Articoli

Il trattamento dei dati e il rispetto della privacy ai tempi del Coronavirus

Il lungo lockdown ha messo in difficoltà tantissime imprese, le quali trovano adesso a ripartire in uno scenario decisamente differente. L’obiettivo è quello di far ripartire l’economia, e allo stesso tempo continuare a contenere il contagio da Covid-19.

Per questo motivo le imprese sono tenute a mantenere per quanto possibile il distanziamento sociale, ad aumentare al massimo le misure per la sanificazione degli ambienti, nonché a controllare i propri dipendenti, fornitori e clienti.

Proprio la necessità di andare a trattare un’ampia mole di dati riservati che in precedenza non venivano gestiti dalle imprese, rimette la privacy al centro dell’attenzione in questa ripartenza: durante la Fase due, infatti, il tema del trattamento dei dati sta tornando decisamente centrale, e le aziende sono chiamate ad adottare i giusti strumenti per la gestione della privacy, nel pieno rispetto delle normative vigenti.

Privacy e Coronavirus: i nuovi aspetti per le aziende

Il rispetto della privacy, per via dell’entrata in vigore del GDPR, ovvero del Regolamento europeo in materia di trattamento dei dati personali e di privacy, è stato uno tra i temi centrali negli ultimi anni, viste soprattutto le sanzioni previste per le aziende che non si adeguano alla normativa (va ricordato infatti che si parla di sanzioni che possono arrivare fino al 4% del fatturato).

Nemmeno il Coronavirus manda in quarantena la privacy, anzi: la corretta gestione dei dati sensibili diventa ancora più importante durante l’emergenza Covid-19, poiché cresce il numero di informazioni personali che l’azienda è chiamata esaminare e conservare. Da una parte ci sono infatti tutti i dati personali relativi al lavoro agile, metodo di lavoro adottato in massa dalle imprese italiane a partire dal lockdown; dall’altra ci sono tutti i dati personali relativi al contenimento diretto del virus, dalla misurazione della temperatura dei dipendenti all’accesso in poi.

Va sottolineato che la raccolta di informazioni sullo stato di salute e sui movimenti dei dipendenti, dei fornitori e degli eventuali visitatori è di fatto classificata come trattamento di dati personali, e come tale deve essere svolta seguendo il Regolamento UE 2016/79 e le altre normative in materia di protezione dei dati personali.

Tutti i dati raccolti durante la gestione della sicurezza, dalle rilevazioni della temperatura alle eventuali comunicazioni di situazioni di pericolo da parte dei dipendenti (che dovrebbero essere effettuate attraverso canali di comunicazione appositamente istituiti dall’azienda), devono essere conservati solo per il tempo necessario, e quindi cancellati nel momento in cui non più utili per la gestione dell’emergenza sanitaria.

Privacy e Covid-19: il trattamento dei dati sanitari dei dipendenti

Vale la pena concentrarsi velocemente sui dati che più degli altri risultano “nuovi” per l’azienda, ovvero quello relativi alle condizioni di salute dei propri dipendenti al momento dell’accesso in sede.

Nell’attuamento dei protocolli sanitari, infatti, le aziende possono non solo chiedere informazioni ai dipendenti circa i loro spostamenti e il loro stato di salute, ma possono fare di più, ovvero rilevare la loro temperature corporea per ridurre al minimo le possibilità di permettere l’accesso a persone contagiate.

Questa possibilità si estende, oltre che ai dipendenti, anche a eventuali fornitori. Per fare tutto questo è necessario porre in essere delle precise attività di protezione dei dati seguendo il GDPR, rispettando quindi i principi di necessità, adeguatezza e pertinenza e minimizzazione dei dati, con la creazione di un’informativa specifica e con l’individuazione del personale autorizzato.

Sia la raccolta che il trattamento dei dati dovranno essere effettuati garantendo in ogni passo dignità e riservatezza ai soggetti coinvolti. E questi, va detto, sono solamente i principali aspetti da prendere in considerazione nell’applicare il GDPR all’emergenza Covid-19.

Il trattamento dei dati relativi allo smart working da una parte e la gestione della privacy in un contesto peculiare come quello del contenimento del Coronavirus dall’altra rendono indispensabile per le aziende poter contare su un supporto efficace per adempiere senza rischi al GDPR.

 

Fonte: AziendaDigitale

E-mail, WhatsApp e la privacy degli utenti: le misure di sicurezza e i fronti critici

A quasi due anni dalla piena operatività delle disposizioni del GDPR, alcuni strumenti di trattamento dati vengono spesso sottovalutati in un’ottica di compliance: nello specifico, nell’utilizzo di account mail e servizi di messaggistica istantanea come WhatsApp, il trattamento dati svolto per proprio conto dai fornitori di tali servizi non sempre viene gestito in maniera adeguata, esponendosi a violazioni e sanzioni e con pesanti ripercussioni sulla privacy degli utenti.

