
Posts Tagged Garanteprivacy
News SGST - nuova veste e nuova forma.
Posted by SGST srl in 231, Diritto del Lavoro, Privacy, Sicurezza del Lavoro on 20 maggio 2010
Da oggi tutte le News e le attività della SGST srl sono presenti anche su Facebook e Twitter !
Potete leggerci facendo click qui:
Modificato il Codice Privacy: contrassegno per disabili è ora europeo
Posted by Christian Bernieri in Sicurezza del Lavoro on 11 maggio 2010
L’Aula del Senato ha approvato il disegno di legge n.1720 recante disposizioni in materia di sicurezza stradale. L’articolo 42 modifica una norma del Codice della Privacy (D.Lgs 196/03) e rende formalmente possibile l’adozione, anche in Italia, dopo quasi 12 anni, del modello di Contrassegno Unificato Disabili Europeo. L’omogeneità dei vari contrassegni europei per le auto di persone disabili è prevista da una raccomandazione del Consiglio dell’Unione Europea (n° 8546/98 - fascicolo interistituzionale n° 95/0353 -SYN), del 18 Maggio 1998, che ne definisce la forma e stabilisce che sia azzurro chiaro, tranne il simbolo della sedia a rotelle, bianca su fondo azzurro scuro.
In Italia non è stato possibile adottare il contrassegno poichè il pittogramma della carrozzina identifica chiaramente un dato sensibile relativo al possessore: la disabilità. E’ infatti vietato adottare, nei contrassegni, simboli o diciture dai quali possa desumersi la speciale natura dell’autorizzazione. Questo principio, tuttavia, è palesemente e costantemente violato dalla massima parte dei comuni e degli enti preposti all’emissione di tali contrassegni.
Il Governo ha assunto il preciso impegno, una volta approvato il disegno di legge n. 1270 in seconda lettura dalla Camera, di emanare idonea norma di rango regolamentare, volta a rendere effettiva ed immediata l’adozione dello stesso Contrassegno Disabili Europeo.
Ecco l’articolo che modifica il Codice Privacy:
Art. 42. Modifiche all’articolo 74 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, concernente contrassegni su veicoli a servizio di persone invalide
1. All’articolo 74 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni: a al comma 1, le parole: «di simboli o diciture dai quali può desumersi la speciale natura dell’autorizzazione per effetto della sola visione del contrassegno» sono sostituite dalle seguenti: “di diciture dalle quali può essere individuata la persona fisica interessata”; b il comma 2 è sostituito dal seguente: “2. Per fini di cui al comma 1, le generalità e l’indirizzo della persona fisica interessata sono riportati sui contrassegni con modalità che non consentono la loro diretta visibilità se non in caso di richiesta di esibizione o di necessità di accertamento”.
Garante Privacy: nuove linee guida sulla videosorveglianza
Posted by Christian Bernieri in Sicurezza del Lavoro on 28 aprile 2010
Articolo tratto da www.privacybydesign.it
Il Garante per la protezione dei dati personali ha pubblicato oggi il nuovo provvedimento sulla videosorveglianza.
Questo documento segue di pochi giorni la pubblicazione, da parte del Garante Europeo, del più articolato provvedimento UE sull’utilizzo delle tecnologie di videosorveglianza. Per i dettagli sul provvedimento del Garante Europeo GEPD si veda questo LINK.
Come di consueto, il Garante Privacy adotta come strumento normativo il “Provvedimento a carattere generale”, emanato ai sensi dell’articolo 154, comma 1, lett. c) del D.Lgs 196/03. Tale procedura, prevista espressamente solo nell’ambito di un reclamo, viene di fatto utilizzata bel oltre alla reale portata dell’istituto, eleggendo a fonte normativa un provvedimento che dovrebbe, al contrario, avere natura ordinatoria e regolamentare all’interno di un singolo procedimento amministrativo. Questo, che a molti potrebbe apparire come un mero dettaglio, rende invece il provvedimento viziato da un errore di fondo: esattamente come se una legge, approvata in parlamento, non fosse promulgata dal Capo dello stato.
La corretta qualificazione del provvedimento è quella di linea guida o di indirizzo per la corretta applicazione della normativa vigente in materia che, ricordiamolo, rimane unicamente il D.lgs 196/03.
