Categoria PRIVACY

Massimo rispetto della privacy nella gestione dei casi di whistleblowing.

È quanto si legge in una nota del Garante della Privacy pubblicata a margine di una sanzione comminata a un’azienda ospedaliera e a una società informatica.

L’azione del Garante deriva da un ciclo di attività ispettive e ha rilevato nella gestione dei soggetti interessati violazioni del Gdpr e irregolarità nella configurazione dell’applicazione utilizzata.

Non era stata effettuata la valutazione impatto privacy, non informati i lavoratori sul trattamento dati, non inseriti i dati nel registro delle attività di trattamento. Ancora, credenziali di autenticazione del Responsabile della prevenzione della corruzione e della trasparenza Rpct non gestita in maniera corretta.

Per quanto riguarda la società informatica di hosting, non aveva informato sul trattamento dei dati e aveva utilizzato anche per sé lo stesso servizio di hosting.

40mila euro la sanzione a entrambe, 30 giorni per adeguarsi alla normativa. Ciò tenendo conto della piena collaborazione mostrata.

Il Garante ricorda che “PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone”.

Fonte: Garante Privacy

Pubblicata dal Garante per la protezione dei dati personali un’infografica con informazioni per gli utenti per proteggersi dal phishing, dalle tecniche di cosiddetta pesca online fraudolenta dei dati personali.

La scheda è stata realizzata nel 2020 ed è stata inserita dal Garante nell’insieme dei materiali informativi dedicati alla materia. Riporta suggerimenti per difendersi dai tentativi di appropriazione indebita di dati personali o aziendali cruciali, come username e password, PIN, numeri di conto corrente, bancomat e carte di credito.

Il phishing si evidenzia spesso su inviti per email, SMS, chat mascherati e che riportano richieste di click su link, form, per inviare richeiste, risolvere problemi o per consultare comunicazioni. False.

Il Garante raccomanda di:

innanzitutto utilizzare buon senso;

in ogni caso mai comunicare dati accessi e pass a sconosciuti;

enti banche e aziende non li richiedono mai;

non cliccare su link sospetti;

“posizionare sempre il puntatore del mouse sui link prima di cliccare: in molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati”;

osservare indirizzi e mittenti che spesso sono simili agli originali con evidenti errori ortografici;

diffidare dei messaggi con toni intimidatori;

utilizzare antivirus che sia in grado di proteggere anche dal phishing;

non salvare le pass sui browser;

utilizzare password articolate e cambiarle spesso;

per gli acquisti online preferire carte prepagate, sistemi di alert e controllare i movimenti.

FONTE: Garante Privacy

Il Garante Privacy avvia un’indagine sulle app “rubadati” e sul mercato dei dati

Microfoni degli smartphone sempre accesi a carpire informazioni rivendute poi a società per fare proposte commerciali.

Un fenomeno sempre più diffuso, che sembrerebbe causato anche dalle app che scarichiamo sui nostri cellullari. Molte app, infatti, tra le autorizzazioni di accesso che richiedono al momento del download, inseriscono anche l’utilizzazione del microfono. Una volta che si accetta, senza pensarci troppo e senza informarsi sull’uso che verrà fatto dei propri dati, il gioco è fatto.

Su questo illecito uso di dati che si sta facendo alle spalle di persone ignare, già all’attenzione dei suoi uffici, il Garante per la privacy ha avviato un’indagine dopo che un servizio televisivo e diversi utenti hanno segnalato come basterebbe pronunciare alcune parole sui loro gusti, progetti, viaggi o semplici desideri per vedersi arrivare sul cellulare la pubblicità di un’auto, di un’agenzia turistica, di un prodotto cosmetico.

L’Autorità ha avviato un’istruttoria, in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza, che prevede l’esame di una serie di app tra le più scaricate e la verifica che l’informativa resa agli utenti sia chiara e trasparente e che sia stato correttamente acquisito il loro consenso.

La nuova attività del Garante si affianca a quella già avviata sulla semplificazione delle informative, attraverso simboli ed immagini, affinché gli utenti e i consumatori siano messi in grado in maniera sintetica ed efficace di fare scelte libere e consapevoli.

Fonte: Garante Privacy

Disponibilità delle due aziende ad avviare, in collaborazione con l’Autorità, iniziative di informazione e sensibilizzazione per un uso responsabile

Si sono svolti nel pomeriggio del 9 settembre, due incontri tra il Garante della protezione dei dati personali e i rappresentanti rispettivamente di Facebook e Luxottica.

