Non serve il Green Pass per accedere agli uffici pubblici

Il Garante per la protezione dei dati personali ha inviato alla Regione Siciliana una richiesta di informazioni in merito alle nuove modalità per l’accesso degli utenti agli uffici pubblici e agli edifici aperti al pubblico introdotte dall’ordinanza presidenziale del 13 agosto 2021, n. 84, nell’ambito delle misure di contrasto della pandemia da Covid19.

L’ordinanza prevede che le persone sprovviste della certificazione verde non possono accedere agli uffici pubblici e agli edifici aperti al pubblico e possono usufruire dei servizi, anche di quelli resi da privati preposti all’esercizio di attività amministrative, esclusivamente in via telematica, o comunque da remoto.

Le misure di sanità pubblica che implichino il trattamento di dati personali – ricorda l’Autorità – ricadono nelle materie assoggettate alla riserva di legge statale e, pertanto, non possono essere introdotte con un’ordinanza regionale, ma solo attraverso una disposizione di rango primario, previo parere del Garante.

Non risulta, inoltre, che i più recenti interventi normativi in tema di certificazioni verdi abbiano imposto l’esibizione di tali documenti per l’accesso dell’utenza agli uffici pubblici o similari, per cui il loro utilizzo per finalità ulteriori e con modalità difformi rispetto a quanto previsto dalla legge statale creerebbe una evidente disparità di trattamento a livello territoriale.

Il Garante privacy quindi, oltre a chiedere chiarimenti ha invitato la Regione – già destinataria di un “avvertimento” sui trattamenti di dati personali relativi allo stato vaccinale dei dipendenti pubblici – a sospendere l’efficacia di tali misure nell’ipotesi in cui siano già state messe in atto, circoscrivendo l’uso delle certificazioni verdi ai soli casi individuati dalle disposizioni di legge statali.

Whistleblowing: Garante privacy, servono maggiori tutele per il segnalante

L’identità dei whistleblower è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo. In tale quadro, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza.
E’ quanto ribadito dal Garante privacy che, a seguito di attività ispettive sugli applicativi usati per le segnalazioni di illeciti (whistleblowing), ha sanzionato la società Aeroporto Guglielmo Marconi di Bologna per 40.000 euro e il suo fornitore di software per 20.000 euro per violazioni delle regole poste a tutela dei dati personali trattati.
Nel caso della Società aereoportuale il Garante ha accertato il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design.
Nel corso dell’istruttoria è emerso infatti che l’accesso all’applicativo per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva senza l’uso di un protocollo di rete sicuro (quale il protocollo https) e che l’applicativo stesso non prevedeva la cifratura dei dati identificativi del segnalante, delle informazioni relative alla segnalazione e della eventuale documentazione allegata.
La società aereoportuale, titolare del trattamento, tracciava poi, mediante i log generati dai firewall, l’accesso all’applicativo da parte dei dipendenti connessi alla rete aziendale. Ciò rendeva inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti, considerato anche l’esiguo numero di connessioni all’applicativo in questione. Inoltre, tenuto conto della delicatezza delle informazioni trattate, dei rischi e della vulnerabilità degli interessati, la società avrebbe dovuto effettuare una valutazione di impatto.
Nel comminare la sanzione il Garante ha ribadito che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi di protezione dati impartendo le necessarie istruzioni al fornitore del servizio (ad es. disattivando le funzioni in contrasto con le norme di settore). L’Autorità ha sanzionato con un secondo provvedimento anche il fornitore dell’applicativo, nella sua qualità di responsabile del trattamento, sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto.