Accantonando i tecnicismi giuridici, è comunque opportuno focalizzare con attenzione i nuovi adempimenti e le scadenze, entro le quali, porre in essere le nuove misure di protezione dei dati:
- entro dodici mesi è necessario rendere l’informativa visibile anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
- entro dodici mesi, adottare, le misure di sicurezza a protezione dei dati registrati tramite impianti di videosorveglianza;
- entro sei mesi, sottoporre i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali degli interessati, alla verifica preliminare da parte del garante;
- entro sei mesi, adottare le misure obbligatorie per i sistemi integrati di videosorveglianza;
Ecco, nel dettaglio, i punti salienti del provvedimento:
Ogni trattamento di immagini deve necessariamente rispettare i tre principi :
- Bilanciamento degli interessi
- Principio di necessità
- Principio di proporzionalità
Come ogni trattamento, deve essere preceduto da una adeguata informativa. Su questo punto, sono introdotte diverse nuove misure, tra le quali, l’obbligo di rendere l’informativa visibile al buio ove necessario.
Le misure di sicurezza sono sostanzialmente un aggiornamento tecnologico di quanto già previsto nel 2000.
Le nomine degli incaricati, come sempre, sono richieste in modo rigoroso, così come sono stabiliti i tempi di conservazione
Altre disposizioni di dettaglio riguardano:
verifica preliminare del Garante per sistemi che presentano particolari rischi (per esempio, riconoscimento automatico di volti, comportamenti, ecc)
ambiti specifici di trattamento come, case di cura, discariche, autovelox, ecc.
.
Il testo integrale del provvedimento è disponibile al seguente LINK
La SGST srl è a disposizione per assistere le aziende con situazioni complesse o articolate.
PER ULTERIORI APPROFONDIMENTI, CLICCA QUI
Articolo originale: http://berniericonsulting.com/general/videosorveglianza-provvedimento-italiano-segue-quello-europeo-730
.
a) entro dodici mesi, rendere l’informativa visibile anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno (punto 3.1);
b) entro sei mesi, sottoporre i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali degli interessati, alla verifica preliminare ai sensi dell’art. 17 del Codice (punto 3.2.1);
c) entro dodici mesi, adottare, le misure di sicurezza a protezione dei dati registrati tramite impianti di videosorveglianza (punto 3.3);
d) entro sei mesi, adottare le misure necessarie per garantire il rispetto di quanto indicato nei punti 4.6 e 5.4, per quanto concerne i sistemi integrati di videosorveglianza;
a) entro dodici mesi, rendere l’informativa visibile anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno (punto 3.1);
b) entro sei mesi, sottoporre i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali degli interessati, alla verifica preliminare ai sensi dell’art. 17 del Codice (punto 3.2.1);
c) entro dodici mesi, adottare, le misure di sicurezza a protezione dei dati registrati tramite impianti di videosorveglianza (punto 3.3);
d) entro sei mesi, adottare le misure necessarie per garantire il rispetto di quanto indicato nei punti 4.6 e 5.4, per quanto concerne i sistemi integrati di videosorveglianza;
Imminenti modifiche alla disciplina del telemarketing
Posted by Christian Bernieri in Privacy on 19 aprile 2010
All’interno del Consiglio dei ministri del 16/04/2010 è stato approvato un Dpr con alcune modifiche alla tanto discussa disciplina del telemarketing.
Le recenti polemiche sono sorte in merito all’istituzione di un registro basato su modalità opt-out, con necessità di rinnovo periodico dell’opt-out.
In mancanza, tutte le utenze telefoniche sarebbero state considerate “consenzienti” a ricevere telefonate con fini di marketing.
La modifica, sollecitata a gran voce da più parti, ha mitigato il testo di legge, lasciando inalterato il meccanismo del registro delle opposizioni con necessità di richiesta espressa, da parte degli utenti, con richiesta di NON ricevere le telefonate di Marketing (opt-out), tuttavia è stato introdotta una validità temporale illimitata per tale scelta. Quindi, non più una scelta da rinnovare periodicamente, ma una scelta che varrà sempre, fino a revoca da parte dell’utente stesso.
In pratica, il provvedimento prevede il silenzio-assenso per quanti vogliono continuare a ricevere chiamate telefoniche contenenti messaggi promozionali, commerciali o informazioni per sondaggi e altre iniziative di tele-marketing. Chi non desidera ricevere questo tipo di chiamate, avrà a disposizione un apposito “Registro delle opposizioni” al quale gli abbonati telefonici potranno iscriversi in modo facile, anche per via telematica, a tempo indeterminato ma con la possibilità di modificare la propria posizione in qualsiasi momento. Gli operatori telemarketing potranno chiamare solo gli abbonati consenzienti, non iscritti al “Registro delle opposizioni”.
