Latuaprivacy.com, Folignano (2026)

10/08/2023

VIDEOSORVEGLIANZA E TRATTAMENTO DEI DATI BIOMETRICI: NON AFFIDARSI ALLA CONSULENZA DI UN PROFESSIONISTA PUÒ COSTARE MOLTO CARO.

È di qualche settimana fa la notizia delle sanzioni comminate dal Garante per la protezione dei dati personali ad un’azienda che utilizzava un sistema di videosorveglianza, di tracciamento GPS e di rilevazione di dati biometrici senza tener conto delle procedure di legge previste dallo Statuto dei lavoratori e dalle normative privacy.

Le violazioni sono emerse dall’ispezione avviata dall’Autorità garante in collaborazione con il Nucleo speciale tutela privacy della Guardia di finanza, a seguito di una segnalazione.
In particolare, con riferimento al sistema di videosorveglianza, è stato accertato che l’impianto, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni; il legale rappresentante della società e la sua famiglia avevano anche accesso da remoto attraverso uno smartphone. L’azienda inoltre utilizzava un applicativo che permetteva di tracciare tramite GPS e in modo continuativo la posizione dei dipendenti.
Come se questo non bastasse era stato implementato un sistema di allarme che veniva attivato e disattivato utilizzando l’impronta digitale dei dipendenti, senza tener conto del fatto che di regola il trattamento di tali dati biometrici è vietato in quanto dati sensibili/particolari e consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’art. 9 GDPR, cioè di una valida base legale che lo permetta. Nello specifico il Garante, con Ordinanza del 10/11/2022 aveva già ribadito che Il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie, trattamento che non deve violare i principi di minimizzazione e proporzionalità e che deve essere comunque preceduto da una specifica Valutazione d’impatto.

Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di localizzazione erano effettuati senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza era stata rilevata anche l’assenza di cartelli informativi in loco redatti secondo le ultime disposizioni della legislazione europea.

Oltre al pagamento della sanzione di 20.000 euro, il Garante ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e mediante il monitoraggio continuo delle posizioni del lavoratori.

Questo è solo uno dei tanti episodi di mancata osservanza degli obblighi previsti dalla legge in materia di videosorveglianza, di tracciamento e di trattamento dati sensibili, obblighi che le aziende che non ricevono un’adeguata consulenza da uno specialista spesso nemmeno conoscono.

Affidarsi a professionisti del settore per non incorrere in pesanti sanzioni è molto più semplice ed economico di quanto pensiate: LauaPrivacy.com opera nel settore privacy da molti anni e vanta una specifica professionalità certificata in materia di privacy, videosorveglianza e di IT security, con vasta esperienza negli audit di verifica di conformità, nella redazione della documentazione privacy e protezione dati, nella formazione aziendale.

Contattaci per informazioni:
www.latuaprivacy.com
[email protected]
telefono: 391 722 6233

17/02/2022

CAMPAGNA PUBBLICITARIA NON A NORMA: PESANTI SANZIONI ALLA SOCIETÀ COMMITTENTE

Chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Questa la decisione del Garante per la privacy nel sanzionare due società per l’invio di milioni di sms pubblicitari.

L’Autorità era intervenuta su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi indesiderati. Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere riscontri soddisfacenti su dove avessero acquisito i loro dati personali.

Nel corso dell’istruttoria, il Garante ha verificato che la società committente aveva incaricato un’azienda operante nel marketing di inviare sms promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri fornitori che a loro volta avevano acquisito le banche dati da terzi. In questa successione di passaggi, sul modello delle scatole cinesi, è emerso che i dati delle persone contattate provenivano da liste non verificate – con evidenti profili di illiceità – costituite da soggetti esteri con informazioni in parte derivanti da registrazioni a portali informativi o da concorsi online. Due list editor avevano dichiarato la propria sede in Florida e in Svizzera senza aver neppure nominato un proprio rappresentante in Italia, in violazione del GDPR. Al riguardo l’Autorità ha ricordato che l’ordinato svolgimento delle attività di marketing, con l’utilizzo di dati raccolti lecitamente e aggiornati, oltre ad evitare pericolose derive (quali phishing e truffe), giova al mercato stesso tutelando gli operatori virtuosi e rafforzando la fiducia degli interessati. È pertanto necessario adottare la massima diligenza nella selezione delle banche dati.

