Posted on

Garante emana provvedimento di autorizzazione per il trattamento con l’App Immuni

Con riferimento al trattamento di dati personali effettuato attraverso il Sistema di allerta Covid-19 App Immuni, il Garante, con provvedimento n. 95 del 1 giugno 2020, ha autorizzato

 “ai sensi e per gli effetti degli artt. 36, § 5, e 58, § 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, (…) il Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19 di cui all’art. 6 del d.l. 30 aprile 2020, n. 20, nel rispetto delle seguenti prescrizioni:

1) indicare puntualmente nella valutazione d’impatto, l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, aggiornandolo costantemente, specificando i parametri di configurazione impiegati e le assunzioni effettuate, rendendolo disponibile alla comunità scientifica (§2);

2) informare adeguatamente gli utenti in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio, in ragione della possibilità di contatto con persone positive al Covid-19 a causa della propria attività lavorativa, in condizioni tuttavia caratterizzate da un adeguato grado di protezione (§2);

3) consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche visualizzate all’atto dell’istallazione dell’applicazione (§ 2);

4) individuare modalità adeguate a proteggere gli analytics nel backend di Immuni, evitandone ogni forma di riassociazione a soggetti identificabili, adottando altresì idonee misure di sicurezza e tecniche di anonimizzazione, da individuarsi in ragione delle specifiche finalità in concreto perseguite, nel rispetto dei principi di privacy by design e by default (§3);

5) precisare, nel modello di informativa, la descrizione delle operazioni effettuate con riferimento agli analytics di tipo Epidemiological Info e dei dati personali raccolti in relazione alle diverse categorie di interessati (§ 4.1);

6) dedicare particolare attenzione all’informativa e al messaggio di allerta tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni (§ 4.1);

7) fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione (§ 4.1 e 8);

8) integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione (§ 4.2);

9) integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti lì citati o suscettibili, comunque, di coinvolgimento nel Sistema Immuni, evidenziando la sussistenza di eventuali rischi per gli interessati i cui dati siano trattati dal sistema (§ 6);

10) commisurare i tempi di conservazione degli indirizzi ip, per i fini e nei termini richiamati, nella misura strettamente necessaria al rilevamento di anomalie e di attacchi (§ 7.3);

11) introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati (§ 7.3);

12) adottare misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici (§ 7.3);

b) ai sensi e per gli effetti dell’art. 157 del Codice, richiede al Ministero della salute di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel presente provvedimento, entro il termine di 30 giorni dalla data della ricezione del presente provvedimento.

(…)”.

Posted on

ODV e ruolo privacy. Il Parere del Garante

Il Garante per la protezione dei dati personali ha emanato, il 21 maggio 2020, il Parere sulla qualificazione soggettiva, ai fini privacy, degli Organismi di Vigilanza (OdV) previsti dall’art. 6 del D.Lgs. n. 231/2001.

Più precisamente, anziché inquadrare l’OdV in sé (nonostante la possibilità offerta dalla normativa di riferire la figura del Titolare e quella del Responsabile, verbatim, anche ad un “organismo”) si è scelto di non dare rilevanza autonoma all’organo, ma di inquadrare il ruolo soggettivo degli individui che lo compongono.

Tuttavia, pur rimarcando il carattere di autonomia e indipendenza dell’OdV derivante dalla disciplina di cui al D.Lgs. 231/2001, il parere ha finito per inquadrare i componenti tra i soggetti autorizzati (o designati) ex art. 29 GDPR e 2 quaterdecies del Codice della privacy, ossia tra i soggetti che operano “sotto l’autorità” diretta e “sotto la responsabilità” del titolare.

Non mancano talune incongruenze sotto il profilo sistematico.

Posted on

ENISA e valutazione di impatto (PIA)

L’ENISA (European Union Agency for Cybersecurity) ha fornito un interessante contributo per agevolare gli adempimenti in materia di protezione dei dati personali, soprattutto per le PMI.

Ha offerto, quale esito di un lavoro a cui ha preso parte anche il ns. Garante per la protezione dei dati personali, uno strumento online per la valutazione della sicurezza dei dati personali, utile sia ex art. 32 GDPR che per la valutazione di impatto ex art. 35 GDPR (On-line tool for the security of personal data processing).

