Indice:

  1. Nomina dell’incaricato alle verifiche dei green pass
  2. Whistleblowing e DPO
  3. Ancora sul controllo dei green pass da parte del datore di lavoro
  4. Utilizzare l’Intelligenza Artificiale per il riconoscimento biometrico è una faccenda seria
  5. Anche sulle verifiche del green pass non tutto è chiaro
  6. Il pettegolezzo è la più comune causa di violazione dei dati personali dei dipendenti
  7. Chi commina le sanzioni più severe per infrazioni alla privacy?
  8. Il responsabile del trattamento può trasformarsi in titolare e subirne le conseguenze
  9. Le pubbliche amministrazioni potranno evitare il consenso al trattamento in base ad atti amministrativi?
  10. Il principio di minimizzazione va applicato
  11. Si ribadisce il concetto di “accountability”
  12. Come impostare e gestire una password sicura: un aiuto dal Garante
  13. L’azienda può rivalersi sul dipendente incaricato del trattamento dei dati personali, in caso di danni per sua responsabilità?
  14. Violazioni di dati personali e sanzioni, in breve

 

Nomina dell’incaricato alle verifiche dei green pass

L’articolo Vale il doppio la nomina dell’incaricato aziendale alla verifica dei Green Pass trae origine dal Decreto Legge 127/2021 in cui è stabilito l’obbligo, per il datore di lavoro, di controllare i green pass per l’accesso al luogo di lavoro, a partire dal 15/10/2021.

Il loro incarico è duplice: verificare il possesso di green pass in corso di validità per chi entra in azienda e accertare eventuali violazioni. Il documento di nomina deve contenere le istruzioni relative ad entrambe le attività e queste devono conseguire dalle modalità operative stabilite allo scopo in un piano aziendale.

Nel caso in cui si ricorra ad un controllo a campione (almeno il 20%) è necessario che questo sia rappresentativo e motivato; il decreto cita peraltro che “prioritariamente, ove possibile” i controlli devono essere fatti all’accesso ai luoghi di lavoro [La concessione di effettuarli anche con anticipo, ove ciò sia necessario per l’organizzazione dei turni di lavoro, non compare più nelle linee guida recentemente disposte per le PA e, in generale, quindi anche per le aziende private, nei più recenti DPCM non si parla più del limite di 48 h per cui resta imprecisato il limite di tempo ammissibile per anticipare il controllo dei green pass dei lavoratori. Tale determinazione appare dunque afferire alla responsabilità del datore di lavoro. Si osserva che potendo un green pass scaturire da un tampone rapido, la cui validità è di 2 giorni, e non potendo e dovendo conoscere dal QR il motivo della validità di un green pass, un anticipo di 48 ore sulla verifica di un green pass potrebbe rilevarlo valido mentre di fatto questo potrebbe essere in scadenza al momento dell’accesso effettivo in azienda. Viceversa, nelle linee guida per le PA, si trova che i controlli possono anche essere effettuati dopo gli ingressi, anche se, prioritariamente, nelle ore antimeridiane. Ndr].
Chi è delegato alla verifica dei green pass deve altresì essere incaricato al trattamento dei dati personali.

Infine, in caso di accertamento di violazione (avvenuto accesso in assenza di green pass valido), il verificatore deve verbalizzare l’attività svolta, dando atto del soggetto trasgressore e delle circostanze di luogo e di tempo della trasgressione, degli avvisi a riguardo del prosieguo della vicenda con trasmissione degli atti al prefetto (in forza della legge generale sulle sanzioni amministrative, n. 689 del 1981).

Whistleblowing e DPO

L’articolo Il ruolo del Data Protection Officer nella tutela del whistleblower rammenta che entro il 31 dicembre 2021 gli Stati Membri dovranno recepire la Direttiva UE 2019/1937 riguardante la protezione delle persone che segnalano violazioni [i cosiddetti whistleblower], sia in ambito pubblico sia nel settore privato. La relativa disciplina (già introdotta in Italia a partire dal 20212) serve a tutelare i soggetti che segnalano condotte illecite di cui siano venuti a conoscenza nell’esercizio delle loro mansioni.

L’argomento coinvolge in pieno anche la materia della protezione dei dati personali, per cui l’articolo in oggetto tira in ballo la figura del Data Protection Officer, il quale dove farsi carico di supportare adeguatamente il titolare del trattamento dei dati personali circa l’adozione di un modello di gestione delle segnalazioni, la determinazione delle misure tecniche ed organizzative che garantiscano un adeguato livello di sicurezza dei dati, l’esecuzione della valutazione di impatto.

