Articoli

Contact Tracing: Regione che vai, App che trovi. Stop del Garante

App sul tracciamento anti-Covid: quali requisiti?

 

La permanenza di un elevato numero dei contagi a distanza da oltre un mese dal lockdown, assieme alla contestuale programmazione della fase di riapertura delle attività su tutto il territorio nazionale, ha spinto il governo a ricercare le più idonee misure per garantire il distanziamento sociale e il contenimento del contagio.

Per attuare tale politica di prevenzione, si è ritenuto di procedere al contact tracing: la tracciatura dei contatti è considerata una delle azioni di sanità pubblica utilizzate per la prevenzione e contenimento della diffusione di molte malattie infettive.

Con l’ordinanza n. 10/2020 del 16 aprile 2020, il Commissario straordinario per l’emergenza ha disposto di di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a. per la realizzazione dell’App “Immuni”, utilizzabile su tutto il territorio nazionale.

La misura disposta dal Commissario rappresenta soltanto l’ultima delle molteplici iniziative consolidatesi a livello regionale: nell’inerzia statuale, infatti, varie regioni hanno provveduto alla realizzazione ovvero sperimentazione di App in grado di monitorare gli spostamenti nel territorio regionale, specialmente nel caso di soggetti sottoposti a quarantena obbligatoria.

Tra le varie Regioni, la Sardegna è stata una delle prime che ha deciso di ricorrere alle app di contact tracing. Pertanto, è stata predisposta l’app Covid 19 Regione Sardegna: si tratta di un’app scaricabile sia su dispositivi Android, sia su dispositivi ios, che completa le misure già adottate per tracciare gli spostamenti dei soggetti di recente sbarcati sull’isola. Ispirandosi al modello coreano, l’app mira a tracciare in tempo reale gli spostamenti delle persone, sfruttando i loro smartphone e tecniche avanzate di geolocalizzazione.

In particolare, il sistema si prefiggeva un obiettivo ambizioso, consistente nel monitoraggio della posizione degli utenti ogni 60 secondi, comune per comune, con approssimazione fino al numero civico.

L’impiego delle App, anche se gestite da autorità pubbliche, richiede comunque il rispetto degli standard previsti dal GDPR in tema di protezione dei dati personali e di sicurezza del trattamento.

Come chiarito anche dal Comitato dei Garanti (EDPB) con le recenti Guidelines 3/2020, anche il trattamento di dati relativi alla salute attraverso app deve essere conforme al GDPR. In particolare, dovranno essere garantiti:

  • La sussistenza di una base giuridica legittimante le operazioni di trattamento;
  • La trasparenza e la correttezza del trattamento, anche attraverso la predisposizione dell’informativa ai sensi degli artt. 13 – 14 GDPR;
  • La predisposizione di misure che garantiscano la sicurezza del trattamento;
  • L’esercizio dei diritti degli interessati di cui agli artt. 15-22 GDPR.

 

Tali linee sono state ribadite dal Garante privacy, che nel rammentare le regole fissate dall’Europa per il tracciamento, ha confermato l’impossibilità di ricorrere alla geolocalizzazione, optando al contrario per la tecnologia bluetooth, garantendo anonimato e volontarietà.

Per quanto riguarda la differenziazione regionale, il Garante privacy ha consigliato l’arresto di ogni iniziativa regionale a contenuto tecnologico. Occorrerebbe, invece, uniformare al massimo i comportamenti per inserire il data tracing in una strategia più generale che consenta di scongiurare nuovi focolai. Pertanto, se ogni regione adottasse la sua app ed effettua il suo tracciamento, il potere persuasivo viene meno e il rischio di trattamento scorretto dei dati aumenta a dismisura.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

La didattica online ai tempi del Covid-19: dal Garante le istruzioni per l’uso

Didattica online e privacy: quali tutele?

Il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo a piattaforme e-learning per supportare forme di didattica a distanza, così da garantirne la continuità.

Tuttavia, i primi utilizzi hanno sollevato molteplici criticità, già menzionate nel precedente articolo.

Per rispondere alle principali questioni sollevate in materia di privacy, il Garante ha pubblicato un atto di indirizzo per scuole ed atenei.

In sintesi, le prime Linee di indirizzo fornite dal Garante precisano che:

  • Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento in questo caso è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
  • Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza, occorrerà preferire quegli strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati.
  • Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
  • Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.
  • Inoltre, i gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.

 

Le indicazioni del Garante si rivelano uno strumento utile per orientare le modalità didattiche di scuole e università. Tuttavia, non eliminano tutte le criticità connesse, ad esempio, alla registrazione delle lezioni, al controllo a distanza dei docenti e alla diffusione di contenuti non autorizzati in rete. Le istituzioni scolastiche ed universitarie, pertanto, non sono esonerate dal valutare tutti i possibili rischi dovendo, di converso, predisporre tutte le misure tecniche ed organizzative più idonee.