Il provvedimento passa all’esame del Consiglio di Stato, delle competenti Commissioni parlamentari, nonché dell’Autorità per le Garanzie nelle comunicazioni e del Garante per la protezione dei dati personali. L’iter dovrà necessariamente concludersi entro il 25 maggio.
viaImminenti modifiche alla disciplina del telemarketing | Bernieri Consulting.
L’articolo continua sul sito della fonte: Bernieri Consulting
Garante Privacy: provvedimenti sulle spese per accesso ai dati
Posted by Christian Bernieri in Privacy on 15 aprile 2010
Il Garante per la protezione dei dati personali Garante Privacy ha emesso due provvedimenti, di egual contenuto, che fanno il punto su una annosa questione: le spese per l’accesso ai dati.
Ai sensi Del D.lgs 196/03, art. 7 e seguenti, chiunque può richiedere a chi tratta dati, di conoscere:
a dell’origine dei dati personali;
b delle finalità e modalità del trattamento;
c della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d degli estremi identificativi del titolare, dei responsabili e del rappresentante designato;
e dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
Garantire l’accesso ai dati ha ovviamente un costo che, tuttavia, non può diventare un ostacolo all’esercizio di un legittimo diritto da parte degli interessati.
La normativa, in materia prevede quanto segue:
Art. 10 comma 7. Quando, a seguito della richiesta di cui all’articolo 7, commi 1 e 2, lettere a, b e c non risulta confermata l’esistenza di dati che riguardano l’interessato, può essere chiesto un contributo spese non eccedente i costi effettivamente sopportati per la ricerca effettuata nel caso specifico.
8. Il contributo di cui al comma 7 non può comunque superare l’importo determinato dal Garante con provvedimento di carattere generale, che può individuarlo forfettariamente in relazione al caso in cui i dati sono trattati con strumenti elettronici e la risposta è fornita oralmente. Con il medesimo provvedimento il Garante può prevedere che il contributo possa essere chiesto quando i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione, oppure quando, presso uno o più titolari, si determina un notevole impiego di mezzi in relazione alla complessità o all’entità delle richieste ed è confermata l’esistenza di dati che riguardano l’interessato.
9. Il contributo di cui ai commi 7 e 8 è corrisposto anche mediante versamento postale o bancario, ovvero mediante carta di pagamento o di credito, ove possibile all’atto della ricezione del riscontro e comunque non oltre quindici giorni da tale riscontro.
Nei nuovi provvedimenti, emessi a carico di enti operanti nella tutela del credito e delle centrali rischi, si legge quanto segue:
a tutte le volte in cui l’interessato richieda espressamente il riscontro attraverso l’invio a mezzo di posta elettronica, lo stesso dovrà essere reso a titolo gratuito;
b una sola volta nell’arco di ciascun anno solare, l’interessato, a prescindere dalla modalità prescelta per ottenere il riscontro richiesto, avrà il diritto di esercitare a titolo gratuito le facoltà previste dall’art. 7, commi 1 e 2 lett. a, b, c;
c per le richieste successive alla prima nell’arco di ciascun anno solare, formulate ai sensi dell’ art. 7, commi 1 e 2 lett. a, b, c, i titolari potranno richiedere un contributo spese commisurato ai costi effettivamente sostenuti e, comunque, fino ad un massimo di euro sette comprensivo di spese postali;
d qualora sia presentata una richiesta incompleta da parte di un soggetto che, comunque, risulti individuato e legittimato, e si renda indispensabile instaurare un contatto con il medesimo per acquisire le informazioni necessarie per fornire un idoneo riscontro, il contributo spese non dovrà eccedere i costi effettivamente sostenuti e, in ogni caso, non dovrà superare l’importo di euro tre.
Il Garante, fondamentalmente, richiama e rinnova il contenuto della deliberazione dalla deliberazione n. 14/2004, tuttora vigenteLINK.
Google: la sentenza integrale da scaricare
Posted by Christian Bernieri in Diritto del Lavoro, Privacy on 13 aprile 2010
Il Caso Google-Vividown, di cui abbiamo dato notizia tempestivamente alla lettura del dispositivo, si arricchisce di un importante tassello: il deposito in segreteria del tribunale delle motivazioni della sentenza.
Per scaricare il documento integrale, accedi all’articolo originale da questo link: http://berniericonsulting.com/general/google-la-sentenza-integrale-641
Ricordiamo che il giudice ha stabilito una condanna pari a 6 mesi per tutti gli imputati: Drummond david Carl; De Los Reyes George; Fleischer Peter Andrew; Arvind Desikan.
La condanna è stata emessa per violazione degli articolo 110, 167, comma 1 e 2 D.Lgvo 196/03 (Codice Privacy) per aver trattato dati personali in violazione degli articoli 23, 17 e 26 del medesimo decreto (con nocumento della persona interessata e con fine di lucro).