Vale la pena di sottolineare che i principi della privacy vanno salvaguardati sia per chi effettua la denuncia, che per i soggetti denunciati.

[E le organizzazioni che non hanno il DPO? L’articolo 10 del GDPR cita “Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1” (e questo include, nelle basi giuridiche del trattamento, gli obblighi legali, la salvaguardia di interessi vitali e l’esecuzione di compiti di interesse pubblico). Appare quindi opportuna l’immediata nomina di un DPO, nel caso in cui sia ancora assente, qualora si abbia a che fare con segnalazioni attinenti al whistleblowing. Ndr].

Ancora sul controllo dei green pass da parte del datore di lavoro

L’articolo Green Pass nei luoghi di lavoro, importante disporre di un piano organizzativo aggiunge ulteriori informazioni rispetto a quanto già pubblicato da precedenti articoli in merito al controllo del green pass dei lavoratori.

Aspetti già esaminati:

  • obbligo del datore di lavoro, dal 15/10/2021, di verificare la certificazione verde covid-19 per chi accede ai luoghi di lavoro (dipendenti ed esterni)
  • definizione delle modalità operative
  • divieto di conservazione dei dati specifici (oltre il mero esito delle verifiche)
  • nomina formale degli incaricati ai controlli e all’accertamento di eventuali violazioni.

Nuove considerazioni:

  • informativa da consegnare ai soggetti controllati, riportante i trattamenti dei dati personali in atto e modalità dei controlli
  • aggiornamento del registro del trattamento dati personali sulla base dei trattamenti relativi al controllo dei green pass
  • garanzie sul rispetto della privacy, previa analisi dei rischi e valutazione di impatto (se del caso anche consultazione preventiva del Garante), laddove si ricorra a metodi automatici di controllo (applicazioni hardware/software su totem all’ingresso)
  • esecuzione della DPIA (valutazione di impatto relativa ai dati personali), in relazione alla complessità dell’organizzazione
    nomina a Responsabile (esterno) del trattamento ove il controllo fosse demandato a terzi.
  • coinvolgimento del Data protection Officer, ove presente.

[Per quanto riguarda i comportamenti relativi all’accertamento delle violazioni del green pass, si farà riferimento al successivo articolo Green pass, l’assenza di indicazioni nella norma di riferimento che rischiano di lasciare le verifiche al fai-da-te. Ndr]

Utilizzare l’Intelligenza Artificiale per il riconoscimento biometrico è una faccenda seria

L’articolo I fondamentali requisiti dei sistemi di Intelligenza Artificiale per evitare forme di discriminazione trae spunto da una risoluzione adottata dal Parlamento in cui viene sottolineato che le applicazioni che usano l’Intelligenza Artificiale (IA) sono soggette ad un rischio di pregiudizio e discriminazione insito negli algoritmi, per cui sono fondamentali la supervisione umana e un quadro giuridico.

Ci si riferisce in particolare all’identificazione biometrica remota. Il suo utilizzo in spazi pubblici è vietato, se non previa autorizzazione degli organi competenti e per i casi strettamente necessari (quali la ricerca di un minore, la prevenzione del terrorismo e di reati gravi).

Sono applicazioni ad alto rischio e soggette a particolari requisiti di trasparenza i sistemi di riconoscimento delle emozioni e categorizzazione biometrica.

Nonostante che il tasso di “falsi positivi” sia in diminuzione, il riconoscimento facciale è pur sempre soggetto all’accuratezza dei sistemi e anche un tasso di errore dello 0,1% può non essere adeguato se l’algoritmo porta al sospetto di un innocente o a determinazioni che riguardano una grande massa di persone.

Nel ciclo di vita di un sistema di IA dovrebbero essere sempre presenti questi elementi:

  • legalità (rispetto di tutte le leggi e normative in materia)
  • eticità (lo scopo deve rispettare principi di moralità)
  • robustezza (affidabilità e precisione del sistema).