L’esternalizzazione del trattamento

Affidare un determinato servizio ad un soggetto terzo, può spesso implicare anche una esternalizzazione del trattamento di dati personali.

In un’ottica di responsabilizzazione e consapevolezza, il titolare del trattamento è tenuto ad avere una visione chiara del flusso dei trattamenti e di tutti i soggetti che a vario titolo sono in esso coinvolti.

Laddove il trattamento svolto dal fornitore rientri nello schema titolare/responsabile, conformemente a quanto previsto dall’art. 28 del GDPR, sarà necessario predisporre o verificare l’esistenza di un contratto o altro atto giuridico che stabilisca le responsabilità a carico del fornitore, disciplinando in concreto la raccolta, l’elaborazione, l’utilizzo e la conservazione di dati personali che gli vengono affidati, così come i vincoli connessi a tali trattamenti.

Tale accordo volto a regolare i rapporti tra titolare e responsabile è uno dei punti cardine del GDPR e del principio di accountability. Esso dimostra infatti che il titolare ha posto in essere una scelta ponderata e consapevole, imponendo al fornitore che effettui trattamenti per proprio conto una serie di obblighi e garanzie volti a tutelare la sicurezza dei dati e i diritti degli interessati.

In linea di massima, tale atto dovrebbe prendere forma su iniziativa del titolare, in quanto è tale soggetto che conosce le specifiche dei trattamenti e che ne analizza i rischi connessi, senza tralasciare infine che è in capo ad egli che permangono tutte le responsabilità. È però altrettanto vero che in molti casi il titolare si trova in una posizione di svantaggio rispetto al fornitore/responsabile.

I rapporti di forza contrattuali non sempre riflettono la relazione gerarchica prevista dalla normativa sui dati personali e il titolare si trova in diversi casi ad avere un potere contrattuale decisamente inferiore al responsabile.

È difficile pensare che una realtà aziendale che opera a livello nazionale o addirittura internazionale con un enorme quantitativo di clienti possa analizzare e siglare singoli accordi in termini di trattamento di dati personali svolti per conto dei clienti, con ognuno di essi.

In queste ipotesi è sicuramente più probabile che sia il fornitore a predisporre un Data Protection Agreement (DPA) in cui riconosce il suo ruolo di responsabile e comunica al cliente/titolare i propri obblighi e tutte le garanzie offerte.

Sarà dunque interesse del cliente/titolare verificare innanzitutto l’esistenza di tale DPA, valutandone poi il contenuto per capire se le garanzie offerte rispondano alle esigenze della propria specifica realtà organizzativa e, eventualmente, confrontandole con quelle offerte da altri fornitori.

Account di posta elettronica

Sul fatto che i fornitori di servizi di posta elettronica trattino dati personali in qualità di responsabili del trattamento non ci sono dubbi, lo stesso Garante lo ha ribadito in precedenti provvediment. Nonostante questo, però nell’utilizzo di tale strumento non sempre viene prestata la dovuta attenzione.

Tra le imprese e i professionisti sono ancora numerosi coloro che si avvalgono di account mail di tipo gratuito violando di fatto le disposizioni del GDPR in materia. I provider gratuiti, infatti, non consentono a chi li utilizza di soddisfare il principio di accountability per diversi motivi.

Da un lato, non tutti garantiscono un adeguato livello di controllo sulla sicurezza. In taluni casi non c’è neanche la garanzia che i dati ricavati dalle e-mail non vengano utilizzati per scopi di profilazione, o addirittura la possibilità che, in caso di inattività prolungata, la casella venga disattivata e i messaggi in essa contenuti eliminati.

Dall’altro, trattandosi di servizi pensati per utenti privati – e in quanto tali non soggetti alle disposizioni del GDPR – il fornitore non è tenuto a riconoscere nessun ruolo di responsabile del trattamento e tutti gli obblighi che da tale ruolo derivano e, conseguentemente, non esiste alcun DPA a cui poter fare riferimento. E appare ancora più difficile l’ipotesi di poter negoziare singolarmente con il fornitore del servizio di posta elettronica un accordo ex art.28.

Prendiamo ad esempio il caso di Google che propone due tipologie di account: uno gratuito e uno pensato per gli utenti business (in abbinamento al servizio cloud). Sebbene anche nel caso di account mail gratuito le misure di sicurezza offerte potrebbero in taluni casi anche essere considerate adeguate in termini di protezione da accessi non autorizzati e da alterazione, divulgazione e distruzione non autorizzate (crittografia, controllo di sicurezza, verifica a due passaggi ecc.), nulla viene esplicitato in termini di gestione e comunicazione dei data breach, eventuale ricorso a sub-responsabili, e così via.