Per tali ragioni, risulta necessario applicare tutti i principi previsti dal GDPR, partendo anzitutto da quelli indicati all’articolo 5, come il principio di finalità, accountability e minimizzazione.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Lo smart working non riduce il contagio cyber: nuove minacce per la privacy e la sicurezza

Smart working: quali adempimenti?

In questo periodo di particolare emergenza sanitaria, il Governo ha invitato le organizzazioni pubbliche e private a far lavorare i propri dipendenti da casa, secondo le modalità previste dalla legge n. 81/2017 sullo smart working. Si tratta di una forma di lavoro più flessibile, giacché consente di svolgere le proprie attività lavorative al di fuori del luogo di lavoro, conciliando tali impegni con la vita privata. La diffusione generalizzata della rete, in particolare, consente di poter connettersi ovunque ed in qualsiasi momento.

Tuttavia, questo non basta. Spesso, purtroppo, si dà per scontato che lavorare da casa possa essere sicuro come lavorare in ufficio: al contrario, lo smart working deve garantire il rispetto della privacy e della sicurezza informatica.

L’utilizzo di dispositivi personali e non forniti dall’azienda, tende a far trascurare l’adozione di opportune misure di sicurezza, e si sottovalutano i piccoli rischi normalmente connessi alla navigazione in rete e accettati con ingenuità:

  • L’assenza di un’adeguata formazione dei dipendenti costituisce un ulteriore fattore di rischio per l’integrità e la sicurezza dei dati detenuti dall’azienda o dalla Pubblica Amministrazione: occorre riporre attenzione, ad esempio, all’accesso a siti pericolosi, al download di file sospetti etc.;
  • La mancata adozione, o l’inadeguatezza di sistemi antivirus o antimalaware rende i dispositivi personali (Pc, tablet utilizzati indistintamente in famiglia), utilizzati per accedere ai sistemi aziendali ed amministrativi, possibili bersagli di attacchi cyber per il furto di dati;
  • Inoltre, la predisposizione di parametri standard per la gestione degli accessi alle connessioni di rete domestiche possono costituire un ulteriore fattore di vulnerabilità.

 

Accanto a tali criticità, occorre poi ricordare che lo smart working non possa tradursi in uno strumento per operare un illegittimo controllo a distanza sui lavoratori. Lo sfruttamento delle connessioni da remoto, attraverso l’attivazione delle webcam, non può ritenersi un comportamento lecito del datore di lavoro.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

/da

La privacy ai tempi del coronavirus: nessun intralcio alle misure anti-contagio

La data protection ai tempi del coronavirus: come si applica il GDPR?

 

Nella giornata del 16 marzo 2020, il Comitato europeo per la protezione dati (EDPB) ha diramato un Comunicato stampa per fornire orientamenti in merito alla corretta applicazione del GDPR nel grave scenario epidemico in atto.

Il Comitato europeo ha evidenziato come le misure di contrasto al contagio da Covid-19 possano coinvolgere il trattamento di varie tipologie di dati, sia di natura personale che non personale.

A sua volta, nell’ambito del trattamento dei dati personali, occorre ulteriormente distinguere:

  • Il GDPR troverà applicazione per il trattamento dei dati personali, relativi alle persone fisiche;
  • Per il trattamento dati nell’ambito delle Comunicazioni elettroniche, invece, troverà applicazione la direttiva e-Privacy 2002/58/Ce.

 

Per tali ragioni, la normativa in materia di protezione dei dati personali non costituisce, a giudizio del Comitato, alcun motivo di ostacolo alla predisposizione di misure anti-contagio, da parte delle Istituzioni pubbliche e dalle aziende, sia pubbliche che private.

Il Comitato individua il fondamento di liceità delle attuali attività di trattamento negli articoli 6 e 9 del GDPR: di conseguenza, i titolari del trattamento possono raccogliere i dati personali necessari e pertinenti per il contenimento del contagio ai sensi dell’art. 6 e 9 del GDPR, sussistendo motivi di interesse pubblico nel settore della sanità pubblica, ovvero che legittimino il trattamento per proteggere interessi vitali degli interessati.

Qualora, invece, si operi il tracciamento degli interessati attraverso la geolocalizzazione dei dispositivi mobili, per limitare la diffusione del virus, il Comitato rammenta che in base alla direttiva e-Privacy un tale tipo di trattamento richiederebbe il previo consenso dell’interessato, a meno che i dati non siano stati opportunamente anonimizzati.

