezione del personale: istruzioni operative per il rispetto della privacy del candidato

L’articolo Colloquio di selezione del personale: istruzioni operative per il rispetto della privacy del candidato ricorda che il processo di selezione di dipendenti, professionisti e tirocinanti dovrebbe essere ispirato alla non discriminazione ed inclusione dei candidati e trova precisi riferimenti nele normative UNI/PdR 125:2022 “Linee guida per il sistema di gestione della parità di genere” e UNI ISO 30415:2021 “Gestione delle risorse unmae – Diversità ed inclusione”.

La discriminazione, vietata da più norme (vedi elenco nell’articolo originale), può essere perpetrata per i seguenti motivi:

  • religione, convinzioni personali ed orientamento sessuale;
  • età e genere, altre caratteristiche riconducibili alla diversità;
  • disabilità, stato di gravidanza, stato di salute fisica o psicologica;
  • stato matrimoniale e di famiglia, comprese maternità e paternità, anche adottive.

In un particolare tipo di colloquio, si valutano, anche con registrazioni, comportamenti e atteggiamenti in situazioni che riproducono dinamiche riscontrabili in ambito professionale, attraverso questionari e test. Questi devono essere valutati da personale qualificato e certificato, che può configurarsi come titolare del trattamento dei dati personali e deve fornire l’opportuna informativa privacy con richiesta di consenso al trattamento.

Devono essere rispettati i seguenti principi:

  • Limitazione della finalità: utilizzare i dati solo per lo scopo dichiarato nell’informativa;
  • Minimizzazione dei dati: chiedere ed utilizzare solo le informazioni strettamente necessarie e rilevanti per allo scopo;
  • Esattezza: il candidato ha il diritto di poter intervenire in qualsiasi momento circa la modifica dei propri dati e la cancellazione definitiva degli stessi dai sistemi aziendali (fanno eccezione i concorsi pubblici);
  • Limitazione della conservazione: non si possono conservare indefinitamente i dati personali del candidato (quali i CV);
  • Integrità e riservatezza: devono essere garantite sicurezza e protezione dei dati tramite l’impiego di misure tecniche ed organizzative adeguate.

L’articolo prosegue riportando a titolo di esempio una serie di domande che possono o non possono legittimamente essere fatte durante un colloquio.

Sono domande accettabili, in pertinenza con la posizione lavorativa in questione:

“come conosce la nostra azienda?”

“com’è orientato nella ricerca di un’opportunità professionale?”

“perché ha scelto di candidarsi per questa posizione?”

“perché desidera cambiare lavoro?”

“è abituato al lavoro in team?”

“quali giudica siano i suoi punti di forza e di debolezza?”

“quali sono i suoi hobbies”

“documenti il suo iter scolastico e professionale ed eventuali certificazioni acquisite”

Non sono domande accettabili [per talune potrebbero sorgere delle perplessità; ndr]:

“mostri il permesso di soggiorno” (per candidati extracomunitari), se non per specifiche esigenze lavorative

“qual è l’occupazione dei suoi genitori?”

“è sposato, fidanzato? ha figli, quanti?”

“vorrebbe avere figli in futuro?”

“ha mai avuto problemi con i precedenti datori di lavoro?”

“è iscritto a un sindacato?”

“è iscritto ad un partito politico?”, salvo limitazioni previste nel codice etico aziendale

“ha precedenti penali?”, salvo che ciò sia messo in relazione ad una specifica occupazione ed in relazione ad un certo tipo di reati (es. in attività che coinvolgono minori), è semmai possibile specificare che in caso di assunzione verrà richiesta la copia del casellario giudiziale limitato ai reati oggetto di interesse)

“sta seguendo delle cure mediche, soffre di allergie, ha mai avuto attacchi di panico, sofferto di depressione?”, salvo che ciò sia in relazione al preciso ruolo lavorativo da svolgere [in ogni caso è demandato al Medico Competente l’accertamento dell’idoneità lavorativa per la mansione prevista; ndr]

“cosa pensa della legge X?”

“ha parenti che lavorano in azienda o che sono fornitori o clienti dell’azienda o membri del consiglio di amministrazione o del collegio sindacale?”, salvo limitazioni poste nello statuto o nel codice etico aziendale.

Ed ovviamente sono improponibili domande come

“quali sono le sue origini etniche?”

“qual è il suo orientamento sessuale’?”

“aderisce ad una confessione religiosa?”

Sono possibili accertamenti relativi all’appartenenza a categorie protette e alla disponibilità al lavoro notturno, sempre in relazione alla specificità della posizione offerta e al parere vincolante del MC.