Vaccini ai dipendenti, il Garante privacy “avverte” la Regione Sicilia

Il Garante per la protezione dei dati personali, con provvedimento del 22 luglio 2021, ha avvertito la Regione Sicilia e tutti i soggetti coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Sicilia, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento europeo e del Codice privacy. L’ordinanza prevede infatti trattamenti di dati personali relativi allo stato vaccinale dei dipendenti pubblici e degli enti regionali, determinando limitazioni dei diritti e delle libertà individuali che possono essere introdotte solo da una norma nazionale di rango primario, previo parere dell’Autorità. Le disposizioni regionali prevedono che tutti i dipendenti a contatto diretto con l’utenza siano “formalmente invitati” a ricevere la vaccinazione e, in assenza di questa, assegnati ad altra mansione.
Tali trattamenti relativi allo stato vaccinale del personale non previsti dalla legge statale, introducono, di fatto, un requisito per lo svolgimento di determinate mansioni su base regionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.
L’ordinanza prevede, inoltre, trattamenti generalizzati di dati relativi allo stato vaccinale dei dipendenti, anche da parte del medico competente, non conformi alla disciplina in materia di protezione dei dati e alla disciplina in materia di sicurezza nei luoghi di lavoro.
Considerata poi la delicatezza delle informazioni trattate e le possibili conseguenze discriminatorie in ambito lavorativo, il coinvolgimento dei datori di lavoro, previsto dall’ordinanza, in assenza di misure tecniche e organizzative può porsi in contrasto con le norme nazionali che vietano ai datori di lavoro di trattare informazioni relative alla salute, alle scelte individuali e alla vita privata dei dipendenti.
Il Garante, in considerazione delle gravi violazioni riscontrate, ha dunque ritenuto necessario intervenire tempestivamente per tutelare i diritti e le libertà degli interessati, prima che tali criticità producano i loro effetti, ed ha di conseguenza avvertito la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti, che, in assenza di interventi correttivi, i trattamenti di dati previsti possono violare la normativa privacy. Il provvedimento adottato dal Garante è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza, anche al fine di segnalare alle Regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.

Garante Privacy, sanzionato Comune per aver monitorato la navigazione internet dei lavoratori

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.
È quanto affermato dal Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato. L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.
Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr. Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.
Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.
Nell’ambito dell’istruttoria, sono state inoltre riscontrate violazioni anche in merito al trattamento dei dati relativi alle richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo, Il modulo, messo a disposizione dall’amministrazione, prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sulla salute illecito.
Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

Garante Privacy, Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi? Come deve essere supportato e coinvolto, e per quali compiti?
A queste e a molte altre domande risponde il Garante per la privacy con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico.
L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.
Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”.
Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.
Il documento di indirizzo, in corso di pubblicazione nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.
Oltre al documento rivolto alla Pa, il Garante è intervenuto aggiornando le Faq riguardanti il settore privato. Anche in questo ambito il Rdp, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale. Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative, che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.
Anche le Faq aggiornate sono disponibili da oggi sul sito dell’Autorità.

 

Autore: La redazione PERK SOLUTION

Garante privacy,no all’uso delle impronte digitali dei dipendenti se manca base normativa

Il Garante ha sanzionato per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti. A seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare questo tipo di sistemi è necessaria infatti una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati. Nel caso della Asp di Enna la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo della legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.
L’istruttoria dell’Autorità, avviata a seguito di alcuni articoli di stampa, ha consentito di accertare che il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. L’Azienda, poi, verificava l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.
L’Autorità ha ritenuto, contrariamente a quanto sostenuto dall’Azienda sanitaria, che in questo modo si effettuava un trattamento di dati biometrici dei dipendenti (sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente,) in assenza di una idonea base giuridica. Né il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, può essere considerato valido, nel contesto lavorativo, a maggior ragione pubblico, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro
Inoltre la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal Regolamento europeo in materia di privacy.
Considerati tutti gli aspetti della vicenda, il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha applicato all’Asp 30.000 euro di sanzione. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.

 

Trasparenza online della P.A. e privacy, le FAQ del Garante

Il Garante per la protezione dei dati personali ha pubblicato sul proprio sito internet le domande e le relative risposta in materia di trasparenza on line nella pubblica amministrazione. La trasparenza consiste nella pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, resa oggi più semplice e ampia dalla circolazione delle informazioni sulla rete internet a partire dalla loro pubblicazione sui siti istituzionali delle amministrazioni. Lo scopo è quello di favorire forme diffuse di controllo sull´azione amministrativa, sull’utilizzo delle risorse pubbliche e sulle modalità con le quali le pubbliche amministrazioni agiscono per raggiungere i propri obiettivi. Sì. Con l´adozione di apposite Linee guida (provvedimento del 15 maggio 2014), il Garante è intervenuto proprio per  assicurare l´osservanza della disciplina in materia di protezione dei dati personali nell´adempimento degli obblighi di pubblicazione sul web di atti e documenti. Le linee guida hanno lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell´azione amministrativa. In merito ai limiti degli obblighi di pubblicazione online di atti e documenti contenenti dati personali, il Garante precisa che, dopo aver verificato la sussistenza dell´obbligo di pubblicazione dell´atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono sensibili (ossia idonei a rivelare ad esempio l´origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l´adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa. Prima di procedere alla pubblicazione sul proprio sito web la P.A. deve:
– individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale;
– verificare, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni;
– sottrarre all´indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari, come ricordati al punto precedente.