Il Garante ha quindi sanzionato la società committente per 400.000 euro, in quanto titolare del trattamento dei dati, per non aver mai verificato che l’azienda incaricata dell’attività promozionale eseguisse correttamente le istruzioni previste nel contratto.

Alla seconda società, in quanto fornitore del servizio di marketing, il Garante ha vietato l’uso di dati provenienti da fonti che non rispettino i requisiti minimi di legittimità e ha imposto una sanzione di 200.000 euro.

Una terza società, coinvolta nell’istruttoria per acquisire informazioni, ha ricevuto una sanzione di 90.000,00 euro per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di precedente sanzione.

Tutte le sanzioni sono state calcolate sulla base di vari parametri, tra il cui fatturato societario, il grado di collaborazione offerto e la gravità delle violazioni commesse.

(dalla newsletter del Garante per la protezione dei dati personali del 31/01/2022)

Siamo specializzati in consulenza privacy, contattaci
wwe.latuaprivacy.com

19/01/2022

GOOGLE ANALYTICS È ILLEGALE

I siti web che utilizzano Google Analytics violano la privacy degli utenti europei
(Avv. Nicola Bernardi - www.federprivacy.it - 19/01/2022)

L'autorità austriaca per la protezione dei dati (Datenschutzbehörde) ha dichiarato illegale l'uso di Google Analytics perché viola il Gdpr, e come nel caso dell’invalidazione del Privacy Shield da parte della Corte di Giustizia UE e in altre pronunce che in passato hanno avuto pesanti impatti sulla protezione dei dati personali europea, ancora una volta c’è lo zampino dell’attivista Max Schrems.

La decisione D155.027 GA del garante austriaco è stata infatti scaturita da una delle 101 diverse denunce presentate in varie nazioni dell’Unione Europea proprio a seguito della sentenza sul Privacy Shield da parte dell'ong austriaca Noyb, di cui Schrems è fondatore.

Nello specifico del caso austriaco, analizzando un sito web dedicato alla salute l’autorità di controllo ha riscontrato che tutti i siti che utilizzano Google Analytics di fatto esportano negli Stati Uniti dati personali dei visitatori come i loro indirizzi IP e i loro identificatori univoci che vengono memorizzati nei cookie, informazioni che in certi casi, secondo le leggi americane, possono essere poi fornite anche alle autorità, e anche per tale motivo l’alta corte europea con la sentenza nella causa C-311/18 del 16 luglio 2020 aveva stabilito che il Privacy Shield violasse il Gdpr.

A tale proposito, secondo l’Avv. Max Schrems, a distanza di un anno e mezzo dalla pronuncia della Corte di Giustizia UE, “invece di adattare i servizi per essere conformi al Gdpr, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia, e molte aziende dell'Unione ne hanno seguito l'esempio”.

Anche se colossi tecnologici come Microsoft, Facebook, Amazon, e lo stesso Google hanno continuato a trasferire sistematicamente i dati negli Usa, di fatto l'autorità austriaca ha adesso stabilito che i siti che utilizzano Google Analytics inoltrano i dati degli utenti alla multinazionale statunitense e perciò violano il Regolamento europeo sulla protezione dei dati, che prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato.

E a quanto si apprende dal sito dell’associazione Noyb, a quella del garante austriaco, “decisioni simili sono attese in altri stati membri dell'UE, poiché i regolatori hanno cooperato su questi casi in una task force dell’European Data Protection Board”, e “un provvedimento simile è stato già emesso anche dal Garante europeo della protezione dei dati la scorsa settimana". (EDPS)

Secondo lo stesso avvocato Schrems, le misure tecniche e organizzative come le “Standard Contractual Clauses” (SCC) e le “technical and organizational measures” (TOMs) non bastano a risolvere il problema del trasferimento di dati personali negli Stati Uniti, e “a lungo termine, sembrano esserci due opzioni: o gli Stati Uniti adattano le protezioni di base per gli stranieri per sostenere la loro industria tecnologica, o i fornitori statunitensi dovranno ospitare i dati stranieri fuori dagli Stati Uniti”.