E questo non per una mancanza di Google, ma per il semplice fatto che l’utilizzo di gmail non è pensato per utenti titolari del trattamento soggetti all’applicazione del Regolamento europeo.

Se consideriamo invece Gsuite, account mail di Google in versione business, la situazione è nettamente diversa. In questo caso, infatti, Google prevede un DPA in cui riconosce il suo ruolo di responsabile del trattamento e tutte le specifiche sul trattamento dati e le garanzie richieste dall’art.28: finalità del trattamento, modalità di cancellazione dei dati, sicurezza dei dati, notifica di eventuali violazioni dati e relative informazioni fornite, assistenza nello svolgimento della valutazione d’impatto, garanzie nel caso in cui a sub-responsabili, trasferimento dati e via dicendo.

Le misure di sicurezza, inoltre, sono ulteriormente approfondite nell’Appendix 2, fornendo informazioni dettagliate a riguardo, consentendo in questo modo al cliente/titolare di poter fare tutte le valutazioni del caso.

Alla luce di questo esempio, appare evidente che la scelta del provider di posta elettronica non può essere casuale, ma deve necessariamente tener conto dell’utilizzo aziendale a cui è destinato e della necessità di soddisfare i requisiti del Regolamento, art.28 in primis. Gsuite, ovviamente, è solo una delle possibilità.

Diversi sono infatti i fornitori (ad esempio Aruba, Microsoft ecc.) che prevedono account mail in versione business in grado di offrire una serie di strumenti che consentono al titolare di amministrare centralmente l’account, consentendogli di esercitare il proprio controllo e applicare, laddove necessario, misure di mitigazione come disabilitare gli accessi, cancellare i dati salvati e così via.

Si tratta solo di individuare il servizio che meglio risponda alle proprie esigenze, ma sempre e comunque nel rispetto del Regolamento.

WhatsApp e la privacy degli utenti

Le applicazioni di messaggistica istantanea come WhatsApp sono nate principalmente per un uso personale. Nel corso del tempo, però, questa modalità di comunicazione si è sempre più affermata anche tra imprese e professionisti.

Laddove si intenda utilizzare questi strumenti per interagire con i propri clienti e fornitori o per comunicare con i propri dipendenti e collaboratori è però indispensabile considerare e rispettare i principi del GDPR.

Il trattamento dati svolto per proprio conto dai fornitori dei servizi di messaggistica istantanea, pertanto, dovrà necessariamente soddisfare i requisiti del Regolamento, art.28 in primis.

Come nel caso degli account di posta elettronica, la versione gratuita di WhatsApp, non offre le dovute garanzie e il suo utilizzo non può essere considerato GDPR compliant. Se da un lato l’utilizzo della cifratura end-to-end garantisce una certa sicurezza in termini di protezione dei dati in transito da eventuali attacchi di intercettazione, assicurando che solo il mittente e il destinatario abbiano le chiavi per poter aprire e leggere i messaggi, manca per il titolare la possibilità di esercitare un effettivo controllo sui dati, nonché l’accordo scritto che imponga al fornitore del servizio gli obblighi richiesti dall’art. 28.

Accordo che invece è stato predisposto per i servizi di WhatsApp Business. In questo caso, infatti, vengono individuati all’interno del documento Termini per il trattamento dei dati di WhatsApp Business gli obblighi di WhatsApp in qualità di responsabile del trattamento.

In tale documento, la società che fa capo a Facebook, riconosce tra i suoi obblighi:

• implementazione di misure tecniche e organizzative adeguate alla protezione dei dati;
• notifica senza ingiustificato ritardo di eventuali data breach;
• assistenza all’utente per dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
• assistenza nel garantire gli obblighi di cui agli articoli da 32 a 36 del GDPR;
• disponibilità a mettere a disposizione – dietro richiesta – tutte le informazioni ragionevolmente necessarie per dimostrare la conformità di WhatsApp ai suoi obblighi legali in qualità di responsabile del trattamento;
• rispetto della normativa nell’affidamento dei propri obblighi ad altri responsabili del trattamento, mediante accordo scritto che imponga agli altri responsabili i medesimi obblighi gravanti su WhatsApp;
• trasferimento dei dati personali sulla base dello Scudo UE-USA e delle clausole contrattuali standard approvate dalla Commissione Europea.

Conclusioni

Alla luce del principio di accountability che sta alla base della normativa che disciplina il trattamento di dati personali, la scelta dei fornitori deve necessariamente tener conto dei processi aziendali coinvolti e dei flussi di dati ad essi connessi, prestando particolare attenzione alla disciplina dei rapporti con i soggetti che ne prendono parte.

Il fornitore che tratta i dati personali per conto del cliente/titolare, dovrà essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché garantire la tutela dei diritti dell’interessato.