Qualora non sia possibile procedere al trattamento esclusivo di dati anonimizzati, il Comitato non esclude che gli Stati possano adottare, ai sensi dell’articolo 15 della Direttiva, misure legislative per il perseguimento di finalità di sicurezza nazionale e di pubblica sicurezza, contemperando i principi di necessità, adeguatezza e proporzionalità del trattamento.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti misure adottate a livello europeo confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Conservazione documentale, Transizione al Digitale e GDPR: legame necessario nella bozza di Linee Guida AgID

Le Linee guida AgID: i Responsabili della Conservazione, Transizione al Digitale e Protezione Dati devono collaborare

 

Con l’iter di approvazione delle Linee guida sull’accessibilità degli strumenti informatici, le regole tecniche in materia di formazione, protocollazione, gestione e conservazione del documento, già precedentemente regolate nei DPCM del 2013 e 2014, sono oggetto di riforma.

L’obiettivo generale delle Linee guida, attualmente in fase di consultazione, è che la gestione complessiva del documento informatico risulti semplificata, attraverso una visione d’insieme che aggrega in un unico testo tutte quelle materie prima disciplinate separatamente. Come precisato dal Consiglio di Stato nel parere n. 2122/2017, reso sullo schema di decreto legislativo del correttivo al Codice dell’Amministrazione Digitale, le Linee Guida adottate da AGID, ai sensi dell’art. 71 del CAD, hanno carattere vincolante e assumono valenza erga omnes.

Nell’attuazione delle Linee Guida, inoltre, le Pubbliche Amministrazioni sono tenute ad ottemperare anche alle misure minime di sicurezza ICT emanate dall’AgID con circolare del 18 aprile 2017, n. 2/2017. Per attuare il piano della sicurezza del sistema di gestione informatica dei documenti, nell’ambito del piano generale della sicurezza ed in coerenza con quanto previsto dal Piano Triennale per l’Informatica nella Pubblica Amministrazione vigente, le Linee guida prevedono una forte coordinazione e collaborazione tra:

  • Responsabile della gestione documentale;
  • Responsabile della sicurezza;
  • Responsabile della conservazione;
  • Responsabile dell’ufficio per la Transizione al Digitale (RTD);
  • Responsabile per la Protezione dati (DPO).

In particolare, il responsabile della conservazione, di concerto con il responsabile della sicurezza e con il responsabile della transizione digitale, acquisito il parere del responsabile della protezione dei dati personali, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, mettendo in atto opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, ai sensi dell’art. 32 del GDPR.

 

Come attuare le misure richieste da AgID? I percorsi formativi e i servizi di consulenza proposti da Hedya in materia di Protezione Dati, Transizione al Digitale e Conservazione

 

Le recenti Linee Guida confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

  1. Formazione e Consulenza in materia di Conservazione

 

Il Responsabile della Conservazione rappresenta, secondo le Linee Guida AgID, una figura con formazione specialistica che ha il compito di definire e attuare, in piena autonomia decisionale, le politiche in merito alla progettazione e alla gestione dei sistemi informatici di conservazione e archiviazione documentale.

Per tali ragioni, Hedya propone un percorso formativo per tutti coloro che vogliano intraprendere un percorso professionale di elevata specializzazione, finalizzato all’acquisizione delle conoscenze preliminari di natura giuridica, organizzativa e tecnologica tipiche del ruolo di Responsabile della Conservazione dei documenti informatici.

I contenuti del corso mirano, pertanto, ad illustrare le vigenti disposizioni in materia di:

  • Dematerializzazione;
  • Digitalizzazione;
  • Conservazione e Archiviazione di documenti informatici;

 

Ulteriori informazioni sono disponibili qui.

 

 

/da

Data Protection Officer: l’Antitrust interviene sui requisiti professionali necessari

Il parere dell’Antitrust sui requisiti professionali del DPO: cosa cambia?

 

Con l’introduzione del Regolamento (UE) 2016/679 (il “GDPR”), l’articolo 37 stabilisce i casi in cui le Pubbliche Amministrazioni e gli operatori privati, in quanto titolari del trattamento dei dati personali, debbano provvedere a designare obbligatoriamente il Data Protection Officer (DPO).

Il DPO è destinato ad assolvere molteplici funzioni:

  • di supporto e controllo;
  • consultive;
  • formative e informative

relativamente all’applicazione del Regolamento.

L’articolo 37, tuttavia, non specifica le qualità professionali da prendere in considerazione nella nomina del DPO, prevedendo soltanto:

  • la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati;
  • la capacità di assolvere i compiti di cui all’articolo 39.