La sentenza è particolarmente lunga e articolata e, dopo un attento esame, pubblicheremo un articolato commento.
Importante sentenza della cassazione sui software di controllo
Posted by Christian Bernieri in Sicurezza del Lavoro on 7 aprile 2010
La Corte di Cassazione ha recentemente affermato che i programmi informatici, che consentono il monitoraggio della posta elettronica e degli accessi ad Internet dei dipendenti, sono necessariamente apparecchiature di controllo, soggette alle condizioni di cui all’art. 4 dello Statuto dei lavoratori.
La decisione, depositata con sentenza n° 4375 del 23.2.2010 Sez. lavoro (23 febbraio 2010), chiarisce in modo certo una questione che, anche se apparentemente ovvia, ha suscitato nel tempo numerose controversie e posizioni distanti da parte di giudici e avvocati.
Il Garante Privacy non ha mai contribuito a far chiarezza sul punto, rinviando genericamente alla corretta applicazione della L. 300/07 (statuto dei lavoratori).
La Corte Suprema ha avuto modo di esaminare il caso, piuttosto frequente, di un lavoratore licenziato per aver navigato su siti web non pertinenti all’attività lavorativa.
Il datore di lavoro ha utilizzato un software apposito per effettuare controlli e constatare la condotta difforme dal Regolamento aziendale che disciplina l’utilizzo di Internet e della posta elettronica. Tale prassi è generalmente attuata e diffusa, ritenendo tali controlli legittimi nell’ambito dei c.d. “controlli difensivi”.
Tuttavia, il controllo dell’utilizzo delle infrastrutture non può prescindere da alcuni elementi e accorgimenti, in mancanza dei quali il controllo stesso risulta illegittimo.
Le conseguenze spesso sono drammatiche poichè, oltre a rendere inefficace la contestazione, danno luogo a provvedimenti sanzionatori di carattere penale in capo al datore di lavoro.
L’articolo integrale, il testo della sentenza e il commento sono accessibili dal seguente link: www.privacybydesign.it
viaImportante sentenza della cassazione sui software di controllo | Bernieri Consulting.
Il GEPD ha emanato le linee guida sulla videosorveglianza
Posted by Christian Bernieri in Privacy on 30 marzo 2010
Garante Privacy Europeo: linee guida videosorveglianza
Il garante Europeo per la privacy, GEPD, ha pubblicato le linee guida per la videosorveglianza. Le linee guida saranno adottate da tutti i garanti nazionali, recepite, caso per caso, tenendo conto delle specifiche regolamentazioni nazionali.
Il documento, composto da 64 pagine, rappresenta un testo di riferimento per la corretta gestione di un impianto di videosorveglianza, dal piccolo condominio alla pubblica amministrazione.
Le linee guida richiamano un concetto fondamentale per l’implementazione della privacy nella regolamentazione e nella gestione dei trattamenti di dati: il cosiddetto “PRIVACY BY DESIGN”
Ecco le parole del Garante Privacy: “Data protection and privacy safeguards should be built into the design specifications of the technology that the Institutions use as well as into their organisational practices”.
Si richiama, a questo scopo, il sito www.privacybydesign.it
Il documento è disponibile a questo link: 10-03-17_Video-surveillance_Guidelines_EN
viaIl GEPD ha emanato le linee guida sulla videosorveglianza | Bernieri Consulting.
Direttiva ePrivacy e normativa Italiana
Posted by Christian Bernieri in Diritto del Lavoro, Privacy on 2 febbraio 2010
Il Parlamento Europeo ha approvato lo scorso Novembre vaste riforme destinate a modificare profondamente l’attuale concezione dei diritti e doveri relativi alle telecomunicazioni. La riforma del settore EU delle telecomunicazioni è entrata in vigore nello scorso dicembre e gli Stati membri dispongono di 18 mesi per recepire le nuove norme nei loro rispettivi ordinamenti nazionali (Giugno 2011).
Per informazioni sulle 12 riforme più importanti del nuovo pacchetto UE sulle telecomunicazioni v. MEMO/09/513 .
Testo preliminare del pacchetto di riforma concordato :
http://ec.europa.eu/information_society/policy/ecomm/tomorrow/index_en.htm
La riforma toccherà in modo significativo l’attuale quadro normativo in materia di Protezione dei Dati Personali (Privacy). Il parlamento dovrà modificare sensibilmente alcune parti del D.Lgs 196/03 e integrare i principi e le regole contenute nella nuova direttiva.
