Garante Privacy – Vaccinazioni sul luogo di lavoro: indicazioni e documento sul ruolo del medico competente

Tratto da www.garanteprivacy.it

Il Garante per la privacy ha adottato un documento di indirizzo sulla vaccinazione nei luoghi di lavoro, per fornire indicazioni generali sul trattamento dei dati personali, in attesa di un definitivo assetto regolatorio.

La realizzazione dei piani vaccinali per l’attivazione di punti straordinari di vaccinazione anti Covid-19 nei luoghi di lavoro, prevista dal Protocollo nazionale del 6 aprile 2021, costituisce un’iniziativa di sanità pubblica, ragione per la quale la responsabilità generale e la supervisione dell’intero processo rimangono in capo al Servizio sanitario regionale e dovrà essere attuata nel rispetto della disciplina sulla protezione dei dati.

Anche per la vaccinazione sul luogo di lavoro dovrà essere assicurato il rispetto del tradizionale riparto di competenze tra il medico competente e il datore di lavoro, messo in evidenza nel documento sul ruolo del medico competente in materia di sicurezza sul luogo di lavoro, da oggi disponibile sul sito dell’Autorità.

Nel documento di indirizzo il Garante precisa che le principali attività di trattamento dati – dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione- devono essere effettuate dal medico competente o da altro personale sanitario appositamente individuato.

Nel quadro delle norme a tutela della dignità e della libertà degli interessati sui luoghi di lavoro, infatti, non è consentito al datore di lavoro raccogliere direttamente dai dipendenti, dal medico compente, o da altri professionisti sanitari o strutture sanitarie, informazioni relative all’intenzione del lavoratore di aderire alla campagna o alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle sue condizioni di salute.

Tenuto conto dello squilibrio del rapporto tra datore di lavoratore e dipendente, il consenso del lavoratore non può costituire in questi casi un valido presupposto per trattare i dati sulla vaccinazione così come non è consentito far derivare alcuna conseguenza, né positiva né negativa, dall’adesione o meno alla campagna vaccinale.

Dal Consiglio d’Europa le linee guida sul riconoscimento facciale

Tratto da www.garanteprivacy.it

Preoccupazione per le tecnologie di “riconoscimento dell’affetto”

ll Consiglio d’Europa ha chiesto regole rigide per evitare i grandi rischi per la privacy e la protezione dei dati posti dall’utilizzo crescente delle tecnologie di riconoscimento facciale.

Il 28 gennaio 2021, nella Giornata europea per la protezione dei dati, il Comitato Consultivo della Convenzione 108, istituito presso il Consiglio d’Europa, ha adottato linee guida in materia.

Le linee guida, che si fondano sui principi della Convenzione 108 modernizzata, forniscono una serie di misure di riferimento che governi, sviluppatori di sistemi di riconoscimento facciale, produttori, aziende e pubbliche amministrazioni dovrebbero adottare per garantire che l’impiego di queste tecnologie non pregiudichi la dignità della persona, i diritti umani e le libertà fondamentali.

Il Comitato riconosce infatti i pericoli che possono derivare da tecniche particolarmente invasive e richiama la necessità di un dibattito pubblico e di un approccio precauzionale.

Il documento esprime particolare preoccupazione riguardo ai rischi derivanti dal riconoscimento facciale volto a rilevare i tratti della personalità, i sentimenti o le reazioni emotive dall’immagine del volto: le cosiddette tecnologie di “riconoscimento dell’affetto”. Tali tecnologie – afferma il Comitato – dovrebbero essere vietate e non dovrebbero essere impiegate, ad esempio, nelle procedure di assunzione di personale, nell’accesso ai servizi assicurativi e a all’istruzione. Allo stesso modo, non dovrebbe essere consentito l’uso del riconoscimento facciale al solo scopo di determinare il colore della pelle di una persona, le convinzioni religiose o di altro tipo, il sesso, l’origine etnica, l’età, le condizioni di salute o le condizioni sociali.

L’uso di sistemi di riconoscimento facciale da parte delle forze dell’ordine dovrebbe essere consentito solo quando è strettamente necessario per prevenire un rischio imminente e grave alla sicurezza pubblica.

Le Linee guida raccomandano agli sviluppatori di tecnologie di riconoscimento facciale di prestare specifica attenzione all’attendibilità degli algoritmi e all’accuratezza dei dati trattati, al fine di evitare disparità e possibili ricadute discriminatorie.

Le aziende e le pubbliche amministrazioni che intendano avvalersi di tecniche di riconoscimento facciale, da parte loro, hanno l’obbligo di garantire il rispetto dei principi di protezione dati, compresa la necessità di effettuare una valutazione dei rischi che il ricorso a tali tecniche può avere sui diritti delle persone, nonché dei profili etici che ne derivano, anche attraverso l’ausilio di comitati di esperti indipendenti.

Le persone devono, inoltre, poter esercitare i propri diritti, compreso quello di rettifica (ad esempio in presenza di false corrispondenze) o quello di non essere sottoposto a decisioni puramente automatizzate senza che la propria opinione sia adeguatamente considerata.

Infine, un ruolo importante a tutela dei diritti delle persone possono svolgerlo le Autorità di protezione dei dati che, in base all’art. 15 (3) della Convenzione 108+, devono essere consultate riguardo a proposte legislative e amministrative che comportino il trattamento dei dati personali mediante tecnologie di riconoscimento facciale. Le Autorità devono essere consultate prima di possibili sperimentazioni o utilizzi.

Lavoro: Garante, no all’uso delle impronte digitali dei dipendenti se manca base normativa

Tratto da www.garanteprivacy.it

Sanzione di 30.000 euro ad una Asp

Il Garante ha sanzionato per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti. A seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare questo tipo di sistemi è necessaria infatti una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati. Nel caso della Asp di Enna la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo della legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.

L’istruttoria dell’Autorità, avviata a seguito di alcuni articoli di stampa, ha consentito di accertare che il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. L’Azienda, poi, verificava l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.

L’Autorità ha ritenuto, contrariamente a quanto sostenuto dall’Azienda sanitaria, che in questo modo si effettuava un trattamento di dati biometrici dei dipendenti (sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente,) in assenza di una idonea base giuridica. Né il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, può essere considerato valido, nel contesto lavorativo, a maggior ragione pubblico, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro.

Inoltre la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal Regolamento europeo in materia di privacy.

Considerati tutti gli aspetti della vicenda, il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha applicato all’Asp 30.000 euro di sanzione. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.

Videosorveglianza: le nuove FAQ del Garante Privacy. Le regole per installare telecamere

Tratto da www.garanteprivacy.it

Il datore di lavoro può installare un sistema di videosorveglianza nelle sedi di lavoro? Occorre avere una autorizzazione del Garante per installare le telecamere? In che modo si fornisce l’informativa agli interessati? Quali sono i tempi dell’eventuale conservazione delle immagini registrate? Si possono utilizzare telecamere di sorveglianza casalinghe c.d. smart cam?

Sono queste alcune delle domande cui rispondono le Faq messe a punto dal Garante per la protezione dei dati personali sulle questioni concernenti il trattamento dei dati personali nell’ambito dell’installazione di impianti di videosorveglianza da parte di soggetti pubblici e privati. I chiarimenti si sono resi necessari in ragione delle nuove previsioni introdotte dal Regolamento 2016/679, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate. Le Faq tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB) e contengono un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Le Faq, disponibili da oggi sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale ispirate alle risposte fornite a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo.

Il Garante ha chiarito, ad esempio, che l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione dell’impianto, e che i dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite. In base al principio di responsabilizzazione, poi, spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, inoltre, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

In merito all’informativa agli interessati, l’Autorità ha chiarito che può essere utilizzato un modello semplificato (esempio un semplice cartello) contenente le informazioni più importanti e collocato prima di entrare nell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera.

Di particolare importanza, infine, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate: salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. Al riguardo il Garante ha sottolineato che i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni e che quanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.

Violazioni di dati personali (data breach) – Regolamento (UE) 2016/679

Tratto da www.garanteprivacy.it

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?*

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?**

La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951 ).

Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.

COME INVIARE LA NOTIFICA AL GARANTE?

La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

LE AZIONI DEL GARANTE

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

* Consultare sempre le procedure aggiornate che il Garante Privacy pubblica sul suo sito.

Categorie