Archivio

NEWS|LEGALE

5 Dic 2018

GDPR, attenzione alla sicurezza del trattamento di dati personali: l’autorità di controllo tedesca sanziona una società di social media per non aver sufficientemente protetto i dati dei suoi utenti.

Applicabile dal 25.05.2018, il nuovo Regolamento Generale sulla Protezione dei Dati (‘GDPR’, Reg. UE 679/2016) ha affidato alle autorità di controllo nazionali (in Italia, il Garante per la Protezione dei Dati Personali) il compito di reprimere le violazioni della nuova normativa europea infliggendo sanzioni pecuniarie effettive, proporzionate e dissuasive ai trasgressori. In particolare, a seconda dell’illecito commesso, e fermo il diritto degli interessati al risarcimento del danno, le sanzioni amministrative possono raggiungere l’importo massimo di 20 milioni di Euro o, se il trasgressore è un imprenditore, del 4 per cento del fatturato annuo mondiale dell’impresa.

Pochi giorni fa il Commissario di Stato per la Protezione dei Dati Personali e della Libertà di Informazione del Baden-Wuttemberg ha comminato una sanzione di 20.000 Euro ad una società tedesca di social media, riconosciuta colpevole di non aver applicato ai trattamenti di dati personali effettuati le misure di sicurezza prescritte dall’articolo 32 del GDPR.
La decisione segue alle indagini effettuate sui sistemi informativi della società, che ha prontamente notificato all’Autorità di controllo di aver subìto un attacco informatico che ha portato alla sottrazione ed alla pubblicazione on-line degli indirizzi e-mail e delle password di oltre 300.000 utenti, anche a causa dell’omessa applicazione di adeguati protocolli di sicurezza. Nel determinare l’entità della sanzione, il Garante tedesco ha affermato di aver considerato molto favorevolmente l’ampia cooperazione prestata dalla società e la sua pronta disponibilità ad applicare le prescrizioni individuate dall’autorità di controllo.

Si tratta di una dei primi provvedimenti sanzionatori per violazioni del GDPR adottati in Europa, e segue la maxi-sanzione di 400.000 Euro comminata ad un ospedale portoghese e la multa di 4.800 Euro recentemente irrogata dall’autorità di controllo austriaca.

Le notizie che arrivano da diversi paesi europei portano a ritenere che l’iniziale periodo di tolleranza, che le autorità di controllo nazionali sembrano aver concesso a imprese ed enti di minori dimensioni per ultimare l’applicazione del nuovo Regolamento Europeo sulla Protezione dei Dati Personali sia prossimo al termine.

 

Se hai bisogno di consulenza in tema di privacy, LEGGI QUI E CONTATTACI.

7 Nov 2018
Aggiornamento Privacy

Aggiornamento PrivacyAdempimenti “Privacy”: Novità normative e raccomandazione del Garante per la privacy.

 

Come noto il GDPR – divenuto efficace  il 25/5/2018 – ha imposto a tutte le aziende che effettuino un trattamento dati personali l’adozione di alcuni adempimenti di tipo amministrativo, logistico, informatico, rimettendo all’imprenditore la responsabilità e l’onere di individuare, in ragione della Sua specifica attività, le misure più adeguate.

Inoltre nel settembre 2018 è entrato in vigore il decreto legislativo  101/2018 di armonizzazione della normativa italiana con quella europea e che ha conservato le sanzioni penali in alcune ipotesi di violazione , quale ad esempio l’illecito trattamento dei dati (ad esempio senza consenso ove invece prescritto).

Il Garante per la Privacy Italiano , inoltre, in data 11/10/2018 ha pubblicato sul proprio sito una serie di raccomandazioni circa l’obbligo di adeguamento che coinvolge espressamente anche le piccole/micro imprese:

In particolare sono tenuti all’obbligo di redazione del REGISTRO del TRATTAMENTO :

  • Gli esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (ad es: bar, ristoranti, officine, negozi, piccola distribuzione etc) e/o che trattino dati sanitari dei clienti (ad es: parrucchieri, estetisti, ottici, odontotecnici, tatuatori etc);
  • I liberi professionisti con almeno un dipendente e/o che trattino dati sanitari o giudiziari (ad es: commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • Associazioni, fondazioni e comitati ove trattino dati sensibili o giudiziari (ad es: organizzazioni di tendenza, associazioni con finalità di prevenzione discriminazioni di genere ;associazioni sportive);
  • I Condomini , ove trattino dati sensibili (ad es: delibere aventi ad oggetto abbattimento barriere architettoniche).