 

Autore: La redazione PERK SOLUTION

 

Garante privacy, sanzione al Comune per la violazione della disciplina in materia di protezione dei dati personali

Il Garante della protezione dei dati persoli, con ordinanza-ingiunzione del 15 gennaio scorso, ha comminato una sanzione amministrativa pecuniaria, pari ad euro 10.000,00, per violazione della disciplina in materia di protezione dei dati personali. Nel caso di specie, è emerso che sul sito web istituzionale del Comune, nella sezione dedicata all’Albo pretorio, era visibile e liberamente scaricabile la determinazione dirigenziale con la quale veniva disposta la liquidazione delle spese legali per un procedimento giudiziario in cui era stato parte il Comune medesimo; nello stesso atto risultavano riportati anche dati e informazioni personali del reclamante, con dettagliati riferimenti alle relative infermità per cause di servizio, come l’indicazione che lo stesso aveva «diritto all’equo indennizzo per XX». Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dal Comune, e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio del Garante ha accertato che il Comune con la pubblicazione integrale sito web istituzionale della suddetta determinazione, nella sezione dedicata all’Albo pretorio, abbia effettuato un trattamento non conforme alla disciplina rilevante in materia di protezione dei dati personali.

 

Autore: La redazione PERK SOLUTION

Concorsi pubblici, Garante Privacy: i dati dei partecipanti devono essere blindati

Una Azienda ospedaliera si è vista applicare dal Garante per la privacy una multa di 80mila euro, per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri. Un’altra sanzione di 60mila euro è stata irrogata alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.
A seguito di una segnalazione, con la quale si lamentava il fatto che i dati dei candidati alla selezione – in alcuni casi anche relativi alla salute (titoli di preferenza e certificazioni mediche) – fossero liberamente accessibili online, l’Autorità ha avviato una complessa istruttoria, anche attraverso accertamenti ispettivi, che ha messo in luce numerosi e gravi inadempimenti alla disciplina di protezione dati.
Collegandosi alla piattaforma per la gestione delle domande, per un’errata configurazione dei sistemi, in un determinato arco temporale era stato infatti possibile visualizzare un elenco di codici, assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale nella quale erano contenuti i documenti presentati dai partecipanti. Utilizzando i codici si sarebbe perfino potuto modificare i dati personali inseriti dai concorrenti. L’Autorità ha ritenuto illeciti i trattamenti di dati personali svolti dall’Azienda ospedaliera e dalla Società perché effettuati in violazione delle norme del Regolamento europeo.
Entrambi i soggetti non avevano infatti adottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati. L’Azienda ospedaliera, oltretutto, non aveva fornito ai partecipanti una idonea informativa e aveva anche omesso di regolamentare il rapporto con la Società che gestiva la piattaforma con un contratto o con un altro atto giuridico che disciplinasse il trattamento di dati effettuato per suo conto. Il Garante infine, rilevato che la Società continuava a conservare e rendere disponibili sulla propria piattaforma i dati dei partecipanti anche dopo la cessazione della fornitura del servizio, ha vietato ogni ulteriore trattamento ad eccezione di quanto necessario per la difesa dei diritti in sede giudiziaria. Entro 30 giorni la Società dovrà comunicare all’Autorità le iniziative prese per assicurare la cessazione del trattamento.
Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento.
L’Autorità tenuto conto della particolare delicatezza dei dati diffusi, oltre alla sanzione pecuniaria ha applicato la sanzione accessoria della pubblicazione dei due provvedimenti sul proprio sito web.

 

Autore: La redazione PERK SOLUTION