Garante privacy a Sindaco: via dal profilo social video e foto di minori disagiati

Tratto da www.garanteprivacy.it

La pubblicazione in chiaro lede la privacy e la dignità delle persone

Per denunciare situazioni di degrado presenti nel suo Comune, un sindaco non può pubblicare sulle proprie pagine social immagini e video in chiaro di minorenni disabili e di persone disagiate, o di presunti autori di trasgressioni esponendoli ai commenti offensivi degli utenti del social network.

Lo ha stabilito il Garante per la privacy, in un recente provvedimento, ordinando al sindaco di Messina di rimuovere dal proprio profilo le immagini pubblicate e sanzionandolo per 50mila euro.

L’Autorità è intervenuta a seguito di alcune segnalazioni che denunciavano un utilizzo di dati non conforme alla disciplina in materia di dati personali da parte del sindaco.

Nel corso del procedimento è emerso che all’interno della pagina Facebook “De Luca Sindaco di Messina”, tra gli altri contenuti, era pubblicato un video che ritraeva persone riconoscibili e in evidenti condizioni di difficoltà socio-economica, senza che la loro identificabilità fosse giustificata da ragioni di interesse pubblico. La pubblicazione del video, a giudizio del Garante, travalica i limiti posti dal principio di essenzialità dell’informazione stabilito dalle disposizioni in materia di protezione dei dati personali e dalla Regole deontologiche dei giornalisti, viola il diritto di non discriminazione e lede la dignità delle persone riprese.

In un’altra pagina del profilo era stata pubblicata, inoltre, l’immagine di un ragazzo disabile, associata al provvedimento che assegnava ai genitori un posto auto nei pressi dell’abitazione, per di più con l’indirizzo in chiaro. Anche in questo caso la diffusione è risultata ingiustificata ed in contrasto sia con il principio di essenzialità dell’informazione che con le disposizioni poste a tutela dei minori e delle persone con problemi di salute.

Altre immagini e video – diffusi senza rendere irriconoscibili i minori ripresi in condizioni di degrado per documentare la questione delle “baraccopoli” o la descrizione delle condizioni di salute di una bambina – sono risultati anch’essi in contrasto con le norme a tutela della riservatezza e in violazione delle regole fissate dalla Carta di Treviso. Quanto alle immagini di presunti trasgressori delle norme sul decoro urbano, il Sindaco aveva provveduto ad eliminarle nel corso dell’istruttoria.

A conclusione del procedimento l’Autorità ha quindi vietato al sindaco di Messina l’ulteriore trattamento dei dati, eccettuata la loro conservazione ai fini di un eventuale utilizzo in sede giudiziaria, e gli ha ordinato il pagamento di una sanzione di 50mila euro.

25 maggio 2018 – 25 maggio 2021: i primi tre anni di applicazione del Regolamento (UE) 2016/679

Tratto da www.garanteprivacy.it

Il 25 maggio 2021 si celebrano i primi 3 anni dalla applicazione del Regolamento (UE) 2016/679, noto anche come Regolamento Generale sulla Protezione dei Dati (RGPD) o General Data Protection Regulation (GDPR).

In occasione di questa importante ricorrenza, i componenti del Collegio del Garante per la protezione dei dati personali hanno registrato dei video per presentare e approfondire alcuni dei principi fondamentali e delle più importanti innovazioni introdotte dal Regolamento.

In questa pagina è presente anche il link alla pagina informativa che il Garante ha dedicato al Regolamento, con focus sui principali temi, notizie utili e contenuti di formazione e approfondimento.

E’ possibile inoltre consultare i dati (aggiornati al 31 marzo 2021) che illustrano l’attività del Garante in relazione ad alcune delle principali attività connesse all’applicazione del Regolamento.

Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

Tratto da www.garanteprivacy.it

Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi? Come deve essere supportato e coinvolto, e per quali compiti?

A queste e a molte altre domande risponde il Garante per la privacy con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico, da oggi sul sito www.gpdp.it.

L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.

Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”.

Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.

Il documento di indirizzo, in corso di pubblicazione nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.

Oltre al documento rivolto alla Pa, il Garante è intervenuto aggiornando le Faq riguardanti il settore privato. Anche in questo ambito il Rdp, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale. Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative, che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.

Anche le Faq aggiornate sono disponibili da oggi sul sito dell’Autorità.

Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso

Tratto da www.garanteprivacy.it

Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy.

L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative.

È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto.

Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari.

Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori.

L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.

Garante Privacy – Vaccinazioni sul luogo di lavoro: indicazioni e documento sul ruolo del medico competente

Tratto da www.garanteprivacy.it

Il Garante per la privacy ha adottato un documento di indirizzo sulla vaccinazione nei luoghi di lavoro, per fornire indicazioni generali sul trattamento dei dati personali, in attesa di un definitivo assetto regolatorio.

La realizzazione dei piani vaccinali per l’attivazione di punti straordinari di vaccinazione anti Covid-19 nei luoghi di lavoro, prevista dal Protocollo nazionale del 6 aprile 2021, costituisce un’iniziativa di sanità pubblica, ragione per la quale la responsabilità generale e la supervisione dell’intero processo rimangono in capo al Servizio sanitario regionale e dovrà essere attuata nel rispetto della disciplina sulla protezione dei dati.

Anche per la vaccinazione sul luogo di lavoro dovrà essere assicurato il rispetto del tradizionale riparto di competenze tra il medico competente e il datore di lavoro, messo in evidenza nel documento sul ruolo del medico competente in materia di sicurezza sul luogo di lavoro, da oggi disponibile sul sito dell’Autorità.

Nel documento di indirizzo il Garante precisa che le principali attività di trattamento dati – dalla raccolta delle adesioni, alla somministrazione, alla registrazione nei sistemi regionali dell’avvenuta vaccinazione- devono essere effettuate dal medico competente o da altro personale sanitario appositamente individuato.

Nel quadro delle norme a tutela della dignità e della libertà degli interessati sui luoghi di lavoro, infatti, non è consentito al datore di lavoro raccogliere direttamente dai dipendenti, dal medico compente, o da altri professionisti sanitari o strutture sanitarie, informazioni relative all’intenzione del lavoratore di aderire alla campagna o alla avvenuta somministrazione (o meno) del vaccino e ad altri dati relativi alle sue condizioni di salute.

Tenuto conto dello squilibrio del rapporto tra datore di lavoratore e dipendente, il consenso del lavoratore non può costituire in questi casi un valido presupposto per trattare i dati sulla vaccinazione così come non è consentito far derivare alcuna conseguenza, né positiva né negativa, dall’adesione o meno alla campagna vaccinale.

Categorie