Non dimentichiamoci, infatti, che il titolare del trattamento risponde in prima persona della gestione effettuata dal responsabile e, proprio per questo, è di assoluta importanza ricorrere a responsabili che prestino garanzie sufficienti per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del GDPR, e che soprattutto rispondano alle specifiche esigenze del titolare emerse in sede di valutazione del rischio del trattamento, considerando anche l’eventuale intervento di responsabili.

Un fornitore che non rispetti il GDPR o che non offra adeguate garanzie e supporto in termini di misure di sicurezza, gestione dei data breach e delle richieste di esercizio dei diritti da parte degli interessati, trasferimenti dei dati all’estero può mettere in pericolo la sicurezza dei processi di trattamento dei dati personali, oltre ad esporre il committente a pesanti sanzioni a prescindere dal verificarsi di un danno effettivo per la privacy degli interessati.

Partendo dal presupposto che qualsiasi trattamento di dati personali, indipendentemente dallo strumento che si utilizza, è soggetto alla normativa sui dati personali, appare pertanto fondamentale assicurarsi di utilizzare strumenti di trattamento dati che siano pensati per un’utenza business e che prevedano il trattamento dei dati personali per conto del cliente/titolare in qualità di responsabile.

 

Fonte: CyberSecurity360

Privacy e rilevamento della temperatura corporea in Fase 2: regole di accountability

Con lo scopo di riorganizzare le attività aziendali e gestire la Fase 2 dell’emergenza Covid-19, emerge la necessità di disporre misure atte a garantire la salute negli ambienti di lavoro. In tal senso, è utile affrontare quegli elementi da considerare con una specificità sul piano privacy e nella fattispecie dell’allestimento del rilevamento della temperatura corporea mediante termoscanner.

Già nel corso dell’attuale e profonda crisi sanitaria significativi interventi a livello europeo e nazionale hanno specificato indirizzi appropriati nell’ambito del trattamento dei dati in relazione alla gestione pandemica Covid-19.

Segnaliamo, tra gli altri, che il Garante aveva esordito scoraggiando gli approcci di privacy “fai fa te”, in relazione ad alcune iniziative imprenditoriali, ma è l’intervento del legislatore italiano espresso nell’art. 14 del D.L. 14/2020 (il cui testo è confluito nell’art. 17-bis del D.L. 18/2020) che chiarisce chi sono i soggetti autorizzati a monitorare e a garantire l’esecuzione delle misure disposte, nonché richiamato l’applicazione dei principi del GDPR e della trasparenza nel rispetto degli interessati.

Privacy e rilevamento della temperatura corporea: modalità

All’interno del piano emergenza Covid-19, il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus negli ambienti di lavoro, siglato il 14 marzo 2020, interamente recepito nel Dpcm 22 marzo 2020 e successivamente integrato nell’aggiornamento del 24 aprile 2020 sempre condiviso con le Parti Sociali, ha introdotto, infatti, questa pratica della temperatura corporea: “il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°C l’ingresso ai luoghi di lavoro non sarà consentito”.

Contrariamente ai cantieri edili in cui la misurazione della temperatura corporea di chi vi entra è obbligatoria così come stabilito dal Protocollo condiviso tra Ministero delle Infrastrutture e Trasporti con le Parti Sociali, negli altri casi tale rilevazione può essere applicata su base volontaria dal datore di lavoro, cioè il soggetto pubblico e privato in relazione agli elementi e risvolti sul piano antinfortunistico e privacy. Questioni inerenti agli accertamenti sanitari, più strettamente legati alla disciplina giuslavoristica in senso stretto, ma soprattutto quelli in tema di privacy dei soggetti; il divieto di accertamenti sanitari diretti in primo luogo.

Nella nota esplicativa (Nota 1) del Protocollo condiviso del 14 marzo/24 aprile 2020 si stabilisce espressamente che “la rilevazione in tempo reale della temperatura corporea costituisce un trattamento dei dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente”.

Introduce, tale nota, ulteriori suggerimenti per la registrazione di detti dati; peraltro, recepisce il provvedimento del Garante Privacy del 02 marzo 2020, nel quale viene espressamente stabilito e raccomandato di evitare controlli della temperatura indiscriminati e quindi, se del caso, di dare espressa chiara comunicazione circa i provvedimenti da adottare.

Informative e valutazione d’impatto

Di conseguenza assumono un ruolo chiave in applicazione dei principi del GDPR e della trasparenza nel rispetto degli interessati, le informative privacy da adottare e la valutazione d’impatto del trattamento per garantire riservatezza e dignità nell’effettuare le operazioni di rilevazione del dato.

Si consideri che nei confronti dei lavoratori permangono problematiche inerenti al controllo e l’invasività, poiché, a prescindere o meno dall’epidemia si tratterebbe, in primo luogo, di un rischio perlopiù generico e che comunque, stante le attuali conoscenze scientifiche, ben potrebbe essere attuato anche per una semplice influenza.