In conclusione il Garante raccomanda la redazione del REGISTRO del TRATTAMENTO da parte di tutti i Titolari e Responsabili del trattamento, in quanto strumento che, fornendo  specifica informativa del tipo di trattamento svolto, contribuisce a meglio attuare il principio dell’accountability e ad agevolare in maniera collaborativa l’attività di controllo del Garante stesso.

 

STERN ZANIN offre un servizio di adeguamento al GDPR mirato alle piccole imprese al fine di consentire di adempiere alle prescrizioni normative con la semplificazione necessaria perché l’intervento non sia solo un sovraccarico di oneri.

 

12 Giu 2018
dati personali

dati personaliIn caso di trattamento illecito dei dati personali del lavoratore da parte del datore di lavoro, il lavoratore ha diritto al risarcimento del danno, dovendosi presumere il pregiudizio subito.

 

La Corte di Cassazione, con ordinanza n. 14242 del 04/06/2018, ha stabilito l’automatica sussistenza del danno per il trattamento illecito dei dati personali del dipendente effettuato dal datore di lavoro, a meno che quest’ultimo non riesca a dimostrare di aver posto in essere tutti gli accorgimenti necessari per evitare la diffusione delle informazioni, o che la lesione arrecata al lavoratore sia irrilevante o che il lavoratore abbia in effetti tratto vantaggio dalla pubblicazione dei dati.

L’ordinanza esamina il caso di un dipendente dell’Agenzia delle Dogane e dei Monopoli  – sottoposto a perquisizione personale, domiciliare e locale nell’ambito di un’indagine avviata dalla locale Procura della Repubblica – al quale veniva comunicato un provvedimento di trasferimento ad altra sede lavorativa mediante nota con protocollo ordinario e di pubblico dominio contenente le specifiche ragioni sottese al trasferimento, consistenti nella vicenda giudiziaria personale nella quale il lavoratore era stato coinvolto.

Il lavoratore ha dunque lamentato la violazione del proprio diritto alla riservatezza e  in ragione di ciò ha avanzato richieste risarcitorie per danni non patrimoniali derivanti dall’illecita diffusione dei dati giudiziari che lo avevano riguardato. Richieste, ritenute legittime dalla Corte di Cassazione a prescindere dalla prova della sussistenza e della entità del danno.

E difatti, sostengono i Giudici di legittimità che determina una lesione ingiustificabile del diritto alla protezione dei dati personali non la mera violazione delle prescrizioni poste dall’art. 11 del Codice Privacy in materia di modalità di trattamento dei dati personali, ma soltanto quella che ne offenda in modo sensibile la sua portata effettiva.

Dopo aver individuato il danno risarcibile ai sensi del Codice Privacy, la Corte, a conferma dell’orientamento giurisprudenziale formatosi sul punto, ha affermato che, una volta ritenuto che il bene violato faccia parte di quei valori fondamentali ovvero dei diritti inviolabili della persona, il danno è da considerarsi in re ipsa, cioè derivante automaticamente dalla commissione dell’illecito, e pertanto il Giudice dovrà disporre che il danno debba essere risarcito, quanto meno in via equitativa, salvo prova contraria addotta dal danneggiante che dimostri di aver posto in essere ogni misura atta ad evitare il danno.

 

Si riporta il testo integrale della sentenza: Cass. n. 14242 del 04/06/2018

 

26 Mar 2018
INL circolare 052018

INL circolare 052018INL – Circolare n. 5/2018: Indicazioni operative sull’installazione di impianti audiovisivi: istanza, tutela del patrimonio, telecamere e dati biometrici.

 

L’ispettorato Nazionale del Lavoro con circolare n. 5/2018 fornisce indicazioni operative sull’installazione e l’utilizzo di impianti audiovisivi ed altri strumenti di controllo ai sensi dell’ art. 4 della legge n. 300/1970, come modificato dall’art. 23 del D. Lgs. 151/2015 e dal successivo art. 5, co. 2, del D. Lgs. 185/2016.

In particolare, il provvedimento fornisce importanti chiarimenti operativi in merito ai seguenti aspetti: (I) istruttoria delle istanze presentate; (II) tutela del patrimonio aziendale; (III) telecamere; (IV) dati biometrici.