Nell’ambito di tale strumento sono stati resi disponibili le seguenti risorse:

  1. uno strumento per la valutazione di impatto, basato sull’analisi dei rischi [ Evaluating the level of risk for a personal data processing operation ]
  2. uno strumento di self assessment concernente le misure di sicurezza implementate [ (Self)assessing the implemented security measures ]
  3. Una breve sintesi della metodologia applicata [Overview of the Methodology]
  4. Alcuni studi significativi in materia [Relevant ENISA studies]
Posted on

Elaborati scritti, CV dei candidati e verbali di correzione degli elaborati relativi a concorso pubblico: no all’accesso civico, sì all’accesso ex l. 241/90

Su richiesta del Responsabile della prevenzione della corruzione e della trasparenza dell’Università degli Studi di Firenze, formulata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013, il Garante per la protezione dei dati personali ha fornito il proprio parere (n. 200 del 7 novembre 2019) relativo a una richiesta di riesame sul provvedimento di diniego di un accesso civico avente ad oggetto la richiesta di «Copie degli elaborati delle prove scritte, dei relativi verbali di correzione e dei curriculum vitae sottoposti da tutti i candidati nell’ambito della procedura concorsuale per l’accesso al 33° ciclo del corso di dottorato di ricerca in Scienze della Formazione e Psicologia».

Continue reading “Elaborati scritti, CV dei candidati e verbali di correzione degli elaborati relativi a concorso pubblico: no all’accesso civico, sì all’accesso ex l. 241/90”
Posted on

Nasce la Global Privacy Assembly (GPA), la Conferenza Mondiale dei Garanti Privacy. Adottate 6 Risoluzioni in materia di protezione dei dati personali.

Dal 15 novembre 2019 la Conferenza Internazionale delle Autorità per la Protezione dei Dati (ICDPPC) si è trasformata nella Global Privacy Assembly (GPA), un nuovo organismo permanente, più strutturato ed operativo, a cui aderiscono attualmente 124 autorità con competenza in materia di protezione dei dati personali di oltre 80 diversi Paesi del mondo.

Si tratta di una delle strategie maturate nel corso della quarantunesima conferenza internazionale delle Autorità per la protezione dei dati (ICDPPC), che si è svolta a Tirana (Albania) dal 21 al 24 ottobre 2019 sul tema “Convergence and connectivity raising global data protection standards in the digital age”.

Come precisato anche dal nostro Garante per la protezione dei dati personali, che ha partecipato ai lavori, nella predetta conferenza

a) sono state tracciate le ulteriori linee strategiche concordate a livello mondiale: “il riconoscimento della privacy come diritto fondamentale per il buon funzionamento delle democrazie, lotta sui social media ai messaggi inneggianti al terrorismo, più intensa cooperazione tra le Autorità che tutelano i dati personali e quelle che operano a tutela dei consumatori e della concorrenza, riduzione dell’errore umano nelle violazioni dei dati”;

b) sono state adottate, nell’ambito di un programma di lavoro comune (per tutte le oltre 120 autorità intervenute) che possa rafforzare la protezione dei dati su scala globale;

c) sono state adottate sei Risoluzioni su temi nevralgici, ricapitolate nella newsletter del Garante italiano del 28 novembre 2019:

La Risoluzione sulla privacy come diritto umano fondamentale e prerequisito per l’esercizio di altri diritti fondamentali”, che ha visto come co-sponsor il Garante italiano, riconosce il ruolo fondamentale di questo diritto per il corretto funzionamento delle democrazie sottoposte, tra l’altro, ai rischi generati dalla profilazione e dall’uso di messaggi manipolatori in campo politico. A tale proposito, è stato chiesto un fattivo intervento anche a governi, legislatori e mondo imprenditoriale.

Nella “Risoluzione sul ruolo dell’errore umano nei data breaches” viene messa in evidenza la necessità di un’adeguata formazione del personale, di ulteriori misure per la riduzione del rischio e della costituzione di un archivio globale dove tener traccia delle violazioni. 

La “Risoluzione sulla promozione di strumenti pratici di breve e lunga durata e una continuativa strategia giuridica per un’efficace cooperazione nell’enforcement transnazionale” propone, tra i vari punti, la mappatura di eventuali impedimenti giuridici riscontrati nelle procedure di cooperazione, così da favorire l’individuazione di apposite soluzioni.

La “Risoluzione per supportare e facilitare la cooperazione tra Autorità di protezione dati e le competenti autorità per la tutela dei consumatori e della concorrenza, al fine di raggiungere standard di protezione dati chiari e globalmente elevati nell’economia digitale” amplia lo spettro di azione dei Garanti privacy, chiedendo un coordinamento maggiore con altri importanti regolatori del mercato digitale.

La “Risoluzione sui social media e i contenuti online di natura violenta ed estremista” propone misure urgenti contro i messaggi d’odio, senza limitare il diritto di espressione.

Nel corso dei lavori è stata adottata anche una risoluzione che delinea il piano d’azione della Conferenza fino al 2021. A tal proposito, è stato deciso di garantire un’organizzazione più strutturata alla rete globale di Autorità privacy (ICDPPC), trasformandola, già a partire dal 15 novembre 2019, in un nuovo organismo permanente, più visibile e operativo, la Global Privacy Assembly (GPA).