13/01/2022

PRIVACY: SANZIONI STELLARI SENZA GARANZIE

Gdpr, perimetro delle sanzioni da zero a cifre esorbitanti che apre le porte all'indefinito senza garanzie.
(avv. Antonio Ciccia Messina - Italia Oggi Sette del 01/03/2021)

Le sanzioni per violazioni della privacy arrivano fino a 20 milioni di euro. Partendo da zero. Una forbice così larga da atterrire qualunque piccola e media impresa, professionista e anche ente pubblico. È quanto discende dalla possibilità di contestare la violazione di un articolo del regolamento europeo sulla protezione dei dati n. 2016/679 (Gdpr): si tratta dell'articolo 5, dedicato ai principi generali. È una questione sottile e sa anche un po' di trabocchetto.

Il Gdpr è un elenco di obiettivi da raggiungere, di obblighi e divieti. I quali, se non raggiunti, sono puniti con sanzioni amministrative: sanzioni che sono di importo stellare. Apparentemente ci sono due fasce, ma in realtà la fascia è una sola. La prima fascia va da zero a 10 milioni euro o, se superiore, al 2% del fatturato mondiale annuo delle imprese. La seconda fascia va da zero a 20 milioni euro o, se superiore, al 4% del fatturato mondiale annuo delle imprese.

La prima fascia sanziona i titolari di trattamento se non adempiono gli obblighi loro imposti. La seconda fascia sanziona le violazioni dei principi del Gdpr e dei diritti degli interessati. Tutto ciò solo in apparenza, perché l'articolo 5 Gdpr unifica tutto in una sola fascia, quella più alta, senza possibile di graduare la sanzione: la sanzione è la stessa sia per una violazione formale lievissima, sia per una violazione sostanziale gravissima. Vediamo perché. Innanzitutto la ragione sta in quello che dice l'articolo 5 citato. La norma in questione sciorina una serie di principi: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione.

E come non essere d'accordo? Certamente chi tratta dati altrui (una Pmi, un professionista, un ente pubblico) deve essere corretto e deve stare attento a non usare dati inesatti. Il problema, però, non è declamare astratti e incontestabili principi. Il problema è che l'articolo 5 non ha solo un valore di enunciazioni di principi, ma è anche un articolo dalla cui violazione deriva l'applicazione della sanzione fino a 20 milioni/4% del fatturato.

In sostanza, se uno viola la correttezza o l'esattezza o l'integrità o la riservatezza rischia una sanzione fino a 20 milioni di euro.

Ma cosa significa violare la correttezza o la trasparenza o la liceità? E ci saranno tanti elenchi di risposte quante le persone che rispondono. Inevitabile, allora, riflettere sul fatto che il Gdpr non descrive in maniera esatta le azioni e le omissioni che sono sanzionate. In sostanza l'articolo 5 usa parole di significato tanto ampio, che qualche cosa che non va si può sempre trovare.

Beninteso, non si intende discutere la lealtà delle autorità di controllo (amministrative e giurisdizionali), che si dà per scontata. Il problema è se sia leale la legge che scrive una norma sanzionatoria in bianco: norma che per di più è un ascensore che porta in su l'importo della sanzione.

Facciamo un esempio. Per essere a posto con il Gdpr un piccolo imprenditore deve adottare le misure di sicurezza adeguate per i propri computer, server a dispositivi elettronici. Lo impone l'articolo 32 Gdpr, dalla cui violazione scaturisce una sanzione fino a 10 milioni/2% del fatturato. Però l'articolo 5 impone di trattare i dati trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

E se non si rispetta l'articolo 5, la sanzione raddoppia (fino a 20 milioni/4% del fatturato). A questo punto non è ben chiaro quando si deve contestare l'articolo 32 e quando invece si deve contestare l'articolo 5, nella parte relativa alla sicurezza. Con la conseguenza che chi non adotta le misure di sicurezza non sa se andrà incontro alla sanzione prevista per la violazione dell'articolo 5 o dell'articolo 32 Gdpr. Questo significa, rimanendo al discorso sull'importo delle sanzioni, che per le violazioni delle misure di sicurezza la prospettiva è di subire una sanzione da zero a 20 milioni/4% del fatturato.

Ora non si mette in dubbio che le sanzioni debbano essere dure e disincentivanti, ma non è vero che l'effettività della regola sostanziale deriva da sanzioni di sproporzionata quantità. È vero che la protezione dei dati deve diventare una cultura diffusa, deve diventare un modo di pensare universale, ma è anche vero che un quadro sanzionatorio sproporzionato non aiuta.