Per quanto riguarda la legalità, le fonti giuridiche pertinenti comprendono le seguenti:

  • i trattati dell’Unione europea e la sua Carta dei diritti fondamentali
  • il regolamento generale sulla protezione dei dati, le direttive antidiscriminazione, la direttiva macchine, la direttiva sulla responsabilità dei prodotti, il regolamento sulla libera circolazione dei dati non personali, il diritto dei consumatori e le direttive in materia di salute e sicurezza sul lavoro
  • i trattati ONU sui diritti umani
  • la Convenzione europea dei diritti dell’uomo
  • le leggi degli stati membri dell’Unione Europea

[da ciò sembra derivare l’esigenza di consultare un legale veramente esperto sull’argomento prima di mettere in atto un sistema di riconoscimento biometrico; Ndr]

La robustezza del sistema, oltre che l’aspetto tecnico, riguarda anche quello sociale, dovendo considerare anche il contesto ed il sistema entro cui si opera.

L’autore afferma comunque che i tre elementi richiesti per un sistema di IA benché siano strettamente correlati e debbano integrarsi tra loro, è talvolta possibile che generino dei contrasti che andranno risolti.

Anche sulle verifiche del green pass non tutto è chiaro

Ce lo evidenzia l’articolo Green pass, l’assenza di indicazioni nella norma di riferimento che rischiano di lasciare le verifiche al fai-da-te.

Nel settore privato l’impiego delle certificazioni verdi covid-19 è regolamentato dall’articolo 9-septies del decreto legge 52/2021 modificato dal decreto legge del 21/09/2021 n. 127 Articolo 3. Tuttavia, in merito alle violazioni, ci si limita a dire che le sanzioni per accesso ai luoghi di lavoro senza green pass sono irrogate dal prefetto e che i soggetti incaricati dell’accertamento e della contestazione delle violazioni trasmettono al prefetto gli atti relativi alla violazione.

Quindi come redigere un verbale di contestazione, come inoltrare gli atti alle prefetture, come registrare la consegna del verbale al trasgressore? Ciò è aggravato dal fatto che possono esservi responsabilità penali collegate alla redazione di un atto di contestazione di una sanzione.

[L’articolo pone altri quesiti, che sono però relativi alle azioni da parte della prefettura ed esulano dalle possibili incombenze per il datore di lavoro. Ndt]

L’autore dell’articolo auspica che vi siano delle risposte, magari a fronte del dossier del Senato al decreto legge 127/2021.

Il pettegolezzo è la più comune causa di violazione dei dati personali dei dipendenti

Nella gestione del personale, l’applicazione delle norme fiscali, giuridiche, per la gestione delle procedure necessarie al fine di garantire il godimento dei diritti e il riconoscimento delle agevolazioni per i lavoratori, implica il trattamento di numerosissimi dati personali e talvolta anche dati appartenenti alle categorie particolari del lavoratore e dei suoi parenti.

Secondo l’autore dell’articolo Violazioni privacy nei luoghi di lavoro: causate non solo da errore umano ma anche da curiosità e pettegolezzi, una rilevante quantità di violazioni dei dati personali accadute all’interno delle aziende sono mosse quasi esclusivamente dalla curiosità o dalla voglia di pettegolezzi, più che dall’errore umano o da altre cause.

Da ciò deriva la necessità di un’azione formativa adeguata, oltre che all’adozione delle misure tecniche.

Le conseguenze di una violazione dei dati dei dipendenti rientrano in quanto espresso dal Considerando 85 del GDPR, il quale recita: “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

Chi commina le sanzioni più severe per infrazioni alla privacy?

Secondo l’articolo Ecco quali sono le autorità per la privacy più severe d’Europa: quasi 14 milioni di euro di sanzioni in un solo mese si tratta dell’autorità austriaca, quella tedesca di Amburgo, quella norvegese, e quella francese. Ma a breve si unirà a loro l’Irlanda che sta decidendo di imporre una sanzione a Facebook che potrebbe superare i 36 milioni di euro.

[Sacrosanto l’intento di difendere i cittadini dai soprusi contro la privacy, ma perché invece di sanzioni che autofinanziano interi stati, non vengono stabiliti risarcimenti per gli interessati danneggiati? Ndr]

Il responsabile del trattamento può trasformarsi in titolare e subirne le conseguenze

[Il titolo dell’articolo Il responsabile paga l’insubordinazione con la titolarità del trattamento dei dati  è un po’ arcano, risulterà comprensibile dopo la lettura. Ndr]

Si fa riferimento ad una società rivenditrice di servizi telefonici che ha attivato 11 schede telefoniche a cinque cittadini senza che gli assegnatari dell’utenza fossero identificati e senza che fosse stata resa loro nota l’informativa sul trattamento dei dati personali.