Il datore di lavoro è d’altra parte obbligato, come previsto dall’art. 2087 del Codice civile e D.lgs. 81/2008, ad “adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro” e pertanto, anche avvalendosi del medico competente, ad assumere provvedimenti e controlli finalizzati alla protezione della sicurezza dei lavoratori.

Eppure, la misurazione della temperatura corporea applicate al fine di consentire l’accesso ai locali aziendali, può dirsi legittima e doverosa qualora vi sia una indicazione del medico competente, il cui ruolo s’inserisce nel quadro della sorveglianza e della valutazione dei rischi sanitari nazionali specificate nel Protocollo ed autorizzate dunque dal DPCM, insieme alle misure da adottare e le modalità della loro implementazione.

Si ricordi, inoltre, che il datore di lavoro ha come obbligo non delegabile, tra l’altro, la valutazione di tutti i rischi con la conseguente elaborazione del DVR; pertanto, sebbene il rischio biologico da Covid-19 sia riconosciuto come generico, in quanto statisticamente può colpire in egual misura tutta la popolazione salvo condizioni aggravanti, il datore di lavoro avrà sempre l’obbligo di dimostrare di aver fatto tutto quanto fosse nella sua facoltà – quindi anche la rilevazione della temperatura corporea in ingresso nella sua azienda – rivestendo posizione di garanzia.

Il punto 2 del Protocollo (lo stesso dicasi per l’acquisizione della autodichiarazione – di cui allo stesso punto) specifica che il datore di lavoro è il titolare del trattamento di dati personali che deve avvenire ai sensi della disciplina privacy vigente.

La raccomandazione è quella di rilevare la temperatura e non registrare il dato acquisto. La necessità d’identificare e registrare il superamento della soglia di temperatura rimane esclusivamente e necessariamente connessa con quelle di documentare le ragioni che hanno impedito l’accesso ai locali aziendali.

Privacy e rilevamento della temperatura corporea: gli autorizzati al trattamento

Risulta necessario, pertanto, individuare il personale che, come autorizzato al trattamento e previo recepimento della relativa procedura, provvederà alla misurazione della temperatura e relativa registrazione se superiore a 37,5°C.

Resta inteso che qualsiasi trattamento di dati personali particolari indispensabili per l’accesso ai fini dell’applicazione delle misure di sicurezza previste dal piano di intervento dovranno essere trattati dal medico competente, il quale, a norma dell’art. 14 del D.L. 14/2020 (e art. 17-bis del D.L. 18/2020, introdotto in sede di conversione) può comunicare al datore di lavoro l’esito delle verifiche effettuate in attuazione dei protocolli anti-contagio, coerentemente con le finalità e limiti del protocollo di sicurezza anti-contagio, nonché nel rispetto dell’applicazione dei principi di cui all’articolo 5 del Regolamento 2016/679.

Per ciò che concerne i soggetti autorizzati all’accesso a tali dati personali e così come previsto nel Protocollo, il datore di lavoro procederà all’individuazione, nomina (eventuale aggiornamento) e istruzione specifiche fornendo perciò opportuna e adeguata informazione ai sensi dell’art. 29 del Regolamento 2016/679.

I dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da Covid-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo alla Covid-19).

Come effettuare la rilevazione della temperatura

Altro punto cruciale è l’allestimento del luogo o la postazione ove avrà luogo il rilevamento, poiché è necessario tenere presente che in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura – quanto nella stessa predisposizione delle aree o delle postazioni atte alla misurazione – dovranno esserci modalità atte ad assicurare e “tali da garantire la riservatezza e la dignità del lavoratore”.

La rilevazione della temperatura (ma anche nel caso della richiesta della dichiarazione) comporta perciò il trattamento di dati personali – come specificato nel protocollo – per il quale è necessario:

1. informare gli interessati;
2. aggiornare il registro dei trattamenti;
3. individuare gli incaricati della raccolta dati (il personale incaricato del titolare o altri);
4. fornire istruzioni a chi è autorizzato al trattamento (per garantire la non diffusione delle informazioni), eventuale predisposizione/revisione degli atti di nomina;
5. organizzare le modalità di conservazione dei dati, predisporre le misure di sicurezza adeguate e di cancellazione dei dati al termine del trattamento.

 

Fonte: Cybersecurity360

Tutelare la privacy sui luoghi di lavoro ai tempi del coronavirus

Sono giorni frenetici per tutti coloro che si occupano di privacy nelle aziende. Sui luoghi di lavoro, a seguito del coronavirus Covid-19, sono in atto le misure di emergenza previste nelle forme più disparate. La situazione tuttavia pone problemi anche sul fronte della data protection, in particolare relativamente all’introduzione di questionari con domande molto generiche e talvolta discutibili e che perlopiù non contengono alcuna informativa privacy o in taluni casi rimandano solo a generiche affermazioni.

