Responsabile protezione dati, il Garante sanziona 4 Comuni. Al via una nuova serie di controlli su una vasta platea di enti locali

Con l’adozione di quattro provvedimenti [doc. n. 9979112997912899791529979171] sanzionatori nei confronti di enti locali, il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO).

Ed è già al via una nuova serie di controlli indirizzati ad una platea ancora più ampia di Comuni che non hanno comunicato all’Autorità i dati di contatto del RPD. Rilevata la violazione per la mancata comunicazione del RPD il Garante ha comminato a tre enti locali una sanzione di 2.000 euro ciascuno, mentre al quarto ha applicato una sanzione di 5.000 euro, maggiorata poiché l’inadempimento ha riguardato la nomina di due RPD.

In tutti i provvedimenti sanzionatori il Garante ha ricordato che, per essere in linea con il Regolamento Ue, se il titolare del trattamento dei dati personali è un soggetto pubblico, quali, ad esempio, amministrazioni dello Stato, Regioni, Province, Comuni, università, aziende del Servizio sanitario nazionale, è obbligato a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura messa a disposizione dall’Autorità sul suo sito.

L’obbligo della comunicazione, previsto nel Regolamento Ue, mira a garantire la possibilità per l’Autorità di garanzia di contattare in modo facile e diretto il RPD, figura che ha tra i suoi compiti anche quello di fungere da punto di riferimento fra il titolare (o responsabile) del trattamento e l’Autorità stessa.

 

La redazione PERK SOLUTION

Garante Privacy: Sanzioni a due Comuni per uso illecito delle registrazioni di un colloquio

Il Garante privacy ha sanzionato due Comuni per uso illecito delle registrazioni audio-video di un colloquio intercorso presso un Comando di Polizia Locale.

L’Autorità è intervenuta a seguito del reclamo di un dipendente di un Comune, all’epoca Vice Commissario di Polizia Locale che si era recato presso gli uffici del Comando di Polizia Locale di un altro Comune e lì aveva avuto un colloquio con un agente su questioni lavorative e condizioni di lavoro.

La Comandante della polizia locale del Comune presso cui lavorava il reclamante aveva chiesto ed ottenuto dall’altro Comune le registrazioni audio-video di tale colloquio, riprese dalla telecamera posta all’interno del Comando, facendo riferimento ad una non meglio precisata indagine di polizia giudiziaria.

Le registrazioni erano state usate per infliggere una sanzione al Vice Commissario che si era poi dimesso. In seguito, il dipendente era deceduto ma il Garante, considerata la gravità dell’accaduto, ha proseguito l’istruttoria d’ufficio. L’Autorità ha ribadito che il datore di lavoro può trattare i dati personali dei dipendenti solo se ciò è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore.

Il Garante ha quindi ritenuto illeciti la trasmissione e l’uso delle registrazioni utilizzate per infliggere la sanzione disciplinare, perché privi di una idonea base giuridica. In particolare, l’Autorità ha rilevato la sproporzione dell’acquisizione dell’audio tramite dispositivi di videosorveglianza, con il rischio di “carpire” informazioni sulle opinioni, relazioni o vicende private dei lavoratori o su fatti comunque non rilevanti nell’ambito del rapporto di lavoro.

Diverse le violazioni contestate, tra cui il mancato rispetto della disciplina di settore in materia di controlli a distanza dei lavoratori, la raccolta di dati non attinenti all’attività lavorativa, la mancanza di trasparenza nei confronti degli interessati, l’illecita comunicazione dei dati personali del reclamante da un Comune all’altro, la mancata valutazione di impatto in relazione al sistema di videosorveglianza, la violazione del principio di limitazione della conservazione dei dati. Entrambi i Comuni sono stati sanzionati tenendo conto della gravità degli illeciti, ma anche delle loro modeste dimensioni.

Il Comune che ha raccolto i dati mediante il sistema di videosorveglianza e poi ha trasmesso la registrazione audio video è stato sanzionato per 50.000 euro e a quello che l’ha richiesta e l’ha utilizzata per fini disciplinari è stata applicata una multa di 20.000 euro.

