ENISA e valutazione di impatto (PIA)

L’ENISA (European Union Agency for Cybersecurity) ha fornito un interessante contributo per agevolare gli adempimenti in materia di protezione dei dati personali, soprattutto per le PMI.

Ha offerto, quale esito di un lavoro a cui ha preso parte anche il ns. Garante per la protezione dei dati personali, uno strumento online per la valutazione della sicurezza dei dati personali, utile sia ex art. 32 GDPR che per la valutazione di impatto ex art. 35 GDPR (On-line tool for the security of personal data processing).

Nell’ambito di tale strumento sono stati resi disponibili le seguenti risorse:

  1. uno strumento per la valutazione di impatto, basato sull’analisi dei rischi [ Evaluating the level of risk for a personal data processing operation ]
  2. uno strumento di self assessment concernente le misure di sicurezza implementate [ (Self)assessing the implemented security measures ]
  3. Una breve sintesi della metodologia applicata [Overview of the Methodology]
  4. Alcuni studi significativi in materia [Relevant ENISA studies]

Elaborati scritti, CV dei candidati e verbali di correzione degli elaborati relativi a concorso pubblico: no all’accesso civico, sì all’accesso ex l. 241/90

Su richiesta del Responsabile della prevenzione della corruzione e della trasparenza dell’Università degli Studi di Firenze, formulata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013, il Garante per la protezione dei dati personali ha fornito il proprio parere (n. 200 del 7 novembre 2019) relativo a una richiesta di riesame sul provvedimento di diniego di un accesso civico avente ad oggetto la richiesta di «Copie degli elaborati delle prove scritte, dei relativi verbali di correzione e dei curriculum vitae sottoposti da tutti i candidati nell’ambito della procedura concorsuale per l’accesso al 33° ciclo del corso di dottorato di ricerca in Scienze della Formazione e Psicologia».

Continue reading “Elaborati scritti, CV dei candidati e verbali di correzione degli elaborati relativi a concorso pubblico: no all’accesso civico, sì all’accesso ex l. 241/90”

Pubblicate le nuove Linee Guida sull’ambito di applicazione territoriale del GDPR

L’EDPB (European Data Protection Board – Comitato Europeo per la Protezione dei Dati), il 12 novembre 2019, ha adottato la versione aggiornata delle linee-guida sull’ambito territoriale, all’esito di una pubblica consultazione.

Come chiarito dal Garante in un suo recente comunicato stampa

“Le linee-guida forniscono chiarimenti sull’applicazione del Regolamento Ue 2016/679 in varie situazioni, ad esempio nel caso in cui il titolare o il responsabile del trattamento sia stabilito al di fuori del SEE, anche per quanto riguarda la designazione e il ruolo di un rappresentante ai sensi dell’articolo 27 del Regolamento stesso”.

“Il documento fornisce inoltre una serie di esempi volti a chiarire l’ambito di applicazione della disciplina di protezione dei dati tanto nel caso in cui venga in rilievo l’art. 3.1 (criterio dello stabilimento sul territorio) che l’art. 3.2 (criterio del targeting), oppure l’applicazione dell’art. 3.3 (criterio del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico)”.

CEDU, Grande Camera, sent. 17 ottobre 2019 (caso López Ribalda et al. v. Spagna). Ammissibilità e limiti all’uso di telecamere nascoste sul luogo di lavoro

La Corte Europea dei Diritti dell’Uomo (CEDU), Grande Camera, con sentenza del 17 ottobre 2019 nel caso  López Ribalda ed altri v. Spagna,  ha affermato la liceità, entro determinati limiti, dell’uso di telecamere nascoste nei luoghi di lavoro.

Il Presidente del Garante per la protezione dei dati personali, in un suo comunicato, a commento della sentenza, ha chiarito che tale pronuncia non deve legittimare la sorveglianza occulta nella prassi ordinaria, dato che i controlli devono pur sempre rispondere a principi di proporzionalità e non eccedenza rispetto alle finalità legittime del trattamento..

Ha inoltre chiarito che:

La sentenza della Grande Camera della Corte di Strasburgo se da una parte giustifica, nel caso di specie, le telecamere nascoste, dall’altra conferma però il principio di proporzionalità come requisito essenziale di legittimazione dei controlli in ambito lavorativo.

L’installazione di telecamere nascoste sul luogo di lavoro è stata infatti ritenuta ammissibile dalla Corte solo perché, nel caso che le era stato sottoposto, ricorrevano determinati presupposti: vi erano fondati e ragionevoli sospetti di furti commessi dai lavoratori ai danni del patrimonio aziendale, l’area oggetto di ripresa (peraltro aperta al pubblico) era alquanto circoscritta, le videocamere erano state in funzione per un periodo temporale limitato, non era possibile ricorrere a mezzi alternativi e le immagini captate erano state utilizzate soltanto a fini di prova dei furti commessi.

La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di “gravi illeciti” e con modalità spazio-temporali tali da limitare al massimo l’incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria.

Il requisito essenziale perché i controlli sul lavoro, anche quelli difensivi, siano legittimi resta dunque, per la Corte, la loro rigorosa proporzionalità e non eccedenza: capisaldi della disciplina di protezione dati la cui “funzione sociale” si conferma, anche sotto questo profilo, sempre più centrale perché capace di coniugare dignità e iniziativa economica, libertà e tecnica, garanzie e doveri”.

 

Nuovo Codice deontologico sui SIC (Sistemi di Informazioni Creditizie)

E’ stato emanato il nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (SIC, Sistemi di Informazioni Creditizie), proposto dalle associazioni di categoria e approvato dal Garante per la protezione dei dati personali, all’esito del lavoro di revisione del vecchio Codice deontologico, per adeguarlo alle modifiche introdotte sia dalla normativa europea (GDPR) e nazionale in materia di protezione dei dati personali, sia dagli ulteriori sviluppi tecnologici di settore (Fintech).

Continue reading “Nuovo Codice deontologico sui SIC (Sistemi di Informazioni Creditizie)”

Garante Privacy. Modello di notifica delle violazioni dei dati (Data Breach)

Il 30 luglio 2019 il Garante ha emanato il Provvedimento n. 157 in tema di notifica delle violazioni dei dati personali (Data Breach), contenente in allegato il modello da utilizzare detta notifica [Modello in PDF] [Ulteriori informazioni].

Poiché il Garante aveva già provveduto ad introdurre la notifica del Data Breach in diversi settori con proprio provvedimenti, prima ancora che la stessa fosse introdotta in maniera generalizzata nel Regolamento europeo (GDPR), con il provvedimento in questione il Garante ha provveduto a rendere uniformi i termini, i contenuti e le modalità della notifica.

Nel dispositivo del Provvedimento si prevede quanto segue:

a) i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, che forma parte integrante del presente provvedimento, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante;

b) i termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nel provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 (punto 1), nelle linee guida in materia di Dossier sanitario del 4 giugno 2015 (punto 2), nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 (punto 2);  nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013, nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011 (punto 5.2), si intendono eliminati e sostituiti dalla lett. a) del presente provvedimento, secondo i termini di cui in motivazione.

 

Trattamento dei dati relativi alla salute in ambito sanitario: i chiarimenti del Garante

Il Garante ha emanato il provv. del 7 marzo 2019 contenente “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario“, con relativa “infografica“, a fonte di un quadro normativo da considerarsi ancora non definitivo.

Nel provvedimento si legge, in particolare, che: Continue reading “Trattamento dei dati relativi alla salute in ambito sanitario: i chiarimenti del Garante”