Di fronte all’ingiunzione del Garante al pagamento di una sanzione amministrativa, la lite è passata per vari gradi di giudizio sino alla Corte di Cassazione, la quale ha condannato la società di servizi.

Il caso ha interesse per la motivazione addotta dalla Corte, che ribadisce il concetto di titolarità dei dati personali espresso dal GDPR: titolare del trattamento è costituito dai chi ha il potere decisionale, mentre il preposto è il responsabile del trattamento nei limiti e nelle modalità fissate dal titolare per l’espletamento dell’incarico. Quindi, il responsabile che manifesta un’autonomia decisionale e gestionale, specie se disattendendo le disposizioni del titolare, assume egli stesso il ruolo di titolare, con le conseguenze del caso.

Le pubbliche amministrazioni potranno evitare il consenso al trattamento in base ad atti amministrativi?

Il servizio Il potere autoritativo nel trattamento dei dati personali si riferisce all’articolo 9 del decreto legge 8 ottobre 2021, n. 139, il quale afferma che Il trattamento dei dati personali da parte di un’amministrazione pubblica, nonché da parte di una società a controllo pubblico statale (con esclusione per quelle che svolgono attività in regime di libero mercato), è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a esse attribuiti.

L’autore disquisisce sul fatto che una norma attuativa, scaturita nell’ambito dell’esercizio del potere normativo da parte dell’amministrazione, possa o meno costituire una valida base giuridica (richiesta dall’articolo 6, paragrafo 3, lettera b), del GDPR) per legittimare un trattamento di dati personali, senza il consenso degli interessati, quando questa dovrebbe avvenire (secondo art. 2-ter, comma 1, del Codice Privacy) in base a una norma di legge o, nei casi previsti dalla legge, di regolamento.

D’altra parte, per il GDPR, il trattamento dei dati personali è lecito se ricorre anche una sola delle condizioni espresse dall’articolo 6 e perciò “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (comma e)) potrebbe sopperire ad una eventuale carenza rispetto all’ “obbligo legale al quale è soggetto il titolare del trattamento” (comma c)).

[E’ da notare come la condizione di cui al comma e) dell’articolo 6 del GDPR non si discosti poi tanto dalle ragioni per cui è stato invalidato l’US-EU Privacy-shield, cioè il fatto che in USA le autorità governative possono richiedere di conoscere i dati personali per ragioni di lotta al terrorismo, sanità pubblica e altri necesità di rilevante intersse pubblico. Ndr]

Il principio di minimizzazione va applicato

L’ articolo Il principio di minimizzazione nella progettazione di impianti di videosorveglianza informa che l’Autorità garante ha recentemente emesso un provvedimento nei riguardi di un Istituto per non vedenti, che, per un breve arco di tempo, ha installato alcune telecamere in una posizione per cui si poteva ledere la dignità degli ospiti. [Fra l’altro, e ciò è paradossale, l’informativa era stata fornita a mezzo di cartelli scritti].

Al di là dei dettagli circa il caso in oggetto, interessa il riferimento al principio di minimizzazione dei dati, secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Si ribadisce il concetto di “accountability”

L’ articolo Regolamenti & Policy: il concetto di ‘responsabilizzazione’ come fulcro del sistema di gestione della privacy esamina ancora il concetto di accountability o responsabilizzazione, che si applica sul titolare del trattamento dei dati personali, il quale, nell’applicazione dei principi e delle disposizioni del GDPR, deve avere la consapevolezza dei rischi che il trattamento può comportare e adottare, in conseguenza, le opportune misure tecnico-organizzative.

Gli artt. 5, par. 2, 24 del GDPR ed il Considerando n. 74, individuano per il titolare una vera e propria forma di responsabilità giuridica, con riferimento all’attuazione dei principi fondamentali di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza e aggiornamento, limitazione della conservazione, integrità e riservatezza.

Solo se è in grado di dimostrare la propria responsabilizzazione, il Titolare riduce il rischio di incorrere in violazioni e, soprattutto, nelle pesanti sanzioni amministrative pecuniarie contemplate dall’art. 83, parr. 4 e 5, GDPR oltre che in quelle penali.

Diventano quindi indispensabili la formazione (documentata) effettuata nei confronti degli incaricati al trattamento, e la redazione di specifici regolamenti e policies aziendali.