 

La redazione PERK SOLUTION

Whistleblowing: fissate le garanzie per il dipendente che si rivolge all’Anac

Alla possibilità di segnalare con specifiche garanzie di riservatezza un eventuale illecito presso la propria amministrazione o la propria azienda (“whistleblowing”), si aggiunge ora la possibilità di inviare una segnalazione direttamente all’Autorità Anticorruzione. Questa è una delle innovazioni introdotte dalla recente riforma della disciplina del whistleblowing, cui si riferiscono le Linee guida dell’Anac relative alla presentazione e gestione delle segnalazioni cosiddette “esterne”, sulle quali il Garante ha espresso parere favorevole.

Il testo recepisce le indicazioni fornite dall’Autorità nel corso delle interlocuzioni con Anac per garantire il rispetto della protezione dei dati delle persone coinvolte in tutto il processo di gestione della segnalazione, con particolare riguardo alla riservatezza dell’identità del segnalante e del contenuto della segnalazione stessa, anche mediante il ricorso alla crittografia. La segnalazione “esterna” può essere effettuata in caso di assenza o inefficacia dei canali di segnalazione interna degli enti pubblici o privati ove il lavoratore presta servizio oppure in caso di timore di ritorsione o rischi per l’interesse pubblico.

Le violazioni possono essere segnalate ad Anac in modalità digitale, tramite una specifica piattaforma online, o tramite i canali tradizionali (ad es. servizio telefonico, incontro in presenza) e devono riguardare illeciti circostanziati o che si ritiene potrebbero essere commessi sulla base di elementi concreti. Le Linee guida contengono anche chiarimenti utili sui principali aspetti del nuovo quadro normativo e forniscono indicazioni e princìpi che i datori di lavoro potranno tenere in considerazione nell’attivazione dei propri canali di segnalazione interna.

In continuità con gli orientamenti del Garante in materia, le Linee guida di Anac chiariscono, anche, l’ambito delle condotte segnalabili e ribadiscono la necessità di garantire – nel caso delle segnalazioni tramite piattaforma informatica – la non tracciabilità del segnalante per non vanificare le tutele di riservatezza previste dalla legge, ma di tracciare, a tutela della sicurezza del trattamento, le operazioni effettuate dal personale autorizzato a gestire le segnalazioni (Fonte Garante Privacy).

 

La redazione PERK SOLUTION

Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”. On line la nuova pubblicazione del Garante

In occasione dei cinque anni dalla piena applicazione del GDPR, il Garante privacy lancia una nuova edizione della “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali“. La Guida si propone come un utile strumento di consultazione per chi opera in ambito pubblico e privato, un manuale agile, in particolare per le piccole e medie imprese, e offre una panoramica sui principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento: dai diritti dell’interessato ai doveri dei titolari; dalla trasparenza sull’uso dei dati personali alla liceità del loro trattamento.

Specifica attenzione viene rivolta ai contenuti, ai tempi e modalità con cui il titolare deve: fornire l’informativa all’interessato; valutare le circostanze in cui il titolare deve notificare al Garante privacy, ed eventualmente agli interessati, la violazione di dati personali; provvedere alla designazione del Responsabile della protezione dei dati. Proprio il RPD è una delle novità introdotte dal Regolamento, una figura indipendente, autorevole e con competenze manageriali, che offre consulenza e supporto al titolare e funge da punto di contatto con il Garante.

Nella Guida, il Garante ricorda che con il GDPR la privacy da obbligo avvertito solo in maniera formale diventa parte integrante delle attività di un’organizzazione, che è tenuta al rispetto del principio di responsabilizzazione (“accountability”), in base al quale il titolare deve adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.

Ma il Regolamento Ue ha introdotto anche nuovi diritti riconosciuti alle persone, come quello di poter trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network (“diritto alla portabilità”), o come il diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte.

 

La redazione PERK SOLUTION

Enti locali: indagine del Garante Privacy sui Responsabili protezione dati. Riscontrate diverse violazioni nella comunicazione dei dati di contatto

Il Garante privacy ha avviato un’indagine nei confronti di grandi enti locali per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO, nell’accezione inglese). Questa attività di controllo interessa enti di grandi dimensioni che effettuano trattamenti di dati personali rilevanti per qualità e quantità ed è volta all’adozione di specifici interventi.

Il Garante ha avviato, nei confronti di alcuni di questi enti inadempienti, appositi procedimenti volti all’adozione di provvedimenti correttivi e sanzionatori. In futuro le stesse verifiche potranno essere estese anche agli enti locali più piccoli e ad altri soggetti pubblici.