Segnaliamo, tra le molte modifiche, la seguente, di particolare rilevanza ai fini Privacy:
5 . Consumer protection against personal data breaches and s p am: European citizens’ privacy is a priority of the new telecoms rules. Names, email addresses and bank account information of the customers of telecoms and internet service providers, and especially the data about every phone call and internet session, need to be kept safe from accidentally or deliberately ending up in the wrong hands ( IP/09/571 ). Operators must respond to the responsibility that comes with processing and storing this information. Therefore, the new rules introduce mandatory notifications for personal data breaches – the first law of its kind in Europe. This means that communications providers will be obliged to inform the authorities and their customers about security breaches affecting their personal data. This will increase the incentives for better protection of personal data by providers of communications networks and services.
In addition, the rules concerning privacy and data protection are strengthened, e.g. on the use of “cookies” and similar devices. Internet users will be better informed about cookies and about what happens to their personal data, and they will find it easier to exercise control over their personal information in practice. Furthermore, internet service providers will also gain the right to protect their business and their customers through legal action against spammers.
Garante Privacy: rinnovate le autorizzazioni generali per i dati sensibili e giudiziari sino al 30 Giugno 2011
Posted by Christian Bernieri in Diritto del Lavoro, Privacy on 29 dicembre 2009
Il Garante Privacy ha rinnovato le autorizzazioni al trattamento dei dati sensibili e giudiziari che saranno efficaci dal 1° gennaio 2010 sino al 30 giugno 2011.
I sette provvedimenti riguardano, come in passato, i rapporti di lavoro, i dati sulla salute e la vita sessuale, le associazioni e le fondazioni, i liberi professionisti, le attività creditizie, assicurative e del settore turistico, l’elaborazione dei dati effettuata per conto terzi, gli investigatori privati e il trattamento dei dati di carattere giudiziario.
Le nuove autorizzazioni non recano significative modifiche rispetto a quelle in scadenza, alle quali sono state apportate solo alcune circoscritte integrazioni relative a modifiche normative intervenute nei settori considerati.
Il Garante ha differito inoltre, al 30 aprile 2010, l’efficacia dell’autorizzazione al trattamento dei dati genetici, rilasciata il 22 febbraio 2007 e già prorogata sino al 31 dicembre 2009.
Le nuove autorizzazioni e il provvedimento di differimento sono in corso di pubblicazione sulla Gazzetta Ufficiale.
Ricordiamo che per trattare dati sensibili, da parte di soggetti privati, è necessario attenersi alle autorizzazioni generali. ogni trattamento difforme da quanto previsto da tali autorizzazioni, deve essere specificamente autorizzato dal Garante. In mancanza, il trattamento risulta essere illecito, anche se effettuato con il consenso espresso ed informato dell’interessato.
Il sito del Garante non raggiungibile a 24 ore dalla scadenza del 15 dicembre
Posted by Christian Bernieri in Privacy on 13 dicembre 2009
Il sito istituzionale del Garante per la Protezione dei Dati Personali (Garante Privacy) è attualmente non raggiungibile.
A meno di 24 ore dalla scadenza fissata per gli adempimenti relativi agli amministratori di sistema, prevista per il 15/12/09, il sito dell’autorità garante non permette di accedere ai comunicati e agli aggiornamenti in materia.
Ogni amministratore di sistema, ogni azienda, in queste ore, sta cercando di capire se è soggetta o meno all’obbligo di legge; se sta per intervenire una nuova ed ulteriore proroga e, soprattutto, se vi sono ulteriori indicazioni ufficiali del Garante stesso. Questa comune attesa è motivata dalla presenza di numerosi errori, imprecisioni e lacune nei testi normativi, nonchè di palesi contraddizioni rispetto a quanto sino ad ora pubblicato dall’ufficio del Garante (comunicati, newsletter, FAQ).
La SGST srl, in quanto divisione operativa e specializzata dello Studio Bernieri, ha le competenze e l’esperienza per assistere le aziende nell’esatto adempimento in materia di privacy.
AGGIORNAMENTO: il sito è nuovamente operativo alle 12.30 del 14/12/09
Per maggiori informazioni, è possibile consultare la sezione dedicata CLICCANDO QUI.
Amministratori di sistema: il garante conferma, attenti alle truffe.
Posted by Christian Bernieri in Diritto del Lavoro, Privacy on 11 dicembre 2009
Il garante della Privacy conferma quanto da noi sostenuto nelle scorse Newsletter e quanto pubblicato sulle pagine dedicate del sito: attenti alle truffe.
Molti consulenti stanno dando informazioni errate e tendenziose allo scopo di obbligare aziende ad adempimenti ai quali non sono soggette o ad acquistare prodotti e servizi non richiesti dalla normativa.