Posted on

Pubblicate le nuove Linee Guida sull’ambito di applicazione territoriale del GDPR

L’EDPB (European Data Protection Board – Comitato Europeo per la Protezione dei Dati), il 12 novembre 2019, ha adottato la versione aggiornata delle linee-guida sull’ambito territoriale, all’esito di una pubblica consultazione.

Come chiarito dal Garante in un suo recente comunicato stampa

“Le linee-guida forniscono chiarimenti sull’applicazione del Regolamento Ue 2016/679 in varie situazioni, ad esempio nel caso in cui il titolare o il responsabile del trattamento sia stabilito al di fuori del SEE, anche per quanto riguarda la designazione e il ruolo di un rappresentante ai sensi dell’articolo 27 del Regolamento stesso”.

“Il documento fornisce inoltre una serie di esempi volti a chiarire l’ambito di applicazione della disciplina di protezione dei dati tanto nel caso in cui venga in rilievo l’art. 3.1 (criterio dello stabilimento sul territorio) che l’art. 3.2 (criterio del targeting), oppure l’applicazione dell’art. 3.3 (criterio del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico)”.

Posted on

CEDU, Grande Camera, sent. 17 ottobre 2019 (caso López Ribalda et al. v. Spagna). Ammissibilità e limiti all’uso di telecamere nascoste sul luogo di lavoro

La Corte Europea dei Diritti dell’Uomo (CEDU), Grande Camera, con sentenza del 17 ottobre 2019 nel caso  López Ribalda ed altri v. Spagna,  ha affermato la liceità, entro determinati limiti, dell’uso di telecamere nascoste nei luoghi di lavoro.

Il Presidente del Garante per la protezione dei dati personali, in un suo comunicato, a commento della sentenza, ha chiarito che tale pronuncia non deve legittimare la sorveglianza occulta nella prassi ordinaria, dato che i controlli devono pur sempre rispondere a principi di proporzionalità e non eccedenza rispetto alle finalità legittime del trattamento..

Ha inoltre chiarito che:

La sentenza della Grande Camera della Corte di Strasburgo se da una parte giustifica, nel caso di specie, le telecamere nascoste, dall’altra conferma però il principio di proporzionalità come requisito essenziale di legittimazione dei controlli in ambito lavorativo.

L’installazione di telecamere nascoste sul luogo di lavoro è stata infatti ritenuta ammissibile dalla Corte solo perché, nel caso che le era stato sottoposto, ricorrevano determinati presupposti: vi erano fondati e ragionevoli sospetti di furti commessi dai lavoratori ai danni del patrimonio aziendale, l’area oggetto di ripresa (peraltro aperta al pubblico) era alquanto circoscritta, le videocamere erano state in funzione per un periodo temporale limitato, non era possibile ricorrere a mezzi alternativi e le immagini captate erano state utilizzate soltanto a fini di prova dei furti commessi.

La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di “gravi illeciti” e con modalità spazio-temporali tali da limitare al massimo l’incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria.

Il requisito essenziale perché i controlli sul lavoro, anche quelli difensivi, siano legittimi resta dunque, per la Corte, la loro rigorosa proporzionalità e non eccedenza: capisaldi della disciplina di protezione dati la cui “funzione sociale” si conferma, anche sotto questo profilo, sempre più centrale perché capace di coniugare dignità e iniziativa economica, libertà e tecnica, garanzie e doveri”.

 

Posted on

Garante Privacy. Modello di notifica delle violazioni dei dati (Data Breach)

Il 30 luglio 2019 il Garante ha emanato il Provvedimento n. 157 in tema di notifica delle violazioni dei dati personali (Data Breach), contenente in allegato il modello da utilizzare detta notifica [Modello in PDF] [Ulteriori informazioni].

Poiché il Garante aveva già provveduto ad introdurre la notifica del Data Breach in diversi settori con proprio provvedimenti, prima ancora che la stessa fosse introdotta in maniera generalizzata nel Regolamento europeo (GDPR), con il provvedimento in questione il Garante ha provveduto a rendere uniformi i termini, i contenuti e le modalità della notifica.

Nel dispositivo del Provvedimento si prevede quanto segue:

a) i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, che forma parte integrante del presente provvedimento, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante;

b) i termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nel provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 (punto 1), nelle linee guida in materia di Dossier sanitario del 4 giugno 2015 (punto 2), nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 (punto 2);  nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013, nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011 (punto 5.2), si intendono eliminati e sostituiti dalla lett. a) del presente provvedimento, secondo i termini di cui in motivazione.