Pubblicato il bando dell’a.a. 2020/21 per il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna

E’ stato pubblicato il bando per la VII edizione del Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna, a.a. 2020/21.

Le domande possono essere presentate entro il 3 dicembre 2020, ore 13:00.

Il Corso mira alla preparazione della figura professionale del DPO (Data Protection Officer o Responsabile della Protezione dei Dati) e di altre figure professionali operanti nel settore della protezione dei dati personali (ad es.: consulente privacy; componenti degli uffici privacy interni ad istituzioni ed enti).

Tutte le informazioni utili sono sul sito del Corso: https://site.unibo.it/dpo

La Corte di Giustizia UE annulla il Privacy Shield (CGUE, sent. 16.7.2020, causa C-311/18)

All’esito del giudizio C-311/18 (Data Protection Commissioner v Facebook Ireland and Maximillian Schrems), la Corte di Giustizia UE, con sentenza del 16 luglio 2020, ha annullato la Decisione di Adeguatezza della Commissione europea 2016/1250, relativa al c.d. Privacy Shield (EU-US Data Protection Shield), che riconosceva un livello adeguato di protezione nei trasferimenti dei dati tra UE e USA.

Permane la validità della Decisione 2010/87 della Commissione europea, sulle clausole standard per il trasferimento dei dati personali verso responsabili del trattamento stabiliti in Paesi terzi.

Garante emana provvedimento di autorizzazione per il trattamento con l’App Immuni

Con riferimento al trattamento di dati personali effettuato attraverso il Sistema di allerta Covid-19 App Immuni, il Garante, con provvedimento n. 95 del 1 giugno 2020, ha autorizzato

 “ai sensi e per gli effetti degli artt. 36, § 5, e 58, § 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, (…) il Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19 di cui all’art. 6 del d.l. 30 aprile 2020, n. 20, nel rispetto delle seguenti prescrizioni:

1) indicare puntualmente nella valutazione d’impatto, l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, aggiornandolo costantemente, specificando i parametri di configurazione impiegati e le assunzioni effettuate, rendendolo disponibile alla comunità scientifica (§2);

2) informare adeguatamente gli utenti in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio, in ragione della possibilità di contatto con persone positive al Covid-19 a causa della propria attività lavorativa, in condizioni tuttavia caratterizzate da un adeguato grado di protezione (§2);

3) consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche visualizzate all’atto dell’istallazione dell’applicazione (§ 2);

4) individuare modalità adeguate a proteggere gli analytics nel backend di Immuni, evitandone ogni forma di riassociazione a soggetti identificabili, adottando altresì idonee misure di sicurezza e tecniche di anonimizzazione, da individuarsi in ragione delle specifiche finalità in concreto perseguite, nel rispetto dei principi di privacy by design e by default (§3);

5) precisare, nel modello di informativa, la descrizione delle operazioni effettuate con riferimento agli analytics di tipo Epidemiological Info e dei dati personali raccolti in relazione alle diverse categorie di interessati (§ 4.1);

6) dedicare particolare attenzione all’informativa e al messaggio di allerta tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni (§ 4.1);

7) fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione (§ 4.1 e 8);

8) integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione (§ 4.2);

9) integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti lì citati o suscettibili, comunque, di coinvolgimento nel Sistema Immuni, evidenziando la sussistenza di eventuali rischi per gli interessati i cui dati siano trattati dal sistema (§ 6);

10) commisurare i tempi di conservazione degli indirizzi ip, per i fini e nei termini richiamati, nella misura strettamente necessaria al rilevamento di anomalie e di attacchi (§ 7.3);

11) introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati (§ 7.3);

12) adottare misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici (§ 7.3);

b) ai sensi e per gli effetti dell’art. 157 del Codice, richiede al Ministero della salute di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel presente provvedimento, entro il termine di 30 giorni dalla data della ricezione del presente provvedimento.

(…)”.

ODV e ruolo privacy. Il Parere del Garante

Il Garante per la protezione dei dati personali ha emanato, il 21 maggio 2020, il Parere sulla qualificazione soggettiva, ai fini privacy, degli Organismi di Vigilanza (OdV) previsti dall’art. 6 del D.Lgs. n. 231/2001.

Più precisamente, anziché inquadrare l’OdV in sé (nonostante la possibilità offerta dalla normativa di riferire la figura del Titolare e quella del Responsabile, verbatim, anche ad un “organismo”) si è scelto di non dare rilevanza autonoma all’organo, ma di inquadrare il ruolo soggettivo degli individui che lo compongono.

Tuttavia, pur rimarcando il carattere di autonomia e indipendenza dell’OdV derivante dalla disciplina di cui al D.Lgs. 231/2001, il parere ha finito per inquadrare i componenti tra i soggetti autorizzati (o designati) ex art. 29 GDPR e 2 quaterdecies del Codice della privacy, ossia tra i soggetti che operano “sotto l’autorità” diretta e “sotto la responsabilità” del titolare.

Non mancano talune incongruenze sotto il profilo sistematico.

EDPB, Linee guida in tema di videosorveglianza e altri trattamenti con dispositivi video

L’EDPB (European Data Protection Board) ha adottato, il 29 gennaio 2020, la versione 2.0 delle Guidelines No. 3/2019 on processing of personal data through video devices, a seguito di pubblica consultazione. E’ disponibile anche una versione in italiano.

Continue reading “EDPB, Linee guida in tema di videosorveglianza e altri trattamenti con dispositivi video”

ENISA e valutazione di impatto (PIA)

L’ENISA (European Union Agency for Cybersecurity) ha fornito un interessante contributo per agevolare gli adempimenti in materia di protezione dei dati personali, soprattutto per le PMI.

Ha offerto, quale esito di un lavoro a cui ha preso parte anche il ns. Garante per la protezione dei dati personali, uno strumento online per la valutazione della sicurezza dei dati personali, utile sia ex art. 32 GDPR che per la valutazione di impatto ex art. 35 GDPR (On-line tool for the security of personal data processing).

Nell’ambito di tale strumento sono stati resi disponibili le seguenti risorse:

  1. uno strumento per la valutazione di impatto, basato sull’analisi dei rischi [ Evaluating the level of risk for a personal data processing operation ]
  2. uno strumento di self assessment concernente le misure di sicurezza implementate [ (Self)assessing the implemented security measures ]
  3. Una breve sintesi della metodologia applicata [Overview of the Methodology]
  4. Alcuni studi significativi in materia [Relevant ENISA studies]

Elaborati scritti, CV dei candidati e verbali di correzione degli elaborati relativi a concorso pubblico: no all’accesso civico, sì all’accesso ex l. 241/90

Su richiesta del Responsabile della prevenzione della corruzione e della trasparenza dell’Università degli Studi di Firenze, formulata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013, il Garante per la protezione dei dati personali ha fornito il proprio parere (n. 200 del 7 novembre 2019) relativo a una richiesta di riesame sul provvedimento di diniego di un accesso civico avente ad oggetto la richiesta di «Copie degli elaborati delle prove scritte, dei relativi verbali di correzione e dei curriculum vitae sottoposti da tutti i candidati nell’ambito della procedura concorsuale per l’accesso al 33° ciclo del corso di dottorato di ricerca in Scienze della Formazione e Psicologia».

Continue reading “Elaborati scritti, CV dei candidati e verbali di correzione degli elaborati relativi a concorso pubblico: no all’accesso civico, sì all’accesso ex l. 241/90”