Come impostare e gestire una password sicura: un aiuto dal Garante

L’articolo Dal Garante Privacy i suggerimenti per scegliere le proprie password e conservarle in modo sicuro ci informa che il Garante per la Privacy ha messo a disposizione la scheda Suggerimenti per creare e gestire password a prova di privacy, scaricabile dal link fornito.

I punti essenziali, in breve, per una password dovrebbero essere relativi a
– lunghezza (almeno 8 caratteri),
– caratteri di varie tipologie (numeri, lettere minuscole/maiuscole, interpunzione),
– assenza di riferimenti personali di facile individuazione (come il nome, la data di nascita),
– in caso di parole di senso compiuto, “mimetizzare” con cifre e/o caratteri di interpunzione,
– cambio periodico della password,
– utilizzo di password diverse e non raffrontabili, per account diversi,
– non utilizzo di password già usate in precedenza,
– tempestiva sostituzione delle password ricevute,
– meccanismi di autenticazione multi fattore (ove possibile),
– non conservare in memoria dei dispositivi,
– non scrivere le password su supporti cartacei che possono essere lasciati incustoditi,
– non condividere con altri, specie nei social.

L’azienda può rivalersi sul dipendente incaricato del trattamento dei dati personali, in caso di danni per sua responsabilità?

Nel precedente articolo Il responsabile paga l’insubordinazione con la titolarità del trattamento dei dati personali, l’autore illustrava come un Responsabile del trattamento acquisisce automaticamente il ruolo di Titolare nel momento in cui assume autonomamente decisioni relative alla finalità del trattamento, ed a maggior ragione se in contrasto o inosservanza delle disposizioni del Titolare.

Nell’articolo Mancata osservanza delle istruzioni impartite: la posizione del dipendente si esamina piuttosto la possibilità di rivalsa del Titolare nei confronti del Responsabile, a fronte di una condanna ricevuta dal primo a seguito di un accertamento di responsabilità del secondo. Una responsabilità solidale tra Titolari, co-Titolari, Responsabili e co-Responsabili è possibile, a fronte dell’articolo 82 del GDPR, ma solo se detti soggetti risultino essere tutti coinvolti e tutti responsabili.

[E fin qui si parla di persone giuridiche, per es. la società cui fa capo la persona che opera come Responsabile esterno.] Tuttavia sono previsti soggetti (individui) incaricati che operano sotto l’autorità e la responsabilità del Titolare o del Responsabile del trattamento. In questo frangente, com’è recuperabile, da parte dell’azienda, l’equivalente del danno causato per colpa (negligenza, imperizia o inosservanza delle disposizioni di servizio)? Secondo l’autore dell’articolo, sono necessari uno specifico iter sanzionatorio, nel rispetto delle norme dello Statuto dei lavoratori e del CCNL di riferimento, ed un eventuale successiva azione giudiziaria per ottenere un titolo esecutivo pienamente esercitabile. E’ da escludere qualsiasi azione nel caso in cui nel caso le risultanze del procedimento evidenzino ipotesi di caso fortuito o forza maggiore.

Violazioni di dati personali e sanzioni, in breve

  • L’università Bocconi di Milano è stata multata dal Garante con una sanzione di 200 mila euro per l’utilizzo, poco trasparente e non corretto, di un sistema di riconoscimento facciale per gli esami a distanza.
  • Il Garante per la privacy è intervenuto nei confronti di un’agenzia immobiliare che ha proposto i suoi servizi alla proprietaria di un immobile utilizzando i suoi contatti in LinkedIn; l’agenzia, è stata poi sanzionata non tanto per questa infrazione in sé, date numerose attenuanti [che qua non si stanno ad elencare], tanto per aver atteso la la notifica tramite il Nucleo speciale privacy della Guardia di Finanza prima di rispondere alle reiterate richieste di informazione del Garante. [Si traggono due indicazioni: 1) non è possibile utilizzare dati personali anche pubblici per finalità diverse da quelle per cui sono stati resi tali; 2) è bene rispondere subito ad eventuali richieste del Garante senza attendere la Guardia di Finanza. Ndr]
  • L’Autorità italiana per la privacy ha ordinato a Sky Italia il pagamento di una sanzione di oltre 3 milioni e duecentomila euro e le ha vietato l’ulteriore trattamento dei dati a fini promozionali realizzato con liste acquisite da altre società. Con ciò l’Italia si va ad inserire nel gruppo delle autorità garanti più severe d’Europa, almeno per una volta.

 

ing. Michele Lopardo

Responsabile Qualità @ Wondersys