Appalti pubblici e bandi di gara: il ruolo privacy delle compagnie di assicuzione

Il Garante per la protezione dei dati personali, con provv. del 28.10.2019 (doc. web n. 9169688), ha chiarito il “ruolo privacy” delle compagnie di assicurazione nei bandi di gara indetti dalla p.a. per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, etc.). Continue reading “Appalti pubblici e bandi di gara: il ruolo privacy delle compagnie di assicuzione”

CEDU, Grande Camera, sent. 17 ottobre 2019 (caso López Ribalda et al. v. Spagna). Ammissibilità e limiti all’uso di telecamere nascoste sul luogo di lavoro

La Corte Europea dei Diritti dell’Uomo (CEDU), Grande Camera, con sentenza del 17 ottobre 2019 nel caso  López Ribalda ed altri v. Spagna,  ha affermato la liceità, entro determinati limiti, dell’uso di telecamere nascoste nei luoghi di lavoro.

Il Presidente del Garante per la protezione dei dati personali, in un suo comunicato, a commento della sentenza, ha chiarito che tale pronuncia non deve legittimare la sorveglianza occulta nella prassi ordinaria, dato che i controlli devono pur sempre rispondere a principi di proporzionalità e non eccedenza rispetto alle finalità legittime del trattamento..

Ha inoltre chiarito che:

La sentenza della Grande Camera della Corte di Strasburgo se da una parte giustifica, nel caso di specie, le telecamere nascoste, dall’altra conferma però il principio di proporzionalità come requisito essenziale di legittimazione dei controlli in ambito lavorativo.

L’installazione di telecamere nascoste sul luogo di lavoro è stata infatti ritenuta ammissibile dalla Corte solo perché, nel caso che le era stato sottoposto, ricorrevano determinati presupposti: vi erano fondati e ragionevoli sospetti di furti commessi dai lavoratori ai danni del patrimonio aziendale, l’area oggetto di ripresa (peraltro aperta al pubblico) era alquanto circoscritta, le videocamere erano state in funzione per un periodo temporale limitato, non era possibile ricorrere a mezzi alternativi e le immagini captate erano state utilizzate soltanto a fini di prova dei furti commessi.

La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di “gravi illeciti” e con modalità spazio-temporali tali da limitare al massimo l’incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria.

Il requisito essenziale perché i controlli sul lavoro, anche quelli difensivi, siano legittimi resta dunque, per la Corte, la loro rigorosa proporzionalità e non eccedenza: capisaldi della disciplina di protezione dati la cui “funzione sociale” si conferma, anche sotto questo profilo, sempre più centrale perché capace di coniugare dignità e iniziativa economica, libertà e tecnica, garanzie e doveri”.

 

Garante Privacy. Modello di notifica delle violazioni dei dati (Data Breach)

Il 30 luglio 2019 il Garante ha emanato il Provvedimento n. 157 in tema di notifica delle violazioni dei dati personali (Data Breach), contenente in allegato il modello da utilizzare detta notifica [Modello in PDF] [Ulteriori informazioni].

Poiché il Garante aveva già provveduto ad introdurre la notifica del Data Breach in diversi settori con proprio provvedimenti, prima ancora che la stessa fosse introdotta in maniera generalizzata nel Regolamento europeo (GDPR), con il provvedimento in questione il Garante ha provveduto a rendere uniformi i termini, i contenuti e le modalità della notifica.

Nel dispositivo del Provvedimento si prevede quanto segue:

a) i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, che forma parte integrante del presente provvedimento, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante;

b) i termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nel provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 (punto 1), nelle linee guida in materia di Dossier sanitario del 4 giugno 2015 (punto 2), nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 (punto 2);  nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013, nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011 (punto 5.2), si intendono eliminati e sostituiti dalla lett. a) del presente provvedimento, secondo i termini di cui in motivazione.

 

Garante Privacy emana Provvedimento recante le prescrizioni per il trattamento di categorie particolari di dati del 22.7.2019

Il Garante per la protezione dei dati personali ha emanato il provvedimento del 22 luglio 2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101.

Il provvedimento, in particolare, interviene in materia d trattamenti di dati particolari ex art. 9 GDPR con riguardo a:

a) rapporti di lavoro;

b) organismi di tipo associativo, fondazioni, chiese e associazioni o comunità religiose

c) investigatori privati

d) dati genetici

e) ricerca scientifica

Trattamento dei dati relativi alla salute in ambito sanitario: i chiarimenti del Garante

Il Garante ha emanato il provv. del 7 marzo 2019 contenente “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario“, con relativa “infografica“, a fonte di un quadro normativo da considerarsi ancora non definitivo.

Nel provvedimento si legge, in particolare, che: Continue reading “Trattamento dei dati relativi alla salute in ambito sanitario: i chiarimenti del Garante”

Garante e Autorizzazioni Generali (disposizioni ancora valide)

Con Provvedimento n. 497 del 13 dicembre 2018 (allegato 1), il Garante per la protezione dei dati personali, in forza dell’art. 21 del d.lgs. 101/2018, ha individuato le disposizioni ancora valide delle Autorizzazioni Generali al trattamento dei dati personali emanate nel 2016, successivamente prorogate (con Provvedimento n. 424 del 19 luglio 2018) nell’attesa che venissero definite le norme di coordinamento con la disciplina europea (GDPR).

Continue reading “Garante e Autorizzazioni Generali (disposizioni ancora valide)”