Per essere in linea con il Regolamento Ue, il Garante ricorda che quando il trattamento dei dati personali è effettuato da soggetti pubblici (ad es. amministrazioni dello Stato, Regioni, Province, Comuni, università, CCIAA, aziende del Servizio sanitario nazionale etc.), ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni, i titolari e i responsabili del trattamento sono obbligati a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura online messa a disposizione dall’Autorità al seguente link: https://servizi.gpdp.it/comunicazionerpd/s/

Questa disposizione mira a garantire che l’Autorità possa contattare il RPD in modo facile e diretto, dato che tra i suoi compiti c’è anche quello di fungere da punto di riferimento fra il soggetto pubblico e l’Autorità stessa.

 

La redazione PERK SOLUTION

Whistleblowing, parere favorevole del Garante della Privacy al recepimento della direttiva UE

Parere favorevole del Garante privacy sullo schema di decreto legislativo che dà attuazione alla direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, la cd. direttiva whistleblowing.

Lo schema di decreto riconduce ad un unico testo normativo la disciplina relativa alla tutela delle persone che segnalano violazioni di norme, tra le quali quelle in materia di protezione dati, di cui siano venute a conoscenza in ambito lavorativo, sia pubblico che privato. Dall’ambito di applicazione del decreto sono escluse contestazioni o rivendicazioni di carattere personale nei rapporti individuali di lavoro o di impiego pubblico e le segnalazioni di violazioni in materia di sicurezza nazionale o di appalti relativi ad aspetti di difesa o sicurezza nazionale.

Lo schema di decreto legislativo recepisce pressoché tutte le indicazioni fornite dall’Autorità al Governo nell’ambito dei lavori preliminari alla stesura del testo attuale, con particolare riguardo alla nozione di violazione, al perfezionamento degli obblighi di riservatezza, alla revisione del termine massimo di conservazione della documentazione.

Lo schema prescrive che il canale di segnalazione deve garantire la riservatezza assoluta del segnalante, delle persone coinvolte e del contenuto della segnalazione stessa (anche mediante il ricorso alla crittografia).

Le segnalazioni possono essere effettuate in forma scritta, anche con modalità informatiche, in forma orale, per telefono o attraverso sistemi di messagistica vocale, oppure infine mediante un incontro diretto. Le informazioni sulle modalità per effettuare il whistleblowing devono essere pubblicate nel sito internet del datore di lavoro in modo chiaro, visibile e accessibile. Con le stesse modalità e garanzie di riservatezza è inoltre prevista la possibilità di effettuare la segnalazione su di un canale esterno attivato presso l’ANAC in caso di assenza o inefficacia dei canali di segnalazione interna, di timore di ritorsione o pericolo per l’interesse pubblico.

Le segnalazioni possono essere conservate solo per il tempo necessario alla loro definizione e comunque per non più di cinque anni a decorrere dalla data di comunicazione dell’esito finale.

Garante Privacy: Le PA devono fare attenzione quando pubblicano i dati on line

Quando pubblicano atti e documenti on line, le Pubbliche amministrazioni devono porre la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Lo ha ribadito il Garante privacy nel comminare una sanzione di 10 mila euro a un Comune.

L’Autorità è intervenuta su richiesta di un reclamante che lamentava la diffusione di dati personali contenuti all’interno di un curriculum vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l’attività lavorativa. Con il reclamo l’interessato aveva anche fatto presente la peculiare condizione personale, in ragione della quale la diffusione dei dati avrebbe potuto comportare dei rischi per sé e per la famiglia.

Nel corso dell’istruttoria il Garante ha accertato che il curriculum era rimasto disponibile online oltre l’arco temporale previsto dalla disciplina di settore e che la circostanza aveva comportato la diffusione dei dati in assenza di base giuridica. Il Comune non aveva neanche operato un’attenta selezione dei dati in esso contenuti (indirizzo di residenza, numero di cellulare e indirizzo di posta elettronica personali).

Quanto alla tesi difensiva avanzata dal Comune, secondo la quale la pubblicazione del curriculum del reclamante sarebbe dipesa dalla condotta negligente del fornitore cui era stata affidata all’epoca la gestione della pagina “Amministrazione Trasparente” del sito, il Garante ha ricordato che spetta al titolare del trattamento, quindi nel caso in esame al Comune, impartire adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati a chi li tratta per suo conto. Indicazioni che l’Ente aveva mancato di dare alla società affidataria del servizio informatico.