La Legge 300/197 vieta ricerche sui profili social dei candidati, specialmente su fatti non rilevanti ai fini della valutazione dell’attitudine professionale, nonostante le informazioni siano state rese pubbliche dai candidati stessi.

Il D.Lgs. 81/08 specifica che il MC, “in occasione delle visite di assunzione, richiede al lavoratore la cartella sanitaria rilasciata dal precedente datore di lavoro e tiene conto del suo contenuto ai fini della formulazione del giudizio di idoneità” e comunica all’azienda esclusivamente tale risultanza.

Tutte le informazioni personali dei candidati devono essere oggetto, ai fini della riservatezza, di misure di protezione tecniche ed organizzative.

Il DPO deve contribuire all’aggiornamento tecnologico dell’azienda, ai fini delle misure di protezione dei dati personali

L’articolo Il DPO alle prese con lo stato dell’arte ricorda, in riferimento agli Art. 25, 32 e 35 del GDPR, che le organizzazioni hanno l’obbligo di aggiornare le loro politiche e mezzi di protezione dei dati personali con lo stato dell’arte corrente dal punto di vista tecnologico, ma anche (per normative e linee guida) organizzativo.

In questo processo il DPO riveste un ruolo fondamentale, fornendo proposte in relazione a rischi ed opportunità, da vagliare anche in considerazione della loro sostenibilità economica. D’altro canto allo stesso DPO devono essere messa a disposizione le risorse informative e formative necessarie.

L’organizzazione che utilizza un DPO deve prevedere la sua formazione continua

Come riferisce l’articolo La formazione del Data Protection Officer deve avere carattere permanente e non può essere riconducibile al solo istante della sua designazione, un obiettivo dell’European Data Protection Board è di armonizzare l’efficace attuazione delle norme relative al DPO e di conseguenza rilevare e superare alcune incertezze operative per un rafforzamento della funzione.

L’innovazione tecnologica, lo sviluppo della data economy e degli standard di sicurezza richiedono, in capo al DPO, una formazione continua, in aggiunta alle verifiche iniziali e periodiche, da parte del titolare del trattamento dati personali, per la definizione e mantenimento del DPO.

Il GDPR prevede inoltre, al punto 2 dell’Art. 38, che il titolare e il responsabile del trattamento mettano a disposizione del DPO le risorse necessarie per assolvere ai propri compiti e mantenere la conoscenza specialistica. [a parere del redattore di questo sunto, quali “risorse” si intendono il tempo necessario in orario di lavoro se il DPO è un dipendente dell’organizzazione, o una corrispondente adeguata retribuzione se è un esterno, rimanendo a carico del DPO il compito di formarsi ed aggiornarsi adeguatamente, in ragione della sua funzione di consulenza, informazione e sorveglianza].

L’articolo cita infine, a titolo di esempio, alcuni argomenti di recente applicazione, ove pertinenti: la direttiva NIS 2 con particolare attenzione alla governance della sicurezza, le piattaforme digitali e gli obblighi del Digital Services Act, lo sviluppo e l’impiego dei sistemi di intelligenza artificiale attraverso le prescrizioni e i limiti dell’AI Act, l’esportazione dei dati secondo le condizioni poste dalle decisioni di adeguatezza della Commissione .

Il DPO e la gestione delle violazioni privacy nelle scuole

L’articolo Scuole: le responsabilità da delegare al Dpo per evitare sanzioni del Garante per la Privacy informa che l ministero dell’istruzione ha richiamato il personale scolastico ad informarsi sulle procedure da seguire in caso di data breach, mettendo in evidenza che scuole e istituti possono delegare al loro DPO la compilazione del registro delle violazioni privacy, la cui tenuta è obbligatoria. Il DPO è tenuto a fornire assistenza e informazione, a ricostruire l’incidente, gestirlo ed individuarne le cause.

La nota del ministero sprona a tener conto dei rischi per i dati personali, adottare le misure necessarie per mitigarli, a partire dalle buone prassi di comportamento.

Il DPO non va scelto a cuor leggero

Come afferma l’articolo La selezione del DPO? tutto parte dal management, se è prassi comune la selezione di fornitori (come da ISO 9001 al proposito del “Controllo dei processi, prodotti e servizi forniti dall’esterno”), è naturale che ciò si debba applicare anche alla selezione del DPO, tenendo conto del contesto organizzativo e del conflitto di interessi. Sono d’aulisio le Linee-guida sui responsabili della protezione dei dati (RPD) – WP 243. La procedura, che deve essere effettivamente utilizzata, per la scelta del DPO deve prevedere anche la conservazione della documentazione che ha portato a tale selezione, nel principio di accountability.