Scopo degli incontri, richiesti dalle due società, è stato quello di avviare un confronto riguardo alle domande poste dall’Autorità a Facebook sulle implicazioni per la riservatezza delle persone legate all’utilizzo degli smart glasses Ray-Ban Stories recentemente introdotti sul mercato. Gli occhiali sono dotati di funzionalità “Facebook View” che permette la registrazione audio e video.

Nei giorni scorsi l’Autorità aveva avviato una procedura formale presso la competente Autorità Garante irlandese (DPC-Data Protection Commission), per richiedere una serie di informazioni utili a valutare la compatibilità degli smart glasses con le norme sulla privacy.

Nel corso degli incontri, le due società si sono dichiarate disponibili a lavorare, anche in raccordo con l’Autorità, per avviare iniziative di informazione e sensibilizzazione con l’obiettivo di responsabilizzare sia coloro che acquisteranno gli occhiali sia tutti i cittadini. L’Autorità si riserva di valutare l’efficacia delle proposte operative che saranno presentate dalle società.

Facebook ha informato di avere già inviato all’Autorità Garante irlandese (DPC) le risposte alle domande poste dal Garante, a fini dell’esame da parte di quest’ultimo.

Fonte : Garante Privacy

Nei giorni scorsi l’Autorità è intervenuta per accertare il corretto trattamento dei dati effettuato mediante l’utilizzo di droni con una richiesta di informazioni inviata al Comune di Bari. L’Ente, secondo quanto risulta da un comunicato presente sul sito istituzionale e da notizie di stampa, in aggiunta alla flotta di droni già utilizzata dalla Polizia locale, ne vorrebbe utilizzare altri per monitorare “eventuali assembramenti incompatibili con le limitazioni dovute alla gestione della pandemia da Covid”.

Il Comune entro 20 giorni dovrà fornire al Garante tutte le informazioni richieste (caratteristiche tecniche dei droni, finalità perseguite, tempi di conservazione delle immagini, comunicazioni a soggetti terzi), inviando copia dell’eventuale valutazione d’impatto sulla protezione dei dati prevista dal Regolamento Ue.

A fine agosto, una analoga richiesta di informazioni è stata inviata a Roma Capitale. Secondo notizie di stampa, infatti, dall’autunno prossimo la Polizia Locale di Roma sarà dotata di 9 piccoli droni per il monitoraggio ed il controllo del territorio cittadino (illeciti ambientali, rifiuti abusivi, roghi tossici, abusi edilizi, esigenze di traffico). Con l’avvio dell’istruttoria il Garante intende verificare l’impatto dell’iniziativa sulla privacy delle persone interessate e il puntuale rispetto della normativa in materia di trattamento dei dati. Entro 20 giorni Roma Capitale oltre fornire le informazioni richieste dovrà inviare copia della valutazione d’impatto o specificare i motivi per i quali non ha ritenuto di doverla effettuare.

Infine, è stata inviata una richiesta di informazioni alla Azienda Usl Roma 3 per verificare il corretto trattamento dei dati personali, anche di tipo sanitario, nell’ambito di una iniziativa in programma il 4 e il 5 settembre sulle spiagge di Ostia. Secondo notizie di stampa l’azienda sanitaria mediante un drone intenderebbe rilevare la temperatura corporea a tutte le persone presenti in spiaggia. Considerata la delicatezza dei trattamenti di dati personali che si intendono effettuare, in assenza di una chiara base giuridica che li possa legittimare, il Garante ha chiesto all’azienda di fornire una serie di chiarimenti. Entro 7 giorni l’azienda dovrà specificare, tra l’altro, chi sia il titolare del trattamento dei dati delle persone sottoposte alla rilevazione della temperatura corporea, i motivi della rilevazione, l’affidabilità degli strumenti utilizzati, le conseguenze previste per chi risultasse avere una temperatura superiore a quella fisiologica, quali informazioni saranno rese agli interessati e come verranno fornite.

Fonte: Garante Privacy

Le palestre non possono conservarne copia né registrare la data di scadenza

Vietato richiedere e conservare copia del Green Pass

In questo contesto vale, probabilmente, la pena ricordare che la disciplina sul Green Pass prevede che lo stesso debba – nei soli luoghi nei quali è necessario ai sensi di quanto previsto dalla legge – essere semplicemente esibito all’ingresso e debba essere letto dagli incaricati esclusivamente attraverso l’apposita App Verifica Covid-19 messa a punto dal Governo, app che consente al verificatore di accedere solo a un’informazione binaria: il titolare del documento ha o non ha un Green Pass valido senza alcun riferimento né alla condizione – vaccino, guarigione dal Covid19 o tampone – che ha portato al rilascio del Green Pass né alla data di scadenza del documento medesimo.