 

I. Istruttoria delle istanze presentate

Chiarisce l’Ispettorato che la valutazione delle istanze presentate per il rilascio del provvedimento di installazione non richiede la presenza di un ispettore tecnico e va concentrata sulla valutazione dell’effettiva sussistenza delle ragioni legittimanti la richiesta, nonché sulle specifiche finalità per l’utilizzo della strumentazione.

Le eventuali condizioni poste all’utilizzo della strumentazione devono essere necessariamente correlate alla specifica finalità individuata nell’istanza. L’eventuale ripresa dei lavoratori, di norma, dovrebbe avvenire in via incidentale e con carattere di occasionalità ma nulla impedisce, se sussistono le ragioni giustificatrici del controllo (ad es. esigenze di sicurezza del lavoro o di tutela del patrimonio aziendale) di inquadrare direttamente l’operatore, senza introdurre condizioni come ad esempio l’angolo di ripresa della telecamere o l’oscuramento del volto del lavoratore.

Sempre in tema di videosorveglianza, non è fondamentale allegare all’istanza la planimetria, né predeterminare il posizionamento e l’esatto numero delle telecamere da installare in quanto i luoghi, le merci e le strutture possono subire delle modifiche nel corso del tempo. È evidente però che le riprese effettuate devono necessariamente essere coerenti e strettamente connesse con le ragioni legittimanti il controllo e dichiarate nell’istanza e quindi l’attività di controllo è legittima se strettamente funzionale alla tutela dell’interesse dichiarato. Gli eventuali controlli ispettivi verificheranno le modalità e l’utilizzo degli impianti.

 

II. La tutela del patrimonio aziendale

Tra le ragioni che giustificano il controllo a distanza dei lavoratori l’elemento di novità introdotto dalla recente normativa è quello della tutela del patrimonio aziendale.

La circolare in esame pone l’attenzione sulla richiesta di installazione di dispositivi operanti in presenza dei lavoratori, richiamando quanto già ricordato dal Garante della Privacy in ordine al ai principi di legittimità e determinatezza del fine perseguito e dei principi di proporzionalità, correttezza e non eccedenza, che impongono quindi una gradualità nell’ampiezza e tipologia del monitoraggio.

 

III. Telecamere

Nella circolare si legge che, con riferimento all’introduzione di nuovi strumenti di videosorveglianza, provvisti di rete IP, cablata oppure wireless che consente il trasporto di dati video ed audio da un PC all’altro attraverso l’utilizzo di internet, è possibile installare telecamere a circuito chiuso collegate all’intranet aziendale o via internet a postazione remota.

Tuttavia, l’accesso da postazione remota alle immagini in tempo reale è autorizzabile solo in casi eccezionali e debitamente motivati. L’accesso alle immagini registrate – sia in loco che da remoto –  deve essere necessariamente tracciato per un congruo periodo non inferiore a sei mesi tramite apposite funzionalità che consentano la conservazione dei log di accesso.

Non è più prevista la condizione dell’utilizzo del sistema della doppia chiave fisica o logica.

Da ultimo, quanto al perimetro spaziale di applicazione della normativa, l’orientamento giurisprudenziale prevalente identifica come luoghi soggetti alla normativa in questione anche quelli esterni dove venga svolta attività lavorativa anche in modo saltuario o occasionale e l’installazione di una telecamera diretta verso il luogo di lavoro dei propri dipendenti o su spazi dove essi hanno accesso anche occasionalmente deve essere preventivamente autorizzata da uno specifico accordo con le organizzazioni sindacali ovvero da un provvedimento dell’Ispettorato del Lavoro.

 

IV. Dati Biometrici

Da ultimo, in tema di utilizzo di dispositivi e tecnologia per la raccolta e il trattamento dei dati biometrici, l’INL richiama il provvedimento del Garante Privacy n. 20 del dicembre 2014 che evidenzia che il riconoscimento biometrico, installato sulle macchine con lo scopo di impedirne l’utilizzo a soggetti non autorizzati, necessario per avviare il funzionamento della stessa, può essere considerato uno strumento indispensabile a “…rendere la prestazione lavorativa…” e pertanto si può prescindere sia dall’accordo con le rappresentanze sindacali, sia dal procedimento amministrativo di carattere autorizzativo previsto dalla legge.