IN BREVE, DALL’ITALIA E DAL MONDO

Come si svilupperà il web nei prossimi anni

L’articolo Web 4.0 e mondi virtuali: la strategia UE informa che, nell’ambito della prossima transizione ecologica, la Commissione europea ha adottato una nuova strategia sul web 4.0, che renderà possibili un’integrazione tra oggetti e ambienti digitali e reali e migliori interazioni tra esseri umani e macchine, grazie a intelligenza artificiale e ambientale, Internet delle cose (IoT), transazioni blockchain affidabili, mondi virtuali e capacità XR [eXtended Reality].

Si prospettano quindi sviluppi (peraltro non esenti da rischi) nelle comunicazioni, nel settore manifatturiero ed energetico per l’ottimizzazione dei processi produttivi, nel settore della cultura, dell’istruzione e formazione e della creatività, nonché nel campo della medicina.

La strategia sul web 4.0 si articola attraverso i seguenti punti.

  1. Sostegno allo sviluppo di competenze per creare specialisti del mondo virtuale.
  2. Sostegno e incentivazione dei partenariati finalizzati ad un ecosistema industriale web 4.0 europeo per alimentare l’eccellenza e ovviare alla frammentazione.
  3. Sostegno, da parte della pubblica amministrazione, al progresso sociale e ai servizi pubblici virtuali. Due iniziative sono costituite dalla pianificazione urbana e dalla riproduzione virtuale del corpo umano a supporto di decisioni cliniche e terapie personalizzate.
  4. Definizione di uno standard a livello mondiale per mondi virtuali e un web 4.0 aperti e interoperabili, anche per impedire che siano dominati da pochi operatori di grandi dimensioni.

I diritti dei cittadini dovranno essere tutelati attraverso il regolamento sui servizi digitali e il regolamento sui mercati digitali e lo stesso GDPR.

Linee guida per l’utilizzo degli Open Data della pubblica amministrazione

L’articolo Open Data: da AgID le nuove linee guida per l’apertura dei dati e il riutilizzo dell’informazione del settore pubblico informa che Agenzia per l’Italia Digitale (AgID) ha pubblicato le “Linee Guida recanti regole tecniche per l’apertura dei dati e il riutilizzo dell’informazione del settore pubblico” per supportare le pubbliche amministrazioni e i soggetti interessati all’utilizzo dei dati resi disponibili nel settore pubblico, nel rispetto delle disposizioni e delle modalità disciplinate dal decreto legge di recepimento della Direttiva Open Data.

Finanziamenti finalizzati a rafforzare la sicurezza informatica

L’articolo L’Agenzia Nazionale per la Cybersicurezza Nazionale dà il via alla creazione dei Csirt regionali informa che è stato istituito un finanziamento di 28 milioni di euro per i progetti di attivazione o potenziamento dei Computer Security Incident Response Team (CSIRT Italia) presso le Regioni, ai fini del rafforzamento delle capacità tecniche nazionali sulla prevenzione e risoluzione di incidenti cyber.

L’Agenzia per la Cybersicurezza Nazionale ha definito delle Linee Guida per la realizzazione di squadre di pronto intervento informatico dedicate al rilevamento, all’analisi e alla risposta degli incidenti di sicurezza informatica, nonché ad attività di prevenzione e mitigazione del rischio cyber.

In vigore le misure di tutela della privacy nei social

L’articolo In vigore il Digital Services Act informa che il 25 agosto è entrato in vigore il nuovo regolamento Digital Services Act, emanato dall’UE che prevede misure a tutela della privacy e per la protezione dei minori.

Esso riguarda specificamente le piattaforme online che raggiungono almeno i 45 milioni di utenti attivi online ogni mese, tra cui Amazon Store, AppStore, Booking, Facebook, Google, Instagram, LinkedIn, TikTok, Twitter (adesso rinominato in “X”), Wikipedia, YouTube, e Zalando.

Linkedin può essere un mezzo per perpetrare truffe e furti

L’articolo Neanche gli utenti di Linkedin si salvano dalle truffe online riferisce che una ricerca, effettuata in nord America e Regno Unito, ha messo in luce che oltre metà delle aziende esaminate ha subito truffe tramite Linkedin.