La diffusione dei dati personali del reclamante era pertanto avvenuta in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”. Tra le altre violazioni riscontrate dall’Autorità, anche la mancata risposta da parte del Comune alla richiesta di esercizio dei diritti dell’interessato.

Nel determinare l’ammontare della sanzione il Garante privacy ha tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e ha coinvolto un solo interessato. Il titolare ha inoltre fornito assicurazioni in merito alle modalità con cui in futuro provvederà a pubblicare atti e documenti contenenti dati personali sul proprio sito web istituzionale.

 

La redazione PERK SOLUTION

Siti web della Pa: OK del Garante privacy alle Linee guida AgID

Il Garante privacy ha dato il via libera alle modalità per la realizzazione e la modifica dei siti delle pubbliche amministrazioni, proposte dall’Agenzia per l’Italia Digitale (AgID) e contenute nelle nuove “Linee guida di design per i siti internet e i servizi digitali della PA”.
Lo schema delle Linee guida, come evidenzia l’Autorità nel provvedimento, rappresenta un’opportunità per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default.
Nell’esprimere il parere favorevole, il Garante per la protezione dei dati personali ha però indicato la necessità di alcune integrazioni, per assicurare la conformità delle Linee guida al Regolamento e al Codice della privacy.
In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario che nello schema venga indicata l’effettuazione della valutazione d’impatto sulla protezione dati prima di procedere al trattamento e, se del caso, la consultazione preventiva dell’Autorità.
Altre integrazioni riguardano le informazioni sul trattamento dei dati personali, che devono essere concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori.
Massima attenzione, infine, al ricorso a cookie e altri strumenti di tracciamento: lo schema di decreto dovrà espressamente richiamare le Linee guida predisposte dal Garante in materia, assicurando, in ogni caso, la piena fruibilità del sito o del servizio digitale anche quando l’utente non intende prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate.
Le pubbliche amministrazioni, sottolinea l’Autorità, devono valutare attentamente l’effettiva necessità di far ricorso a questi strumenti rispetto alle finalità perseguite, e indicare nell’informativa del sito l’uso di cookie o altri identificatori. Nei rapporti con i fornitori di servizi di hosting o cloud computing, rispetto ai quali la PA agisce in qualità di titolare, qualora essi siano stabiliti in Paesi terzi, occorre rispettare le regole per il trasferimento dei dati personali in tali Paesi.

Fatturazione elettronica, dal Garante un si condizionato alle nuove regole tecniche dell’Agenzia delle entrate

Il Garante per la protezione dei dati personali ha espresso parere favorevole sullo schema di provvedimento del Direttore dell’Agenzia delle entrate relativo alle nuove regole tecniche per la memorizzazione delle fatture elettroniche, da utilizzare per l’analisi del rischio e controllo a fini fiscali e per le funzioni di polizia economica e finanziaria. Dovranno però essere assicurate maggiori tutele a protezione dei dati e adeguata la normativa che regola il settore.

Lo schema presentato al Garante disciplina le modalità con cui l’Agenzia intende memorizzare e rendere disponibili, al proprio personale e alla Guardia di finanza, i file in formato xml delle fatture elettroniche e i dati in essi contenuti, inclusi, salvo alcune eccezioni, quelli relativi alla natura, qualità e quantità dei beni e dei servizi acquistati.

Per valutare adeguatamente, in concreto, la proporzionalità del trattamento prospettato dall’Agenzia, il Garante ha acquisito un campione rappresentativo delle fatture elettroniche emesse nei confronti di consumatori (quasi un miliardo l’anno) per settori di attività che presentano maggiori rischi per i diritti e le libertà degli interessati, alla luce della tipologia dei beni e dei servizi fatturati e della non rilevanza – a fini di detrazione/deduzione – delle spese sostenute.

Dall’analisi è emerso che le fatture possono contenere dati estremamente delicati, riferibili a specifiche persone fisiche, come quelli giudiziari relativi a cause di risarcimento danni, oppure informazioni relative a servizi investigativi, dettagli sui beni acquistati (tra cui prodotti intimi), alimenti consumati, luoghi dove si è dormito e con chi, modalità di spostamento. Ma anche dati riferibili a minorenni, come quelli giudiziari relativi a cause di affidamento minori.