 

11 Gen 2018
Responsabilità Amministrativa ex dlgs 231/2001

Responsabilità Amministrativa ex dlgs 231/2001NOVITA’ IN MATERIA DI RESPONSABILITA’ AMMINISTRATIVA EX DLGS 231/2001 E NECESSITA’ DI AGGIORNAMENTO DEI MODELLI

 

IL WHISTLEBLOWING

Per effetto della L. n. 179 del 30/11/2017 in materia di “whistleblowing”, i modelli organizzativi di cui al D.lvo 231/2001, per essere idonei ad escludere la responsabilità degli enti per reati commessi da soggetti apicali o da sottoposti nell’interesse o vantaggio degli enti stessi, dovranno prevedere uno o più canali che consentano “segnalazioni circostanziate di condotte illecite” rilevanti ai sensi della normativa 231, “fondate su elementi di fatto precisi e concordanti”.

La novità legislativa consiste nella regolamentazione dei canali di segnalazione, che devono garantire la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione e devono prevedere almeno un canale alternativo idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante, nonché nella speciale protezione dei segnalanti, che non potranno essere, in ragione della segnalazione effettuata, né licenziati, né demansionati o trasferiti o essere sottoposti a misure che incidano negativamente sulla posizione lavorativa, pena la nullità del provvedimento discriminatorio adottato nei loro confronti.

L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni può inoltre essere denunciata all’Ispettorato nazionale del lavoro per i provvedimenti di propria competenza.

Naturalmente le segnalazioni dovranno fondarsi su elementi precisi, chiari e concordanti; tant’è che i modelli di organizzazione e gestione dell’ente dovranno prevedere sanzioni, oltre che nei confronti di chi viola le misure di tutela del segnalante, anche nei confronti dei soggetti, che con dolo o colpa grave, effettuino segnalazioni risultanti poi infondate.

I Modelli di organizzazione e gestione ex Dlgs 231/2001 già adottati dovranno pertanto essere aggiornati con la previsione di sistemi c.d. di whistleblowing.

 

I NUOVI REATI: XENOFOBIA E RAZZISMO

La Legge Europea del 2017 ha introdotto nel novero dei reati presupposto ai fini della responsabilità amministrativa ex Dlgs 231/2001 due nuovi reati, quello di xenofobia e di razzismo.

 Anche sotto tale profilo i Modelli Organizzativi 231/2001 andranno aggiornati, dovendo considerare le nuove fattispecie di reato nella mappatura dei rischi ed introdurre regole volte a prevenire la commissione di tali reati.

 

MODIFICHE AL CODICE ANTIMAFIA

Anche l’adozione del codice antimafia, con L. n. 161 del 17/10/2017, ha inciso sui reati presupposto, sempre con riferimento alla responsabilità amministrativa degli enti.

Sono stati infatti introdotti i reati di “procurato ingresso illecito di stranieri e favoreggiamento dell’immigrazione clandestina”, e “favoreggiamento della permanenza illecita di stranieri nel territorio dello Stato”.

I Modelli Organizzativi 231/2001 già adottati andranno quindi aggiornati, dovendo considerare anche queste nuove fattispecie di reato nella mappatura dei rischi, con conseguente introduzione di regole volte a prevenire la commissione di tali reati.

 

6 Nov 2017
Privacy

PrivacyREG. UE 679/2016 (Privacy). Le novità.

Il 25 maggio 2018 è il termine previsto dal Reg. UE 679/2016 per conformarsi alle nuove prescrizioni europee in materia di tutela dei dati personali, la cd. Privacy

Le aziende per quella data dovranno aver adeguato la propria organizzazione, le policy e i sistemi di trattamento dei dati personali al Regolamento europeo (General Data Protection Regulation, in sigla GDPR) che sostituirà integralmente le normative nazionali in materia di privacy.

Inoltre il 17 ottobre 2017 è stato approvato il testo della Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017 (“Legge di delegazione”).

L’articolo 13 della Legge di delegazione riguarda la delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 (“Regolamento”) del Parlamento Europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (abrogativo della vigente direttiva 95/46 CE).

Entro sei mesi dall’approvazione della Legge di delegazione il Governo dovrà adottare i decreti legislativi necessari all’adeguamento della nuova normativa.