I questionari in azienda

L’emergenza in Italia è esplosa in poche ore ed ha richiesto adeguate misure di prevenzione per la tutela e sicurezza sui luoghi di lavoro. È stato necessario garantire la continuità operativa ma allo stesso tempo la sicurezza dei lavoratori. Lavoratori fuori e dentro la cosiddetta “zona rossa” che devono recarsi nelle aziende fuori e dentro tale zona. Aziende perlopiù presenti in una delle regioni oggetto di specifiche misure restrittive. Aziende che in taluni casi non possono bloccare le attività perché garantiscono servizi pubblici essenziali. La necessità di fondo è sempre quella di evitare il diffondersi del virus identificando i soggetti a rischio per porre in essere le adeguate contromisure.

Per questa ragione in molte realtà si è diffuso l’uso di questionari che vengono fatti sottoscrivere ai fornitori e talvolta anche a propri lavoratori che devono accedere ai siti produttivi. Le domande richieste hanno più o meno questo tenore:

• Ha soggiornato in Cina o in uno dei comuni della Zona Rossa negli ultimi 15 giorni?
• Negli ultimi 15 giorni ha avuto contatti con qualcuno che è stato in Cina/zone italiane attenzionate e presentava sintomi come tosse e/o febbre?
• Ha avuto qualcuno dei seguenti sintomi negli ultimi 15 giorni? Febbre superiore a 37 gradi, tosse…

Il trattamento dei dati sanitari da parte delle autorità

Non si può non constatare che molte delle informazioni raccolte rientrano nell’ambito dei dati sanitari. Il trattamento di tali dati su luogo di lavoro è disciplinato dal Garante Privacy mediante le “Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro” che richiamano in sostanza le previsioni del Regolamento UE 679/2016. Il trattamento di tali dati è in linea di principio vietato dalla normativa (art. 9 GDPR) e concesso in casi estremamente limitati. Uno solo dei casi previsti rientrerebbe nel caso di specie. A prevederlo è sempre l’art 9 del GDPR (par 2 lett. i) “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici …”.

Anche l’ordinanza del Ministero della Salute del 21 febbraio 2020 relativa alla quarantena cita il presupposto dell’art. 9, paragrafo 2, del regolamento (UE) 2016/679 e al contempo rimarca che “I dati personali raccolti nell’ambito delle attività di sorveglianza vengono trattati … nel rispetto delle disposizioni vigenti in materia di protezione dei dati personali, ivi incluse quelle relative al segreto professionale, e in relazione al contesto emergenziale in atto”. Inoltre, proprio il Ministero fornisce un requisito dal quale le aziende dovrebbero almeno trarre ispirazione per la redazione della Informativa Privacy: “La documentazione acquisita viene distrutta trascorsi sessanta giorni dalla raccolta, ove non si sia verificato alcun caso sospetto”.

Anche il Parere dell’Autorità Garante Privacy del 2 febbraio 2020 sulla “bozza di ordinanza recante disposizioni urgenti di protezione civile” non fornisce una chiara indicazione sull’approccio che le aziende devono tenere ma delinea una “tolleranza” di massima per sei mesi ai trattamenti dei soggetti operanti nel Servizio nazionale di protezione civile. Trattamenti perlopiù relativi alla comunicazioni dei dati che risultino necessari per l’espletamento della funzione di protezione civile considerato lo stato di emergenza sul territorio nazionale ed il relativo al rischio sanitario.

Chi può occuparsi dei dati sanitari?

Da tutto ciò ne deriva che il trattamento è certamente ammesso da parte delle organizzazioni preposte, non certo da parte delle aziende che non si possono sostituire alle autorità sanitarie o alla protezione civile. Ove ciò sia ammissibile i dati relativi alla salute devono comunque essere trattati da un numero estremamente limitato di soggetti, adeguatamente formato ed istruito in tal senso e il trattamento deve essere limitato alle sole informazioni essenziali. In teoria l’unico soggetto idoneo al trattamento sarebbe il medico competente. Ai sensi della normativa sulla Sicurezza sui luoghi di lavoro (d.lgs. 81/2008), è il datore di lavoro che ha infatti la responsabilità di tutelare i lavoratori dall’esposizione a “rischio biologico” con la collaborazione, ove presente, del medico competente,