La memorizzazione integrale delle fatture elettroniche, con la conseguente imponente raccolta di dati sui comportamenti di acquisto, determina la costruzione di uno specifico, dettagliato “profilo” di tutti i consumatori in base ai loro gusti, alle loro scelte, alle loro abitudini.

Alla luce dei gravi rischi connessi al trattamento dei dati proposto, il Garante ha chiesto all’Agenzia delle entrate di adottare ulteriori misure a tutela della privacy dei consumatori, al fine di renderlo conforme ai requisiti imposti dalla normativa europea (Gdpr) e nazionale sulla protezione dei dati.

Le informazioni contenute nelle fatture elettroniche – ad esclusione dei controlli svolti in relazione a richieste di detrazione/deduzione delle spese sostenute – non potranno essere utilizzate nei confronti del consumatore se non in conseguenza di verifiche fiscali già avviate su operatori economici, le quali lascino presuppore un rischio di evasione fiscale del consumatore stesso. Dovranno essere inoltre attivati sistemi di controllo e monitoraggio sul rispetto di tali garanzie nell’utilizzo delle informazioni contenute nelle fatture elettroniche. I dati relativi al settore legale dovranno essere resi inintelligibili.

Il Garante, inoltre, contestualmente al rilascio del parere all’Agenzia delle entrate, ha segnalato al Parlamento e al Governo l’opportunità di introdurre una disposizione legislativa per limitare l’utilizzo delle informazioni contenute nelle fatture elettroniche alle sole finalità di contrasto all’evasione fiscale, limitando i diritti di accesso alla documentazione amministrativa da parte di soggetti non collegati alla fattura, nel rispetto dei principi di proporzionalità, di liceità e correttezza, di limitazione della finalità e di minimizzazione del trattamento.

Il Garante infine sta intervenendo presso le associazioni di categoria degli operatori economici per ricordare che non devono essere emesse fatture elettroniche al posto di altri documenti commerciali, come lo scontrino fiscale, se non nei casi previsti dalla legge o su richiesta del consumatore stesso.

PA: da Garante privacy ok a Linee guida Agid su App IO

Via libera del Garante per la protezione dei dati personali alle regole che disciplinano l’accesso telematico ai servizi della Pubblica amministrazione, anche attraverso l’uso della App IO. L’Autorità ha espresso parere favorevole sullo schema di Linee guida predisposte dall’Agenzia per l’Italia digitale (AgID).
Il documento definisce le modalità di realizzazione e di funzionamento del punto di accesso telematico per consentire alle pubbliche amministrazioni e ad altri soggetti erogatori di rendere disponibili agli utenti i propri servizi (avvisi di scadenze, pagamenti, certificazioni, ecc.).
Il punto di accesso – costituito dall’insieme dei sistemi sviluppati e gestiti da PagoPa – è formato da diversi componenti: un front-end (che include la App Io e un’applicazione web), al quale l’utente può accedere tramite SPID o CIE; un back-end, che gestisce anche le interazioni tra il front-end e il back office; un back office (c.d. portale), dedicato ai soggetti erogatori, grazie al quale essi possono aderire al punto di accesso e utilizzare i servizi e le interfacce messe a disposizione per interagire con i cittadini.
Lo schema in esame tiene conto delle indicazioni fornite dall’Ufficio del Garante nel corso di numerose interlocuzioni avute con i rappresentanti di AgID e di PagoPa per assicurare opportune garanzie a tutela della privacy. Indicazioni che hanno riguardato innanzitutto i ruoli assunti da PagoPa e dai soggetti erogatori, e le modalità di adesione al punto di accesso telematico.
Particolare attenzione è stata posta sulle misure e sulle garanzie adottate per realizzare il punto di accesso nel rispetto dei principi di privacy by design e privacy by default, con specifico riguardo al trattamento di dati relativi alla salute e di dati personali relativi a condanne penali e reati, e alle modalità di integrazione del punto di accesso telematico con altre piattaforme digitali (ad es., Anagrafe nazionale della popolazione residente, Piattaforma notifiche).
Nel parere il Garante ha precisato che l’analisi di ulteriori misure di dettaglio che verranno adottate, sarà effettuata nell’ambito della valutazione d’impatto sulla protezione dei dati che sarà trasmessa da PagoPa.
È stata infine rinviata ad altre regole tecniche di AgID la disciplina di altri aspetti tecnici (utilizzo di sessioni di lunga durata nell’App IO e accesso ai servizi di altre Pa con meccanismi di federated identity).