Ecco in sintesi i punti ai quali prestare attenzione:
1) non tutte le aziende sono soggette la provvedimento sugli amministratori di sistema, vi sono ambiti di esclusione notevoli.
2) molte aziende non hanno la figura dell’amministratore di sistema e, quindi, anche se teoricamente soggette al provvedimento, non devono provvedere ad alcun adempimento
3) gli adempimenti richiesti dal provvedimento sono di natura elementare, realizzabili con gli strumenti già disponibili all’interno dei normali software di sistema o, comunque, realizzabili con strumenti semplici e gratuiti.
Si rinvia a quanto da noi già pubblicato sull’argomento per l’analisi dettagliata e per la procedura di AUTOVALUTAZIONE per scoprire se si è soggetti e cosa bisogna fare esattamente.
CLICCA QUI PER ACCEDERE AI MATERIALI
.
Ecco il testo originale del provvedimento del Garante:
Amministratori di sistema: precisazioni del Garante
In vista della scadenza del 15 dicembre, termine entro il quale imprese e altri soggetti interessati devono adeguarsi alle prescrizioni impartite a suo tempo in materia di amministratori di sistema, l’Autorità per la protezione dei dati personali ritiene opportuno precisare alcuni aspetti, anche allo scopo di evitare ingiustificati oneri per le aziende.
L’Autorità, nel rilevare il generale impegno da parte delle imprese ad adempiere alle prescrizioni impartite con il provvedimento del 27 novembre 2008, ha infatti constatato che informazioni imprecise o anche talune azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici.
L’Autorità intende dunque ribadire quanto segue:
-
le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell’amministratore di sistema o a una figura equivalente.
-
le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso.
Per quanto concerne, infine, gli aspetti tecnici del provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli amministratori di sistema), il Garante ricorda come l’adeguamento possa avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all’impiego di prodotti commerciali o di apparati più sofisticati.
Roma, 10 dicembre 2009
31a conferenza dei Garanti e DOCUMENTO CONDIVISO
Posted by Christian Bernieri in Privacy on 17 novembre 2009
Si è conclusa oggi Madrid la 31a conferenza internazionale dei Garanti per la Protezione dei dati personali.
L’evento riveste una particolare importanza specialmente peri temi trattati.
Il motto dell’evento testimonia l’obiettivo principale della conferenza di quest’anno: pensare oggi al futuro, regolamentando e ponendo le basi per garantire la libertà di domani. Privacy: Today is Tomorrow
Il risultato finale della conferenza è stato l’approvazione del primo pacchetto di regole standard di protezione dei dati personali su internet condivise a livello internazionale. CLICCA QUI PER SCARICARE IL DOCUMENTO (es)
Le norme, ratificate dal vertice mondiale dei garanti della privacy, pur non avendo forza cogente e vincolante per i governi, costituiscono una forte pressione affinché le autorità dei vari paesi provvedano a una regolamentazione armonizzata e coerente.
Il Garante Privacy Italiano Francesco Pizzetti ha sottolineato con particolare enfasi l’importanza di questo documento: “per la prima volta è un documento condiviso da tutti“.
Il documento è largamente ispirato alla direttiva Ue del 1995 e prevede che i provider garantiscano l’accuratezza, la confidenzialità e la sicurezza dei dati, oltre all’obbligo di garantire il rispetto di questi standard nei trasferimenti internazionali. i contenuti del documento sono inoltre di particolare interesse per gli amministratori di sistema, chiamati ad una serie di nuovi adempimenti in scadenza il 15 Dicembre
Il sito della conferenza è liberamente accessibile al seguente indirizzo: http://www.privacyconference2009.org
Aggiornamento del 17/11/09 - dalla Newsletter del Garante Privacy:
Le Autorità Garanti per la protezione dei dati personali di 50 Paesi, riunite a Madrid per la 31ma Conferenza internazionale, hanno approvato lo scorso 6 novembre un’importante risoluzione in materia di standard internazionali che contiene un primo pacchetto di regole e principi condivisi a livello mondiale.
Come ha affermato Francesco Pizzetti, presidente dell’Autorità italiana, la risoluzione “consiste in una serie di prescrizioni a tutela della protezione dei dati dei cittadini che, muovendo da un impianto simile a quello della Direttiva europea, definisce principi generali in modo tale che possano essere accettati anche da Autorità di altri Paesi con una diversa cultura della protezione dei dati”. “Oggi - ha proseguito Pizzetti - la protezione dei dati o è globale o non è”. Attraverso gli standard vengono definiti una serie di
principi, diritti, obblighi e meccanismi procedurali che devono rappresentare l’obiettivo di qualunque ordinamento giuridico in tema di privacy e protezione dei dati, nel settore pubblico e in quello privato.
