Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

Tratto da www.garanteprivacy.it

Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi? Come deve essere supportato e coinvolto, e per quali compiti?

A queste e a molte altre domande risponde il Garante per la privacy con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico, da oggi sul sito www.gpdp.it.

L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.

Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”.

Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.

Il documento di indirizzo, in corso di pubblicazione nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.

Oltre al documento rivolto alla Pa, il Garante è intervenuto aggiornando le Faq riguardanti il settore privato. Anche in questo ambito il Rdp, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale. Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative, che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.

Anche le Faq aggiornate sono disponibili da oggi sul sito dell’Autorità.

Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso

Tratto da www.garanteprivacy.it

Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy.

L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative.

È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto.

Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari.

Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori.

L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.

Garante Privacy – Vaccinazioni sul luogo di lavoro: indicazioni e documento sul ruolo del medico competente

Tratto da www.garanteprivacy.it

Il Garante per la privacy ha adottato un documento di indirizzo sulla vaccinazione nei luoghi di lavoro, per fornire indicazioni generali sul trattamento dei dati personali, in attesa di un definitivo assetto regolatorio.

La realizzazione dei piani vaccinali per l’attivazione di punti straordinari di vaccinazione anti Covid-19 nei luoghi di lavoro, prevista dal Protocollo nazionale del 6 aprile 2021, costituisce un’iniziativa di sanità pubblica, ragione per la quale la responsabilità generale e la supervisione dell’intero processo rimangono in capo al Servizio sanitario regionale e dovrà essere attuata nel rispetto della disciplina sulla protezione dei dati.

Anche per la vaccinazione sul luogo di lavoro dovrà essere assicurato il rispetto del tradizionale riparto di competenze tra il medico competente e il datore di lavoro, messo in evidenza nel documento sul ruolo del medico competente in materia di sicurezza sul luogo di lavoro, da oggi disponibile sul sito dell’Autorità.

Nel documento di indirizzo il Garante precisa che le principali attività di trattamento dati – dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione- devono essere effettuate dal medico competente o da altro personale sanitario appositamente individuato.

Nel quadro delle norme a tutela della dignità e della libertà degli interessati sui luoghi di lavoro, infatti, non è consentito al datore di lavoro raccogliere direttamente dai dipendenti, dal medico compente, o da altri professionisti sanitari o strutture sanitarie, informazioni relative all’intenzione del lavoratore di aderire alla campagna o alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle sue condizioni di salute.

Tenuto conto dello squilibrio del rapporto tra datore di lavoratore e dipendente, il consenso del lavoratore non può costituire in questi casi un valido presupposto per trattare i dati sulla vaccinazione così come non è consentito far derivare alcuna conseguenza, né positiva né negativa, dall’adesione o meno alla campagna vaccinale.

Permessi Ztl: dati accessibili a chiunque. Sanzione del Garante a Roma Capitale

Tratto da www.garanteprivacy.it

Il Comune di Roma e la società dei servizi per la mobilità sono stati sanzionati dal Garante per la Privacy per non aver adeguatamente protetto i dati dei cittadini ai quali era stato assegnato il permesso di accesso alle zone a traffico limitato. Le sanzioni, per complessivi 410mila euro, sono arrivate all’esito dell’istruttoria avviata in seguito a una segnalazione e ad alcuni articoli della stampa sui problemi relativi al controllo dei pass ZTL.

Dai riscontri raccolti dall’Autorità, è emerso che i permessi di accesso esposti sulle vetture presentavano un codice a barre bidimensionale (QR code) che consentiva agli addetti di verificare in tempo reale la validità del contrassegno e a chi era stato assegnato. Tale codice, però, poteva essere letto con una semplice applicazione (app) installata nella maggior parte degli smartphone in commercio. Chiunque, quindi, poteva accedere al nominativo del titolare del permesso (ad esempio il nome dell’azienda, dell’istituzione, della scuola specifica, o della persona fisica), al nominativo del suo utilizzatore e alla categoria del richiedente, nonché alla targa del veicolo.

Durante le verifiche del Garante è stata riscontrata un’ulteriore criticità nella gestione dei dati: chiunque, dopo essersi collegato, tramite il QR code, alla pagina web con i dati del permesso esaminato, poteva accedere anche alle informazioni relative agli assegnatari di altri pass semplicemente modificando il numero identificativo del contrassegno (PID).

Differenti le responsabilità del Comune e della società per l’illecita diffusione dei dati personali dei possessori dei pass.

La società di servizi per la mobilità – designata responsabile del trattamento dei dati da Roma Capitale – non aveva valutato correttamente i rischi e aveva progettato e realizzato un sistema informativo inadeguato, che non limitava l’accesso ai dati alle sole persone autorizzate. Anche il Comune – titolare del trattamento dei dati relativi ai pass –non aveva adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento. Roma Capitale, tra l’altro, non aveva fornito alla società di servizi per la mobilità istruzioni specifiche per trattare correttamente i dati personali degli utenti del servizio (titolari dei permessi ZTL e utilizzatori), impedendo l’accesso da parte di terzi non autorizzati. Il Comune non aveva neppure proceduto a designare responsabile del trattamento un’ulteriore società che forniva il servizio di “hosting” dei sistemi informatici utilizzati per la gestione dei permessi.

Il Garante per la protezione dei dati personali ha dunque adottato due distinti provvedimenti correttivi e sanzionatori. A Roma Capitale ha applicato una sanzione di 350.000 euro, calcolata tenendo conto dell’elevato numero di persone interessate, dell’esteso lasso temporale della violazione, nonché delle precedenti violazioni in materia di privacy già commesse dall’ente locale. Alla società per la mobilità, in considerazione delle prime misure tecniche e organizzative già adottate per limitare il problema, è stata invece irrogata una sanzione di 60.000 euro. Ad entrambi sono state inoltre imposte misure correttive per limitare la consultazione dei dati personali relativi ai permessi ZTL.

Sanzione del Garante privacy alla Regione Lazio

Tratto da www.garanteprivacy.it

Non aveva designato responsabile del trattamento la cooperativa che gestiva il call center del CUP

Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per 75.000 euro per non aver nominato responsabile del trattamento dati la Società Cooperativa Capodarco, a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).

La società ha dunque trattato i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019, data in cui la Regione Lazio, in qualità di titolare, ha designato formalmente la Cooperativa responsabile del trattamento, ben oltre l’inizio di piena applicazione del Regolamento europeo in materia di protezione dei dati personali.

Con il provvedimento il Garante ha ribadito che le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento. Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Il responsabile è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare”.

Inoltre, come recentemente evidenziato dall’Edpb, il Comitato che riunisce le Autorità di protezione dati dell’Ue, l’assenza di una chiara definizione del rapporto tra titolare e responsabile può sollevare il problema della mancanza di base giuridica su cui ogni trattamento deve fondarsi: ad esempio, per quanto riguarda la comunicazione dei dati tra titolare e responsabile.

Rilevato l’illecito, l’Autorità ha multato la Regione per 75.000 euro ed ha applicato la sanzione accessoria della pubblicazione del provvedimento sul sito dell’Autorità.

Il Garante ha ritenuto invece sufficiente ammonire il titolare della Cooperativa perché la Società Capodarco aveva più volte rappresentato alla Regione la necessità di essere nominata responsabile del trattamento e messo in atto misure conformi alla disciplina privacy, istituendo, ad esempio, il registro dei trattamenti.

Categorie