Non è neanche escluso infatti che a fronte del nuovo rischio Coronavirus, sia opportuno provvedere all’aggiornamento del Documento di Valutazione dei Rischi (DVR). La presenza infatti di un nuovo rischio biologico comporterebbe anche la necessaria fornitura al personale dei DPI (dispositivi di protezione individuali). Sarebbe stato auspicabile un pronunciamento da parte dell’Autorità Garante Privacy, ma in mancanza dello stesso, pur assumendosi una dose di rischio, le aziende possono affermare che l’attività di somministrazione di specifici questionari rientra nel novero delle misure poste in essere dall’azienda nel complesso delle misure di sicurezza sui luoghi di lavoro ed è correlato ad una valutazione dei rischi che tiene anche conto del contesto aziendale. Per tale ragione ogni azienda dovrà adeguatamente valutare le informazioni da raccogliere, fornire adeguata informativa privacy e destinare le informazioni raccolte ad un numero limitato di soggetti. Oltre al medico competente, il personale che tratterà tali dati dovrà essere formato sui protocolli da utilizzare (es. cosa fare qualora il questionario compilato riporti un indice di allarme?). I soggetti deputati ai singoli trattamenti dovranno sempre garantire la segretezza delle informazioni trattate.

Le informazioni raccolte dovranno poi essere cancellate entro i termini (minimi) dichiarati nella informativa. Ad ogni modo, è bene ricordarlo, nel rispetto dei principi di liceità e minimizzazione del trattamento dei dati, durante la fase di ricerca e selezione e durante il rapporto di lavoro, non possono in linea generale essere acquisiti dati particolari (stato di salute), a meno che non si tratti di caratteristiche che incidono sulle svolgimento dell’attività’ lavorativa. Il dato di salute potrebbe per esempio costituire un requisito essenziale e determinante ai fini dello svolgimento dell’attività’ lavorativa (es. appartenenza a categorie protette). La situazione che stiamo vivendo in queste ore rappresenta una situazione di emergenza e, ci auguriamo, momentanea. Infine alla luce delle informative privacy dei questionari che circolano in queste ore, è bene ricordarlo, la base giuridica non può essere il legittimo interesse.

 

Fonte: CyberSecurity360

Fattura elettronica e privacy: partono le ispezioni del Garante

Nuovi controlli in arrivo in tema di fattura elettronica e privacy: come prevede il nuovo piano sulle attività ispettive previste per il primo semestre dell’anno, infatti, il Garante Privacy verificherà il corretto trattamento dei dati da parte degli intermediari.

Il Garante Privacy torna ad occuparsi di fattura elettronica e lo fa con la deliberazione dello scorso 6 febbraio 2020 con cui ha approvato il piano ispettivo per il primo semestre dell’anno.

Per la prima volta, dunque, la fatturazione elettronica viene interessata dai controlli in materia di privacy, ma sarà comunque solo uno dei punti al centro degli 80 nuovi accertamenti ispettivi che verranno effettuati anche a mezzo del Nucleo speciale tutela privacy della GdF.

In particolare, come si legge nel testo della deliberazione (Registro dei provvedimenti n. 23 del 6 febbraio 2020), i controlli sulle fatture elettroniche verteranno sui trattamenti di dati effettuati da parte degli intermediari.

Fattura elettronica e rischio privacy: il precedente

La privacy, dunque, e in particolare il trattamento dei dati personali continuano ad essere punti critici nella gestione della fatturazione elettronica.

Ricordiamo tutti il clamore destato dal provvedimento del 15 novembre 2018 nei confronti dell’Agenzia delle Entrata con il quale l’Autorità Garante per la protezione dei dati personali disse “stop” alla fattura elettronica. Così facendo, il Garante esercitò per la prima volta, ponendosi in prima linea nel panorama europeo, una delle nuove e importanti prerogative a esso attribuite dal Regolamento Europeo (EU) 2016/679, l’ormai celeberrimo GDPR, costituita dall’esercizio dei cosiddetti poteri correttivi.

L’art. 58 della normativa dell’Unione prevede, infatti, la possibilità per le Autorità nazionali di controllo, di intervenire nei confronti, tra gli altri, degli enti o degli organi dello Stato, qualora ravvisi, nella loro veste di Titolari del trattamento, delle criticità che possono porsi in contrasto con la vigente normativa in materia di protezione dei dati personali.
Utilizzando il dato testuale normativo, può dirsi che ogni autorità di controllo ha, tra gli altri, il potere di “rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento”.

L’Agenzia delle Entrate poté quindi “fregiarsi” di essere stata la prima destinataria di questa nuova prerogativa, in relazione a una delle innovazioni più attese (e temute) degli ultimi anni da parte dei contribuenti, ovvero l’introduzione della fattura elettronica che, a quel punto, non parve certo nascere sotto una buona stella.

Utilizzando il dato testuale normativo, può dirsi che ogni autorità di controllo ha, tra gli altri, il potere di “rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento”.

L’Agenzia delle Entrate poté quindi “fregiarsi” di essere stata la prima destinataria di questa nuova prerogativa, in relazione a una delle innovazioni più attese (e temute) degli ultimi anni da parte dei contribuenti, ovvero l’introduzione della fattura elettronica che, a quel punto, non parve certo nascere sotto una buona stella.