Ecco in sintesi i principi condivisi che ciascun ordinamento è chiamato ad assicurare.
- Liceità, correttezza e proporzionalità del trattamento di dati personali;
- rispetto del principio di finalità;
- trasparenza dei trattamenti; qualità e sicurezza dei dati;
- salvaguardia dei diritti di accesso, rettifica, cancellazione e opposizione da parte degli interessati;
- responsabilità del titolare anche per i trattamenti affidati a soggetti esterni;
- rafforzamento delle tutele per i dati sensibili;
- obbligo di assicurare il rispetto di questi standard nei trasferimenti internazionali di dati;
- garanzia di un controllo indipendente affidato ad autorità autonome ed imparziali provviste di adeguati poteri e risorse;
- potenziamento di approcci proattivi e preventivi basati sull’impiego di tecnologie, su valutazioni preventive di impatto-privacy, su controlli di qualità.
Secondo la Risoluzione, gli standard potranno costituire un’utile base di partenza per promuovere l’ulteriore armonizzazione delle garanzie in materia di privacy, soprattutto per quanto riguarda i flussi internazionali di dati.
Tra le altre significative risoluzioni approvate dalla Conferenza figurano quella sulla tutela della privacy on line dei minori e quella sulla creazione di un sito web della Conferenza internazionale per favorire la circolazione internazionale dei documenti e delle informazioni in materia di protezione dati.
Nell’ambito della Conferenza, il Presidente dell’Autorità Garante italiana, Francesco Pizzetti, ha affrontato il tema del diritto d’autore online e la imprescindibile necessità
di contemperare proprietà intellettuale, diritti delle imprese e tutela della riservatezza degli utenti.
Garante Privacy: chiarimento sui dati personali che possono comparire nel giudizio di idoneità alla mansione
Posted by Christian Bernieri in Diritto del Lavoro, Privacy, Sicurezza del Lavoro on 17 novembre 2009
L’ultima Newsletter del Garante Privacy è stata l’occasione per ribadire il contenuto massimo, in termini di dati personali, dei giudizi di idoneità alla mansione, anche con riferimento alla sorveglianza sanitaria obbligatoria ai sensi del D.Lgs 81/08 e 106/09.
“Idoneo” o “non idoneo” al servizio: sono le sole informazioni che possono comparire sui certificati medici legali che attestano l’idoneità al servizio di un lavoratore.
Nessun riferimento a patologie sofferte è consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato. Questi principi sono stati ribaditi dal Garante privacy che, con un provvedimento di cui è stato relatore Mauro Paissan, ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa.
All’amministrazione è stato vietato far circolare al suo interno informazioni sulla salute del lavoratore, specie quelle relative all’Hiv.
Il dipendente si era rivolto all’Autorità contestando le modalità con cui i suoi dati personali erano circolati all’interno del Ministero. Nome del dipendente e diagnosi, erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica all’Ispettorato di sanità della marina militare. E anche la copia del verbale inviata all’ufficio del personale con la diagnosi “sbarrata e omessa”, consentiva, seppur indirettamente, di risalire all’infezione Hiv, essendo l’unica patologia per la quale è prevista la
“cancellazione” dai verbali di accertamento medico. Il Garante, oltre a inibire l’uso dei dati del dipendente, ha ordinato al Ministero di conformare alla normativa sulla
riservatezza la circolazione dei dati sanitari al suo interno. D’ora in poi il Ministero dovrà utilizzare un attestato che riporti il solo giudizio medico legale senza diagnosi,
anziché il verbale integrale della visita collegiale. Da modificare anche il modello di informativa: i lavoratori dovranno essere chiaramente informati dell’obbligatorietà
o meno di fornire dati sulla propria salute e delle relative conseguenze nell’ambito degli accertamenti medico legali ai fini dell’idoneità al servizio.
Amministratori di sistema: coinvolge solo pochi, attenti alle truffe !
Posted by Christian Bernieri in Diritto del Lavoro, Privacy on 9 novembre 2009
Con l’approssimarsi del 15 Dicembre 2009, si moltiplicano le richieste di informazioni e cresce l’interesse sul tema relativo agli adempimenti per gli amministratori di sistema.
Gli adempimenti sono dettagliati nel provvedimento del Garante Privacy del 27 novembre 2008, pubblicato in Gazzetta Ufficiale n. 300 del 24 Dicembre 2008, e successivamente modificato dal Provvedimento a carattere generale del 25 giugno 2009. Rinviamo alla lettura delle precedenti Newsletter per il dettaglio degli adempimenti.