 

Le principali novità del Reg UE:

  • Inasprimento del sistema sanzionatorio, con multe che possono arrivare, nel massimo, all’importo maggiore tra il 4% del fatturato mondiale di gruppo e 20 milioni di euro;
  • Facoltà per gli ordinamenti nazionali di conservare, armonizzandolo, il precedente sistema sanzionatorio (ad esempio il TU 196/2003, il codice della privacy italiano, prevede anche pene detentive per le violazioni più gravi);
  • Tenuta obbligatoria, per le aziende che impieghino più di 250 dipendenti ma consigliata in ogni caso dal Garante per la privacy, del Registro per le attività di trattamento;
  • Nuove procedure (come la notifica dei cosiddetti data breach o violazioni dei dati);
  • Eliminazione formale della figura dell’incaricato; il Reg. menziona solo il Responsabile del trattamento;
  • Introduzione del concetto di privacy by design e by default, che implica che ogni sistema di trattamento dei dati (con particolare riferimento ai sistemi elettronici) sia progettato sin dall’origine per il rispetto della normativa e preveda specifiche tecniche che impediscano ogni violazione con impostazioni predefinite;
  • Introduzione del concetto di accountability, ossia di responsabilizzazione del Titolare del trattamento. Non è previsto un elenco di misure minime per la tutela dei dati che garantiscano il Titolare da sanzioni e imprevisti, ma è direttamente il Titolare del trattamento a dover decidere quali misure tecniche e organizzative adottare, anche alla luce delle innovazioni tecnologiche, che siano adeguate a garantire la tutela dei diritti degli interessati. Ogni Titolare sarà quindi responsabile dei propri sistemi e della loro adeguatezza a prevenire possibili violazioni;
  • Conferma del concetto per cui tutti i processi aziendali implicano il trattamento di dati personali (clienti, fornitori, visitatori del sito internet e, ovviamente, dipendenti);
  • Conferma dell’obbligo di una formazione specifica sulla privacy, da documentarsi e da ripetere ed aggiornare in relazione ai cambiamenti dell’attività e del tipo di dati trattati;
  • Introduzione dell’obbligo, per le aziende che occupano oltre i 250 dipendenti, di tenere il cd. Registro delle attività di trattamento;
  • Valutazione del rischio del trattamento. E’ prevista una sorta di risk assessment, ovvero la valutazione degli impatti negativi del trattamento sugli interessati, allorquando il trattamento avvenga su larga scala o rappresenti un rischio per i diritti e le libertà delle persone;
  • Designazione del Data Protection Officer, con funzioni di consulenza al titolare e sorveglianza sull’osservanza del Reg UE. La designazione è obbligatoria in alcuni casi;
  • Inserimento di nuovi contenuti obbligatori delle informative agli interessati e della raccolta del consenso;
  • Introduzione del diritto all’oblio;
  • Introduzione del diritto alla portabilità dei dati.

 

Il Garante per la Privacy ha emesso alcune Raccomandazioni cui le Aziende dovrebbero conformarsi subito – a prescindere cioè dall’emanazione dei decreti attuativi della legge delega al Governo – per arrivare preparate alla scadenza del 25/5/2018:

  • Verifica dell’adeguatezza del consenso dell’interessato raccolto ante 25/5/2018;
  • Verifica dell’adeguatezza dell’informativa all’interessato fornita ante 25/5/2018;
  • Verifica dell’adeguatezza del sistema adottato ante 25/5/2018 per favorire l’esercizio dei diritti ed il riscontro alle richieste degli interessati;
  • Previsione nei sistemi informatici della possibilità concreta di rettificare e/o bloccare il trattamento su richiesta dell’interessato;
  • Verifica contitolarità del trattamento;
  • Verifica adeguatezza dei contratti disciplinanti rapporti tra titolare del trattamento e responsabile del trattamento;
  • Tenuta del registro dei trattamenti;
  • Verifica ed aggiornamento delle misure di sicurezza adottate in relazione alla tipologia dati trattati, all’attività svolta, alle modalità di trattamento, al rischio impatto sui diritti e le libertà degli interessati;
  • Verifica dell’adozione delle misure adottate per documentare eventuali violazioni privacy.

 

I consulenti dello studio Stern Zanin sono a disposizione per tutti gli approfondimenti del caso. Contattaci per fissare un appuntamento e studiare le misure più adatte a te.