Password: dal Garante i suggerimenti per sceglierle e conservarle in modo sicuro

Tratto da www.garanteprivacy.it

Data di pubblicazione: 25/10/2021

Pochi e semplici suggerimenti per la sicurezza dei dispositivi e dei servizi digitali che utilizziamo ogni giorno. Il Garante lancia una nuova scheda con consigli di base per impostare password sicure e gestirle in modo accorto.

Il nuovo vademecum spiega ad esempio come scegliere una buona password, come gestire tutte quelle che fanno parte della nostra vita quotidiana (da quelle per accedere ai dispositivi a quelle per i vari servizi di e-mail, acquisto online, ecc.) e come conservarle in modo che non siano facile preda di eventuali malintenzionati.

La prima linea di difesa dei nostri dati personali è sempre la consapevolezza su come gestiamo, conserviamo ed eventualmente diffondiamo le informazioni che ci riguardano.

La scheda, che ha finalità divulgative, si inserisce nel quadro delle attività di educazione digitale di base che fanno parte della missione specifica dell’Autorità.

Droni in spiaggia e in città: Garante privacy apre tre istruttorie

Tratto da www.garanteprivacy.it

Data di pubblicazione: 03/09/2021

Il Garante per la privacy ha acceso un faro nei confronti di iniziative che prevedono con troppa facilità l’utilizzo dei droni. Il ricorso sempre più frequente e per le finalità più diverse a questi strumenti potrebbe risultare lesivo della riservatezza delle persone riprese.

Nei giorni scorsi l’Autorità è intervenuta per accertare il corretto trattamento dei dati effettuato mediante l’utilizzo di droni con una richiesta di informazioni inviata al Comune di Bari. L’Ente, secondo quanto risulta da un comunicato presente sul sito istituzionale e da notizie di stampa, in aggiunta alla flotta di droni già utilizzata dalla Polizia locale, ne vorrebbe utilizzare altri per monitorare “eventuali assembramenti incompatibili con le limitazioni dovute alla gestione della pandemia da Covid”.

Il Comune entro 20 giorni dovrà fornire al Garante tutte le informazioni richieste (caratteristiche tecniche dei droni, finalità perseguite, tempi di conservazione delle immagini, comunicazioni a soggetti terzi), inviando copia dell’eventuale valutazione d’impatto sulla protezione dei dati prevista dal Regolamento Ue.

A fine agosto, una analoga richiesta di informazioni è stata inviata a Roma Capitale. Secondo notizie di stampa, infatti, dall’autunno prossimo la Polizia Locale di Roma sarà dotata di 9 piccoli droni per il monitoraggio ed il controllo del territorio cittadino (illeciti ambientali, rifiuti abusivi, roghi tossici, abusi edilizi, esigenze di traffico). Con l’avvio dell’istruttoria il Garante intende verificare l’impatto dell’iniziativa sulla privacy delle persone interessate e il puntuale rispetto della normativa in materia di trattamento dei dati. Entro 20 giorni Roma Capitale oltre fornire le informazioni richieste dovrà inviare copia della valutazione d’impatto o specificare i motivi per i quali non ha ritenuto di doverla effettuare.

Oggi, infine, è stata inviata una richiesta di informazioni alla Azienda Usl Roma 3 per verificare il corretto trattamento dei dati personali, anche di tipo sanitario, nell’ambito di una iniziativa in programma il 4 e il 5 settembre sulle spiagge di Ostia. Secondo notizie di stampa l’azienda sanitaria mediante un drone intenderebbe rilevare la temperatura corporea a tutte le persone presenti in spiaggia. Considerata la delicatezza dei trattamenti di dati personali che si intendono effettuare, in assenza di una chiara base giuridica che li possa legittimare, il Garante ha chiesto all’azienda di fornire una serie di chiarimenti. Entro 7 giorni l’azienda dovrà specificare, tra l’altro, chi sia il titolare del trattamento dei dati delle persone sottoposte alla rilevazione della temperatura corporea, i motivi della rilevazione, l’affidabilità degli strumenti utilizzati, le conseguenze previste per chi risultasse avere una temperatura superiore a quella fisiologica, quali informazioni saranno rese agli interessati e come verranno fornite.

Garante privacy: no al controllo indiscriminato dei lavoratori

Tratto da www.garanteprivacy.it

L’Autorità sanziona il comune di Bolzano per 84mila euro

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

È quanto affermato dal Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato. L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.

Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr. Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.

Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.

Nell’ambito dell’istruttoria, sono state inoltre riscontrate violazioni anche in merito al trattamento dei dati relativi alle richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo, Il modulo, messo a disposizione dall’amministrazione, prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sulla salute illecito.

Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

Tratto da www.garanteprivacy.it

Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi? Come deve essere supportato e coinvolto, e per quali compiti?

A queste e a molte altre domande risponde il Garante per la privacy con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico, da oggi sul sito www.gpdp.it.

L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.

Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”.

Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.

Il documento di indirizzo, in corso di pubblicazione nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.

Oltre al documento rivolto alla Pa, il Garante è intervenuto aggiornando le Faq riguardanti il settore privato. Anche in questo ambito il Rdp, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale. Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative, che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.

Anche le Faq aggiornate sono disponibili da oggi sul sito dell’Autorità.

Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso

Tratto da www.garanteprivacy.it

Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy.

L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative.

È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto.

Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari.

Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori.

L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.

Categorie