Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it – GPDP Newsletter del 19/05/2022
 
 
Il Garante sanziona un’azienda per 50.000 euro
 
 
 

Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo.
La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.

Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.

L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

20 Maggio 2022

Whistleblowing senza privacy: Garante sanziona ospedale e società informatica

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it – GPDP Newsletter del 11/05/2022
 
 

PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite. Lo ha ribadito il Garante per la privacy che ha sanzionato un’azienda ospedaliera e la società informatica che gestiva il servizio per denunciare presunte attività corruttive o altri comportamenti illeciti all’interno dell’ente.

L’istruttoria dell’Autorità nasce nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro.

Dai controlli effettuati presso un’azienda ospedaliera sono emerse diverse violazioni del Gdpr. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

La struttura sanitaria non aveva poi provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati. È infine emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.

Nel corso dei controlli sono emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing. La società si era infatti avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.

Il Garante, tenendo conto della piena collaborazione offerta nel corso dell’istruttoria anche per sanare i problemi rilevati, ha comminato sia alla struttura sanitaria sia alla società informatica una sanzione di 40.000 euro. Ha inoltre concesso 30 giorni alla società informatica per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.

12 Maggio 2022

Siti web della Pa: sì del Garante privacy alle Linee guida AgID

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it- 14/03/2022
 
 

Il Garante privacy ha dato il via libera alle modalità per la realizzazione e la modifica dei siti delle pubbliche amministrazioni, proposte dall’Agenzia per l’Italia Digitale (AgID) e contenute nelle nuove “Linee guida di design per i siti internet e i servizi digitali della PA”.

Lo schema delle Linee guida, come evidenzia l’Autorità nel provvedimento, rappresenta un’opportunità per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default.

Nell’esprimere il parere favorevole, il Garante per la protezione dei dati personali ha però indicato la necessità di alcune integrazioni, per assicurare la conformità delle Linee guida al Regolamento e al Codice della privacy.

In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario che nello schema venga indicata l’effettuazione della valutazione d’impatto sulla protezione dati prima di procedere al trattamento e, se del caso, la consultazione preventiva dell’Autorità.

Altre integrazioni riguardano le informazioni sul trattamento dei dati personali, che devono essere concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori.

Massima attenzione, infine, al ricorso a cookie e altri strumenti di tracciamento: lo schema di decreto dovrà espressamente richiamare le Linee guida predisposte dal Garante in materia, assicurando, in ogni caso, la piena fruibilità del sito o del servizio digitale anche quando l’utente non intende prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate.

Le pubbliche amministrazioni, sottolinea l’Autorità, devono valutare attentamente l’effettiva necessità di far ricorso a questi strumenti rispetto alle finalità perseguite, e indicare nell’informativa del sito l’uso di cookie o altri identificatori. Nei rapporti con i fornitori di servizi di hosting o cloud computing, rispetto ai quali la PA agisce in qualità di titolare, qualora essi siano stabiliti in Paesi terzi, occorre rispettare le regole per il trasferimento dei dati personali in tali Paesi.

14 Marzo 2022

Parte il piano ispettivo del Garante privacy per il primo semestre 2022

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it- 31/01/2022
 
 
 
Riflettori su cookies, smart toys, app “rubadati”
 
 
 
 
 
 

Smart toys, cookie, app “rubadati”. Ma anche siti di incontri, monetizzazione dei dati, database. Sono questi i nuovi settori su cui si concentrerà il piano ispettivo per il primo semestre di quest’anno appena approvato dal Garante privacy.

L’attività di accertamento dell’Autorità, svolta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, verificherà la correttezza dei trattamenti di dati personali effettuati dai siti di incontri, dagli operatori della cosiddetta monetizzazione dei dati, dai produttori e distributori di smart toys e quelli trattati mediante algoritmi e sistemi di intelligenza artificiale. Ma le attività ispettive riguarderanno anche i dati trattati da fornitori di database, la  gestione dei cookies da parte delle piattaforme e dei siti web, l’uso dei sistemi di videosorveglianza.

Ulteriori accertamenti faranno luce sulla corretta individuazione dei titolari e dei responsabili del trattamento in ambiti pubblici e privati, anche in relazione all’utilizzo di app e altri applicativi spia.

Attenzione particolare sarà riservata all’acquisizione di dati personali da parte di app istallate sugli smartphone e alla verifica del corretto trattamento dei dati da parte di app diverse da “Verifica C19”.

Il Garante potrà svolgere ulteriori attività ispettive d’ufficio, o sulla base di segnalazioni o reclami.

1 Febbraio 2022

Cookie: le nuove Linee Guida del Garante diventano operative

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it
 
 
 
 
 
 

Dal 9 gennaio 2022 sono diventate operative le indicazioni contenute nelle Linee Guida del Garante approvate lo scorso mese di giugno in materia di cookie e altri strumenti di tracciamento.

Le nuove Linee guida suggeriscono alcuni miglioramenti che i titolari possono adottare al fine di rendere agli utenti un’informativa conforme ai requisiti di trasparenza previsti dagli articoli 12 e 13 del Regolamento. Le Linee Guida inoltre propongono significative innovazioni in tema di consenso.

Per una piena e corretta comprensione degli adempimenti, il Garante consiglia la consultazione del testo integrale delle «Linee guida sull’utilizzo di cookie e altri strumenti di tracciamento» disponibili alla pagina www.gpdp.it/cookie .

10 Gennaio 2022