Queste consistono in offerte fasulle, tentativi di phishing, danni alla reputazione, furti e danni ai contatti dei clienti, perdite di denaro, interruzione dell’attività e danni alla reputazione.

Parità di retribuzioni tra uomini e donne: informazioni sugli stipendi conoscibili solo da sindacati, ispettorati del lavoro e organismi di parità

La DIRETTIVA (UE) 2023/970 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 10 maggio 2023 è “volta a rafforzare l’applicazione del principio della parità di retribuzione tra uomini e donne per uno stesso lavoro o per un lavoro di pari valore attraverso la trasparenza retributiva e i relativi meccanismi di applicazione”. Dovrà essere recepita dagli stati membri entro il 07/06/2026.

Così come rammenta l’articolo Parità di retribuzioni tra uomini e donne: informazioni sugli stipendi conoscibili solo da sindacati, ispettorati del lavoro e organismi di parità, con lo scopo di far cessare le sperequazioni negli stipendi di uomini e donne, la direttiva punta sulla trasparenza delle informazioni relative ai trattamenti retributivi.

Dal punto di vista del GDPR non ci sono problemi a rendere pubblici dati aggregati e quindi anonimi [ma nel caso di una piccola azienda è poi facile risalire all’identità personale quando un’aggregazione per livello e sesso si riduce a pochissime o uniche identità; ndr]. Tuttavia i singoli stati possono decidere che siano divulgati anche dati retributivi nominali, per consentire i confronti. Ciò per il GDPR dovrebbe poter avvenire solo a fronte di una base giuridica, quindi col consenso degli interessati, un interesse pubblico o un obbligo giuridico. Quest’ultimo potrebbe derivare dal decreto applicativo di attuazione del regolamento, che potrebbe prevedere la comunicazione degli stipendi dei dipendenti ad organizzazioni quali i sindacati (indipendentemente dal fatto che gli interessati vi siano iscritti o meno), all’ispettorato del lavoro ed organismi per la parità.

[Si paventa quindi un conflitto tra l’esigenza di tutelare la privacy e quella di consentire di verificare la parità di genere nei trattamenti retributivi; ndr]

Anche le emoticon possono dar luogo a sentenze di condanna se avallano giudizi diffamanti

L’articolo Per like ed emoticon sui social offensivi o scritti durante l’orario di lavoro si può essere licenziati mette in guardia dipendenti e collaboratori dal fare commenti che possano ledere il buon nome dell’azienda sui social, in quanto rivolti ad un’ampia platea di pubblico: possono essere licenziati per colpa. Ed anche chi commenta per mezzo di emoticon che esprimono giudizi di apprezzamento su tali commenti può essere soggetto a sanzioni.

Sentenze di tribunale hanno già avallato come legittimi i licenziamenti conseguenti a tali violazioni.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Una sentenza di tribunale si è pronunciata contro una società che si era rifiutata di fornire alle organizzazioni sindacali l’informativa contenente la descrizione delle modalità di trattamento delle informazioni utilizzate nei processi decisionali aziendali interamente automatizzati.
  • A ferragosto la società Postel Spa, del gruppo Poste Italiane, è stata colpita da un attacco ransomware da parte del gruppo hacker Medusa Locker. Sono stati messi fuori servizio alcuni server ed è stato richiesto un riscatto di 500 mila dollari per non pubblicare dati trafugati. Postel ha dichiarato che sta ripristinando i sistemi essenziali e che i dati in oggetto sarebbero solo dati interni.
  • Gli interessati che ritengono di aver subito un mancato rispetto del GDPR nei confronti dei loro dati personali, non possono correlare la rinuncia (alla presentazione di un reclamo al Garante) al pagamento di una penale chiesta al presunto violatore dei loro diritti. Il Garante austriaco ha infatti respinto un reclamo giudicato «disonesto» e «abusivo» di un interessato, che aveva chiesto 2.900 euro per rinunciare a presentare il reclamo stesso.
  • Un comune è stato pesantemente sanzionato dal Garante della privacy, per l’attivazione di fototrappole ai fini del contrasto dell’abbandono dei rifiuti. Infatti non risultavano adeguati l’informativa privacy esposta ed in rete, i tempi di conservazione dei filmati (7 giorni sono validi solo per ragioni di sicurezza) e il contratto (mancante) con la ditta privata incaricata di analizzare i filmati.
  • Sanzionata un’azienda che ha inserito dipendenti in una black list,  classificandoli come “critici” o “molto critici” e addirittura aggiungendo dati sulla loro salute, senza aver neppure interpellato il DPO.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys