Covid 19: Il Garante privacy “avverte” la Regione Sicilia. L’ordinanza del Presidente delle Regione viola le norme sulla privacy dei lavoratori

Tratto da www.garanteprivacy.it

Il Garante per la protezione dei dati personali ha avvertito la Regione Sicilia e tutti i soggetti coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Sicilia, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento europeo e del Codice privacy.

L’ordinanza prevede infatti trattamenti di dati personali relativi allo stato vaccinale dei dipendenti pubblici e degli enti regionali, determinando limitazioni dei diritti e delle libertà individuali che possono essere introdotte solo da una norma nazionale di rango primario, previo parere dell’Autorità.

Le disposizioni regionali prevedono che tutti i dipendenti a contatto diretto con l’utenza siano “formalmente invitati” a ricevere la vaccinazione e, in assenza di questa, assegnati ad altra mansione.

Tali trattamenti relativi allo stato vaccinale del personale non previsti dalla legge statale, introducono, di fatto, un requisito per lo svolgimento di determinate mansioni su base regionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.

L’ordinanza prevede, inoltre, trattamenti generalizzati di dati relativi allo stato vaccinale dei dipendenti, anche da parte del medico competente, non conformi alla disciplina in materia di protezione dei dati e alla disciplina in materia di sicurezza nei luoghi di lavoro.

Considerata poi la delicatezza delle informazioni trattate e le possibili conseguenze discriminatorie in ambito lavorativo, il coinvolgimento dei datori di lavoro, previsto dall’ordinanza, in assenza di misure tecniche e organizzative può porsi in contrasto con le norme nazionali che vietano ai datori di lavoro di trattare informazioni relative alla salute, alle scelte individuali e alla vita privata dei dipendenti.

Il Garante, in considerazione delle gravi violazioni riscontrate, ha dunque ritenuto necessario intervenire tempestivamente per tutelare i diritti e le libertà degli interessati, prima che tali criticità producano i loro effetti, ed ha di conseguenza avvertito la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti, che, in assenza di interventi correttivi, i trattamenti di dati previsti possono violare la normativa privacy.

Il provvedimento adottato dal Garante è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza, anche al fine di segnalare alle Regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.

Garante privacy: no al controllo indiscriminato dei lavoratori

Tratto da www.garanteprivacy.it

L’Autorità sanziona il comune di Bolzano per 84mila euro

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

È quanto affermato dal Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato. L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.

Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr. Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.

Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.

Nell’ambito dell’istruttoria, sono state inoltre riscontrate violazioni anche in merito al trattamento dei dati relativi alle richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo, Il modulo, messo a disposizione dall’amministrazione, prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sulla salute illecito.

Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

Garante privacy a Sindaco: via dal profilo social video e foto di minori disagiati

Tratto da www.garanteprivacy.it

La pubblicazione in chiaro lede la privacy e la dignità delle persone

Per denunciare situazioni di degrado presenti nel suo Comune, un sindaco non può pubblicare sulle proprie pagine social immagini e video in chiaro di minorenni disabili e di persone disagiate, o di presunti autori di trasgressioni esponendoli ai commenti offensivi degli utenti del social network.

Lo ha stabilito il Garante per la privacy, in un recente provvedimento, ordinando al sindaco di Messina di rimuovere dal proprio profilo le immagini pubblicate e sanzionandolo per 50mila euro.

L’Autorità è intervenuta a seguito di alcune segnalazioni che denunciavano un utilizzo di dati non conforme alla disciplina in materia di dati personali da parte del sindaco.

Nel corso del procedimento è emerso che all’interno della pagina Facebook “De Luca Sindaco di Messina”, tra gli altri contenuti, era pubblicato un video che ritraeva persone riconoscibili e in evidenti condizioni di difficoltà socio-economica, senza che la loro identificabilità fosse giustificata da ragioni di interesse pubblico. La pubblicazione del video, a giudizio del Garante, travalica i limiti posti dal principio di essenzialità dell’informazione stabilito dalle disposizioni in materia di protezione dei dati personali e dalla Regole deontologiche dei giornalisti, viola il diritto di non discriminazione e lede la dignità delle persone riprese.

In un’altra pagina del profilo era stata pubblicata, inoltre, l’immagine di un ragazzo disabile, associata al provvedimento che assegnava ai genitori un posto auto nei pressi dell’abitazione, per di più con l’indirizzo in chiaro. Anche in questo caso la diffusione è risultata ingiustificata ed in contrasto sia con il principio di essenzialità dell’informazione che con le disposizioni poste a tutela dei minori e delle persone con problemi di salute.

Altre immagini e video – diffusi senza rendere irriconoscibili i minori ripresi in condizioni di degrado per documentare la questione delle “baraccopoli” o la descrizione delle condizioni di salute di una bambina – sono risultati anch’essi in contrasto con le norme a tutela della riservatezza e in violazione delle regole fissate dalla Carta di Treviso. Quanto alle immagini di presunti trasgressori delle norme sul decoro urbano, il Sindaco aveva provveduto ad eliminarle nel corso dell’istruttoria.

A conclusione del procedimento l’Autorità ha quindi vietato al sindaco di Messina l’ulteriore trattamento dei dati, eccettuata la loro conservazione ai fini di un eventuale utilizzo in sede giudiziaria, e gli ha ordinato il pagamento di una sanzione di 50mila euro.

25 maggio 2018 – 25 maggio 2021: i primi tre anni di applicazione del Regolamento (UE) 2016/679

Tratto da www.garanteprivacy.it

Il 25 maggio 2021 si celebrano i primi 3 anni dalla applicazione del Regolamento (UE) 2016/679, noto anche come Regolamento Generale sulla Protezione dei Dati (RGPD) o General Data Protection Regulation (GDPR).

In occasione di questa importante ricorrenza, i componenti del Collegio del Garante per la protezione dei dati personali hanno registrato dei video per presentare e approfondire alcuni dei principi fondamentali e delle più importanti innovazioni introdotte dal Regolamento.

In questa pagina è presente anche il link alla pagina informativa che il Garante ha dedicato al Regolamento, con focus sui principali temi, notizie utili e contenuti di formazione e approfondimento.

E’ possibile inoltre consultare i dati (aggiornati al 31 marzo 2021) che illustrano l’attività del Garante in relazione ad alcune delle principali attività connesse all’applicazione del Regolamento.

Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

Tratto da www.garanteprivacy.it

Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi? Come deve essere supportato e coinvolto, e per quali compiti?

A queste e a molte altre domande risponde il Garante per la privacy con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico, da oggi sul sito www.gpdp.it.

L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.

Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”.

Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.

Il documento di indirizzo, in corso di pubblicazione nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.

Oltre al documento rivolto alla Pa, il Garante è intervenuto aggiornando le Faq riguardanti il settore privato. Anche in questo ambito il Rdp, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale. Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative, che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.

Anche le Faq aggiornate sono disponibili da oggi sul sito dell’Autorità.

Categorie