Si ritiene, invece, che si debba costruire un sistema di punizioni basate su precetti chiari, se non tassativi, senza ripetizioni e sovrapposizioni e che abbia una scaletta di sanzioni adeguate alla gravità degli illeciti.

Avere una sola forbice di sanzioni dal nulla a cifre esorbitanti e insopportabili da una qualunque piccola o media impresa significa aprire le porte all'indefinito senza garanzie.

13/01/2022

LA TECNOLOGIA CI MINACCIA

I nostri dati, i nostri interessi, la nostra attività su internet hanno valore economico e spesso siamo minacciati da vecchi e nuovi strumenti tecnologici che usano ciò che raccolgono per finalità di marketing, ad esempio per inviarci annunci pubblicitari mirati, molto più efficaci della pubblicità generica.

Tra le varie tecnologie per raccogliere i nostri dati ricordiamo:

- File di log
- Cookie
- Contenuti traccianti

I file di log sono file di testo in cui viene registrata e documentata, presso l'internet service provider, tutta l'attività che un navigatore ha svolto in internet. Grazie ai log il gestore di un sito può conoscere quanti sono i visitatori, il tempo di permanenza nel sito, le pagine consultate ecc.

I cookie sono file di piccole dimensioni che vengono scritti nei nostri pc quando visitiamo un sito e che contengono dati ricavati dalla nostra navigazione. Si dividono in cookie tecnici, utilizzati per in funzionamento del sito e per ottimizzare la nostra navigazione ed in cookie di profilazione. I primi sono necessari per il corretto funzionamento del sito e non hanno bisogno del nostro consenso per essere utilizzati, mentre quelli di profilazione, utilizzati appunto per finalità di marketing necessitano di un nostro preliminare e specifico consenso, in mancanza del quale devono rimanere disattivati. Di norma viene data la possibilità all'utente di gestire l'utilizzo dei cookie da parte di un sito utilizzando un apposito banner, dove è possibile esprimere le nostre preferenze tramite il consenso c.d. "granulare", cioè specifico e distinto per ogni finalità di trattamento.

I contenuti traccianti invece sono delle porzioni di codice nascoste all'interno delle pagine web, i c.d. "snippet", utilizzati per tener traccia della nostra attività di navigazione e delle nostre interazioni, utilizzando questi dati per profilarci.

La profilazione è in questo caso un trattamento automatizzato utilizzato per analizzare le nostre preferenze personali, i nostri interessi, il nostro comportamento sul web, per catalogarci ed inviarci pubblicità mirata.

Ricordiamo che il GDPR prevede il diritto a non essere sottoposti a trattamenti automatizzati come la profilazione senza un nostro specifico consenso ed anche dopo aver espresso tale consenso conserviamo il diritto ad avere il controllo sul trattamento dei nostri dati, con la possibilità di richiedere informazioni o spiegazioni al titolare del trattamento, a contestare il trattamento, a richiedere un intervento umano ex-post ecc.

- segue in un prossimo articolo: La tecnologia ci protegge

------

(12/02/21, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: [email protected]

Short url: tinyurl.com/tecnologiaminaccia

13/01/2022

LA TECNOLOGIA CI PROTEGGE

La tecnologia a volte può essere una minaccia (vedi post), ma spesso può aiutarci a proteggere i nostri dati e la nostra privacy quando navighiamo in rete.

La crittografia informatica, ad esempio, è un sistema che, tramite l'utilizzo di un algoritmo matematico, offusca i nostri messaggi in modo da non rendere visibile il loro contenuto, con l'utilizzo di chiavi segrete che permettono al sistema di consentire l'accesso ai dati solo alle persone autorizzate. Un tipico esempio di crittografia asimmetrica (c.d. end-to-end) è quella utilizzata nelle chat di WhatsApp o simili.

La steganografia invece permette di nascondere un messaggio dentro un file, come un'immagine, un file audio o video ecc., in modo che senza la chiave di accesso non è possibile non solo leggere il messaggio, ma nemmeno rilevare la sua presenza.

Altre tecnologie che permettono di proteggerci su Internet sono le PET, Privacy Enhancing Technologies, tecnologie per il miglioramento della privacy.