Pubblichiamo il documento finale, vigente, coordinato dei due provvedimenti, che contiene il testo esatto delle norme da applicare: CLICCA QUI.
.
Rileviamo che, sull’onda dell’entusiasmo per le novità, stanno fiorendo una serie di servizi, prodotti software, newsletter e consulenti che diffondono notizie errate o tendenziose, fantasiosi sistemi che promettono il rispetto di incredibili standard di sicurezza, ecc.
Il nostro approccio, da sempre improntato alla trasparenza e alla professionalità, ci impone di distinguere tra ciò che è obbligatorio e sanzionato, ciò che è utile e consigliato o, addirittura, inutile e macchinoso.
E’ importante ribadire che il provvedimento del Garante sugli amministratori di sistema si applica SOLO AD UN RISTRETTO NUMERO DI SOGGETTI, SPECIFICAMENTE INDIVIDUABILE. La massima parte delle imprese, professionisti, artigiani ecc, non rientra nel campo di applicazione del provvedimento, non ha nuovi obblighi in relazione agli amministratori di sistema e non deve attuare alcun adeguamento o adempimento per la data del 15 dicembre 09.
RIPETIAMO: LA MAGGIOR PARTE DELLE IMPRESE NON DEVE FARE ASSOLUTAMENTE NULLA.
.
.
.
CHI NON E’ SOGGETTO:
Le aziende che trattano come unici dati sensibili quelli relativi ai propri collaboratori, per le finalità di gestione del payroll.
Queste aziende trattano, ovviamente, anche altri dati NON SENSIBILI per ragioni commerciali, contabili, amministrative, fiscali, contrattuali, operative, ecc.
.
..
CHI E’ SOGGETTO:
Le aziende che trattano dati sensibili di soggetti che non sono propri collaboratori, a prescindere dalla finalità.
Le aziende che trattano dati sensibili dei propri collaboratori per le finalità diverse dal payroll.
(Questa seconda eventualità è estremamente rara e non prevista dalle autorizzazioni generali del Garante, pertanto illecita se non specificamente autorizzata.)
.
.
CHI E’ SOGGETTO… ma non deve fare nulla:
Le aziende soggette (VEDI SOPRA) al cui interno non è presente alcun soggetto proposto alla gestione dei sistemi informatici, gestiti direttamente dal Titolare.
In molte aziende, l’amministratore dei sistemi informatici coincide con il titolare che, di volta in volta, chiama singoli tecnici per assistenza, riparazione, configurazione, ecc. In questi casi, pur essendo soggetti, al provvedimento del Garante non occorre fare assolutamente nulla. ATTENZIONE - NOMINARE L’AMMINISTRATORE DI SISTEMA NON E’ AFFATTO OBBLIGATORIO: se c’è, va gestito secondo le regole del Garante. Se non c’è o coincide con il titolare, non occorre strutturare assolutamente nulla.
.
.
.
SCOPRI SE SEI SOGGETTO:
Vuoi verificare autonomamente con un semplice e rapido questionario Online se sei tra i soggetti destinatari della normativa o se, al contrario, non ti riguarda? USA IL TEST DI AUTOVALUTAZIONE
X
.
.
X
.
.
.
.
La SGST srl è a disposizione per fornire assistenza e consulenza per l’esatto adempimento. Proponiamo due linee di intervento:
1) Servizio per aziende escluse: analisi dell’azienda ed esclusione dell’ambito di applicazione del provvedimento - rilascio di certificazione di non applicabilità del provvedimento sugli amministratori di sistema.
Prezzo forfetario 100 Euro + iva Clicca QUI per richiedere il servizio
2) Servizio per aziende soggette: analisi dell’azienda, ipotesi di intervento e piano di implementazione delle misure obbligatorie in funzione dei sistemi informativi aziendali, solo per le aziende soggette. Il servizio è orientato al minimo costo di implementazione e alla razionalizzazione degli obblighi.
Prezzo forfetario 500 Euro + iva Clicca QUI per richiedere il servizio
.
___________________________________________________________________________
DATO SENSIBILE E DATO PERSONALE: ricordiamo che la definizione di dato sensibile è limitata ai dati idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Ogni altro dato, pur personale, non è un dato sensibile e non è rilevante per l’applicazione del provvedimento sugli amministratori di sistema.
..
La definizione di legge che identifica l’esclusione recita quanto segue: D.Lgs 196/03 Art 34 comma 1.bis: …i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale…
.