 

Fonte: CyberSecurity360

Privacy policy aziendale: i consigli per una regolamentazione interna sul corretto trattamento dei dati

Tra i documenti da preparare in un corretto processo di adeguamento c’è la privacy policy aziendale: se redatta correttamente consente di fissare regole chiare e renderle note a tutti gli utenti aziendali; ma soprattutto, rende chiaro cosa fare e annulla equivoci e azioni dei singoli

La privacy policy aziendale è uno strumento indispensabile, ma forse non troppo considerato, nel processo di adeguamento della propria organizzazione alla normativa vigente in materia di protezione dei dati.

Generalmente, invece, nel percorso verso la compliance al GDPR, sia in fase iniziale che in una di revisione si è spesso concentrati su alcuni adempimenti:

• informativa ai clienti;
• modulo di consenso;
• videosorveglianza e adempimenti correlati;
• regolamentazione dei cookie.

Come creare una privacy policy aziendale?

Occorre innanzitutto censire tutti i dispositivi che trattano i dati (personali o aziendali) e poi è importante creare la policy aziendale che indichi chiaramente cosa si può e cosa non si può fare con i dati dei clienti.

Come creare questa regolamentazione dipende ovviamente dalla tipologia di azienda e dal numero di dipendenti:

1. per realtà più grandi si pensa alla prevalenza di dispositivi aziendali che sono da gestire in modo diverso da quelli personali e che, magari, sono con controllo centralizzato per cui ho un controllo “facilitato”. Dunque, qui il censimento dovrebbe essere facilitato dall’appartenenza all’azienda dei dispositivi in dotazione al personale;

2. per realtà più piccole si può partire da modelli da adattare al contesto operativo in cui ci si trova.

Elementi comuni dei due casi sono:

1. aggiornamento periodico della policy (come le aziende imparano anche le policy si arricchiscono di tutti quei casi che, in fase di prima stesura, non erano stati considerati)

2. necessità di diffusione e conoscenza da parte di tutti coloro che operano in azienda. Senza tale elemento il rischio di incorrere in comportamenti inadeguati si alza anche sensibilmente.

Una modalità efficace è quella di partire da best practice per creare la regolamentazione e poi, durante le sessioni di formazione obbligatoria sul GDPR, spiegarla nel dettaglio raccogliendo, eventualmente, indicazioni su casi non previsti.

In questo modo si rende ancora più efficace il momento formativo e lo si sfrutta per eventuali aggiornamenti richiesti dal contesto.

 

Fonte: CyberSecurity360

ZGDPR: il software per la gestione privacy e del GDPR

Gestisci i dati e la privacy dei tuoi clienti con ZGDPR

Il software per il GDPR sviluppato da Zucchetti è la risposta adeguata all’entrata in vigore del 25 maggio del General Data Protection Regulation (GDPR), cioè la risposta la risposta della Commissione Europea all’esigenza di maggiore protezione dei dati personali in tutti i Paesi membri.

A partire da tale data tutte le aziende operanti all’interno dell’Unione Europea che trattano dati personali dovranno essere in grado di gestire e proteggere in modo consapevole le informazioni fornite volontariamente.

Il GDPR mira a responsabilizzare titolari e responsabili del trattamento nella gestione del dato personale e incoraggia le organizzazioni all’adozione di un comportamento proattivo che tuteli la fiducia per le informazioni fornite dai cittadini.

Nonostante sia riconosciuto un certo grado di autonomia nella definizione delle modalità di gestione del rischio e delle informazioni, il GDPR prevede una serie di misure che favoriscano una corretta e sicura gestione dei dati personali

ZGDPR: Come funziona

ZGDPR è la soluzione Zucchetti che permette di gestire, con un’interfaccia gradevole e semplificata, le diverse attività previste per adempiere a quanto richiesto dal nuovo Regolamento Europeo.

Accessibile via web, ZGDPR consentirà di:

  • Inserire manualmente, o importare da fonti esterne, gli elementi indispensabili per una corretta formulazione del Registro del Trattamento dati, sia dal punto di vista del Titolare del Trattamento che del Responsabile del Trattamento, in base alle necessità dell’utilizzatore.
  • Riportare le informazioni relative all’azienda (Ubicazione, Locali, strumenti, ecc)
  • Creare template di documenti personalizzabili per le specifiche esigenze, grazie a un potente e semplice strumento di editing.
  • Analizzare nel dettaglio il rischio per individuare e definire i punti deboli della filiera del dato, consentendo al Titolare del Trattamento del dato di porre rimedio ad eventuali criticità nella gestione dello stesso.

Un intuitivo e semplice strumento di aiuto guidato permette di identificare in ogni momento l’attività richiesta ed ottenere la soluzione più adatta.

Fonte: zucchetti.it