Ricordiamo le seguenti:

- Subject-oriented PETS: consentono di limitare la nostra riconoscibilità durante la navigazione in internet, come la navigazione anonima (che in realtà nasconde la nostra cronologia di navigazione solo agli utilizzatori del nostro PC, mentre sulla rete quello che facciamo è perfettamente visibile), l'utilizzo di proxy anonimi per nascondere il nostro indirizzo IP (ma su richiesta delle Autorità i gestori del servizio sono obbligati a fornire ai nostri dati) e l'utilizzo della rete TOR (attualmente il sistema che ci dà la migliore possibilità di anonimato, anche se a scapito della velocità di navigazione, perché il traffico passa in maniera crittografata tramite diversi server gestiti da volontari e sparsi in tutto il globo, facendo perdere così le nostre tracce.

- Object-oriented PETS: permettono di proteggere la nostra navigazione tramite particolari tecnologie come i browser con protezione anti-tracciamento avanzata.

- Transaction-oriented PETS: assicurano la protezione dei nostri dati durante le transazioni su Internet, come specifici software che rimuovono file temporanei e cookie.

- System-oriented PETS: creano zone di interazione dove l'identità dei soggetti è nascosta, ad esempio i servizi di anonymous remailer, o l'utilizzo dei protocolli crittografici TLS o SSL.

Inoltre ricordiamo che il GDPR, Regolamento Europeo sulla Protezione dei Dati, ha posto particolare enfasi sui concetti di Privacy by Design e Privacy by Default, cioè sull'obbligo di incorporare i principi di protezione dei dati fin dalla fase della progettazione dell'hardware e del software e sull'obbligo che vengano trattati per impostazione predefinita solo i dati personali necessari e sufficienti per la finalità per la quale sono stati raccolti.

------

(17/02/21, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: [email protected]

Short url: tinyurl.com/tecnologiaprotegge

13/01/2022

IL REGISTRO DEI TRATTAMENTI

Il "Registro delle attività di trattamento" è uno dei principali adempimenti a carico del Titolare del trattamento dei dati personali ed è descritto nell'art. 30 del G.D.P.R.

È un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal Responsabile del trattamento.

Il Registro costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, deve essere esibito su richiesta al Garante, deve essere costantemente aggiornato e deve anche recare "in maniera verificabile" sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento.

Chi è tenuto alla redazione del Registro

Nell'ambito privato sono obbligati alla redazione del Registro:

- Imprese od organizzazioni con almeno 250 dipendenti
- Qualunque titolare o responsabile del trattamento (anche con meno di 250 dipendenti) che tratti dati particolari (sensibili) o giudiziari.
- Qualunque titolare o responsabile del trattamento (anche con meno di 250 dipendenti) che tratti dati in maniera stabile e non occasionale.
- Qualunque titolare o responsabile del trattamento (anche con meno di 250 dipendenti) il cui trattamento possa presentare un rischio (anche non elevato) per i diritti e le libertà degli interessati.

Per impresa si intende qualunque tipo di azienda, anche individuale, mentre tra le organizzazioni rientrano anche le associazioni, le fondazioni e i comitati.

Il requisito del trattamento di dati particolari, quindi, fa scattare automaticamente l'obbligo di redazione del Registro per ogni impresa od organizzazione che abbia anche solo un dipendente.

In base al parere dell'EDPB (European Data Protection Board, o Comitato europeo per la protezione dei dati), inoltre, il requisito di non occasionalità estende l'obbligo del Registro, ad esempio, anche ai liberi professionisti trattano dati personali altrui in maniera non occasionale o ad un sito web con un form di contatti.

Le FAQ sul Registro delle attività di trattamento, emanate l'8 ottobre 2018 dal Garante italiano per la protezione dei dati personali, fanno alcuni altri esempi di obbligo di redazione del Registro:

- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Quali informazioni deve contenere il Registro

Il Registro deve contenere tutta una serie di informazioni obbligatorie, tra le quali i recapiti e contatti del Titolare del trattamento, dei responsabili e dell'eventuale DPO, la descrizione delle finalità (e delle basi giuridiche) del trattamento, delle categorie degli interessati, dei destinatari oggetto di comunicazione dei dati personali, delle misure adeguate di sicurezza tecniche ed organizzative adottate nella protezione dei dati, dei termini o criteri utilizzati nella cancellazione dei dati, oltre che i criteri utilizzati nei trasferimenti di dati verso un paese terzo o un’organizzazione internazionale.