La richiesta, quale condizione per la frequentazione del centro sportivo o della palestra, di copia del documento e di indicazione della data di scadenza e la successiva conservazione di tali elementi, pertanto, rappresentano una violazione della vigente disciplina in materia di protezione dei dati personali giacché il titolare del trattamento – palestra, centro sportivo o qualsiasi altro analogo soggetto – non ha titolo per acquisire la data di scadenza del Green Pass e conservare gli altri dati personali contenuti nel medesimo documento.

È un trattamento di dati non necessari

È evidente e comprensibile che la prassi che si sta andando diffondendo renderebbe più facile la vita ai gestori di palestre e centri sportivi e, forse, anche ad abbonati e associati ma, al tempo stesso, frustra gli obiettivi di bilanciamento tra privacy, tutela della salute e riapertura del Paese che si sono perseguiti con il Green Pass giacché mette in circolazione una quantità di dati personali superiori a quelli necessari e, soprattutto, ne determina la raccolta e la moltiplicazione in una serie di banche dati diversamente sicure.

Sotto tale profilo vale, infatti, la pena di ricordare che la scadenza del Green Pass è diversa a seconda della ragione all’origine della sua emissione con la conseguenza che conoscerla consente a chiunque di sapere se siamo vaccinati, se siamo stati contagiati o ci siamo semplicemente fatti un tampone mentre, come detto, nel suo utilizzo normale e legale il Green Pass è neutro rispetto a tali circostanze.

Tutto questo senza dire che il Green Pass certifica una circostanza dinamica con la conseguenza che chi ieri ha consegnato un certificato vaccinale valido fino a una certa data, in un momento successivo ma precedente alla scadenza potrebbe essere contagiato e il suo Green Pass perdere di validità.

Si rischia anche di trattare dati inesatti

A seguire strade diverse rispetto a quelle previste dalla legge si rischia, quindi, anche di trattare dati inesatti perché si considera in possesso di un Green Pass valido un soggetto che, magari, non lo è più.

Le regole, insomma, ci sono e la comodità non consente di derogarvi.

Fonte: Garante Privacy

Il Garante per la protezione dei dati personali, in via d’urgenza, ha espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che introduce modalità semplificate di verifica delle certificazioni verdi del personale scolastico, alternative a quelle ordinarie che prevedono l’uso dell’App VerificaC19, che rimane comunque utilizzabile.

Il testo recepisce le indicazioni fornite dal Garante nell’ambito delle interlocuzioni informali e delle riunioni con i rappresentati del Ministero dell’istruzione e del Ministero della salute, al fine di assicurare il corretto adempimento degli obblighi in materia di green pass per il personale scolastico e il rispetto della disciplina di protezione dei dati personali, nonché di evitare conseguenze discriminatorie, anche indirette, nel contesto lavorativo.

In particolare, le istituzioni scolastiche, in qualità di datori di lavoro, si limiteranno a verificare – attraverso il Sistema informativo dell’istruzione-Sidi e la Piattaforma nazionale-DGC – il mero possesso della certificazione verde Covid-19 da parte del personale, trattando esclusivamente i dati necessari.

Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo comunque chi è assente per specifici motivi: ad esempio, per ferie, permessi o malattia.

A seguito dell’attività di controllo del green pass, i soggetti tenuti alle verifiche potranno raccogliere solo i dati strettamente necessari all’applicazione delle misure previste in caso di mancato rispetto degli obblighi sul green pass (ad esempio assenza ingiustificata, sospensione del rapporto di lavoro e del pagamento dello stipendio).

Particolare attenzione è stata posta anche sulle misure di sicurezza da adottare. I soggetti tenuti ai controlli potranno accedere, in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza. Per evitare eventuali abusi, le operazioni di verifica del possesso delle certificazioni Covid-19 da parte dei soggetti tenuti ai controlli saranno oggetto di registrazione in appositi log (conservati per dodici mesi), senza però conservare traccia dell’esito delle verifiche.

È inoltre previsto che la valutazione di impatto, effettuata dal Ministero della Salute, relativa ai trattamenti connessi all’emissione e alla verifica delle certificazioni verdi Covid-19, sia integrata e aggiornata tenendo conto degli specifici scenari di rischio legati ai dati sanitari del circa un milione di lavoratori della scuola, prestando particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo.

Fonte: Garante privacy