Il G.D.P.R. prevede inoltre che anche i Responsabili del trattamento, nominati dal Titolare, (ad esempio il commercialista o il consulente del lavoro) debbano tenere un registro simile in relazione alle attività svolte per conto del titolare, con contenuti simili a quanto sopra descritto.

Come si vede dunque, la stesura e l'aggiornamento del Registro delle attività di trattamento dei dati diventa quasi sempre obbligatoria o comunque è fortemente consigliata, indipendentemente dal tipo di impresa od organizzazione, dalla sua dimensione o dal tipo di attività svolta.

------

(22/01/19, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: [email protected]

Short url: tinyurl.com/registrotrattamenti

13/01/2022

LA VALUTAZIONE D'IMPATTO

La valutazione d'impatto sulla protezione dei dati (in inglese D.P.I.A. Data Protection Impact Assessment) è uno dei nuovi adempimenti del nuovo Regolamento Europeo sulla protezione dei dati e sostituisce il precedente obbligo generale di notifica alle autorità di controllo del trattamento dei dati personali.

Il D.P.I.A. è un processo, da effettuare preliminarmente al trattamento, volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo.

Per meglio definire se un'azienda è soggetta a tale obbligo, l'authority italiana, il Garante per la protezione dei dati personali, ha emanato il provvedimento n. 467 dell’11 ottobre 2018 (pubblicato nella Gazzetta Ufficiale n. 269 del 19 novembre 2018) individuando espressamente i tipi di operazioni che possono presentare rischi elevati per i diritti e le libertà e quindi soggetti alla Valutazione d'impatto sulla protezione dei dati personali.

Cosa prevede il G.D.P.R.

Il Regolamento Europeo prevede che la Valutazione d'impatto è obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone.
In particolare nelle linee guida vengono individuati i seguenti casi specifici:

- Trattamenti valutativi o di scoring (compresa la profilazione) sul rendimento professionale, la salute, la situazione economica, le preferenze personali, l'ubicazione o gli spostamenti degli interessati.
- Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni), compresa la profilazione.
- Monitoraggio sistematico di dati personali, come nel caso di dati raccolti tramite reti o di sorveglianza sistematica su larga scala di una zona accessibile al pubblico, ad esempio con la videosorveglianza.
- Trattamento di dati sensibili/particolari (come quelli relativi alla salute), giudiziari o di natura estremamente personale (come le opinioni politiche).
- Trattamento dati personali su larga scala, tenendo conto del numero di interessati (anche in proporzione alla popolazione locale), del volume dei dati e della persistenza del trattamento.
- Creazione di corrispondenze o combinazione di insiemi di dati, es. Big Data.
- Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
- Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi indossabili, dispositivi IoT, ecc.).
- Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

È sufficiente quindi, secondo il GDPR, che sussistano almeno due di queste nove condizioni per rendere obbligatorio il D.P.I.A.

Cosa prevede il provvedimento del Garante Italiano

Il Garante quindi ha ulteriormente specificato i casi in cui è obbligatoria la valutazione d'impatto:

- Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”.
- Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
- Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza ecc.
- Trattamenti su larga scala di dati aventi carattere estremamente personale: si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
- Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.
- Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
- Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi indossabili; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati dalle linee guida G.D.P.R. (vedi sopra).
- Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
- Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
- Trattamenti di categorie sensibili/particolari di dati oppure di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse.
- Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
- Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Come si vede dunque, tenendo conto degli esempi riportati dalle linee guida del G.D.P.R. e di quanto stabilito dal Garante, i trattamenti dati soggetti a D.P.I.A. sono numerosi e la Valutazione d'impatto si configura come uno degli strumenti più importanti nella nuova disciplina della Privacy.

------

(06/01/19, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: [email protected]

Short url: tinyurl.com/valutazioneimpatto

Latuaprivacy.com

10/08/2023

17/02/2022

19/01/2022

13/01/2022

13/01/2022

13/01/2022

13/01/2022

13/01/2022

Indirizzo

Telefono

Sito Web

Notifiche

Scelte rapide

Condividi