 

Per tali ragioni, l’Autorità Garante della concorrenza e del Mercato (Agcm) ha fornito alcune osservazioni sui requisiti e modalità per la nomina dei DPO esterno, ai sensi dell’articolo 37, comma 6 del GDPR.

L’Autorità, in particolare, ha evidenziato che né il Regolamento, le successive Linee Guida elaborate dal Gruppo di lavoro “Articolo 29” richiedono un’abilitazione professionale per l’esercizio del ruolo di RDP: di conseguenza, ha ritenuto “discriminatorio e non giustificatorichiedere l’obbligatoria iscrizione all’albo degli avvocati nell’ambito della procedura, indetta dalla Pubblica Amministrazione, per la selezione di un DPO esterno. A giudizio dell’Agcm, tale requisito si dimostra inidoneo a dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato del servizio e si palesa, al contrario, del tutto sproporzionato e discriminatorio, perché escluderebbe in modo ingiustificato dalla competizione soggetti esperti della materia, ma non iscritti all’albo.

 

 

Quali competenze per il DPO? I percorsi formativi proposti da Hedya

 

La prassi più recente evidenzia come il DPO debba possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Ex dipendente, il Garante dispone: è illecito mantenere attivo l’account aziendale

Account aziendale dell’ex dipendente: il datore può accedere?

 

La protezione dei dati personali del dipendente deve essere assicurata anche in caso di cessazione del rapporto di lavoro. Questo è il principio espresso dal Garante per la protezione dati in un suo recente parere.

Nel caso di specie, una società aveva mantenuto attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro, accedendo alle mail aziendali contenute nella sua casella di posta elettronica. L’ex dipendente era venuto a conoscenza di questa condotta per caso, nel corso di un giudizio promosso nei suoi confronti proprio dalla sua ex azienda: quest’ultima, in particolare, aveva depositato agli atti una email recapitata sulla sua casella di posta un anno dopo la cessazione del rapporto lavorativo. L’account di posta era rimasto così attivo per oltre un anno e mezzo, e la sua eliminazione è avvenuta solo dopo la diffida presentata dal lavoratore nei confronti dell’azienda. L’ex dipendente ha, inoltre, proposto reclamo al Garante, giacché per tale periodo la società aveva avuto accesso a tutte le comunicazioni contenute nel proprio account, anche estranee all’attività lavorativa.

Secondo il Garante, grava sul datore di lavoro l’obbligo, in conformità ai principi in materia di protezione dei dati personali, di rimuove gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili dopo la cessazione del rapporto di lavoro, in un tempo ragionevole parametrato ai tempi tecnici di predisposizione delle misure.

È onore del datore di lavoro, inoltre:

  • provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento;
  • predisporre misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;

L’adozione di tali misure tecnologiche ed organizzative consente, secondo il Garante, di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

 

 

Come operare correttamente? I percorsi formativi e i servizi di consulenza offerti da Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Si suggerisce:

 

 

Ulteriori informazioni sono disponibili qui.

 

/da

Formazione digitale e credito d’imposta: proroga di un anno per maturare competenze digitali

Le novità della Legge di Bilancio

 

La legge di Bilancio 2020 proroga di un anno il bonus formazione 4.0: sin dal disegno di legge, infatti, si è prevista l’applicazione alle spese di formazione sostenute nel periodo d’imposta successivo a quello in corso al 31 dicembre 2019. Con tale misura, inoltre, si intendono valorizzare i percorsi formativi soprattutto a vantaggio soprattutto delle dimensioni imprenditoriali di minori dimensioni.

Dal punto di vista operativo, si tratta del terzo anno di validità del credito d’imposta, applicabile alle attività di formazione finalizzate all’acquisizione e al consolidamento, da parte del personale dipendente dell’impresa, delle competenze nelle tecnologie rilevanti per la realizzazione del processo di trasformazione tecnologica e digitale delle imprese previsto dal “Piano nazionale Impresa 4.0”.

Per essere competitive, le imprese italiane devono adeguarsi alle innovazioni in corso: in tale contesto, la formazione dei dipendenti, soprattutto nel settore Industria 4.0, riveste un ruolo altrettanto fondamentale. La formazione digitale continua si rivela fondamentale per incrementare la qualità del lavoro svolto, ma anche per offrire servizi qualitativamente superiori.

Sono ammissibili al credito d’imposta solo le attività di formazione svolte per acquisire o consolidare le conoscenze delle tecnologie previste dal Piano Nazionale Impresa 4.0 quali:

  • big data e analisi dei dati;
  • cloud e fog computing;
  • cyber security, sistemi cyber-fisici, prototipazione rapida;
  • sistemi di visualizzazione e realtà aumentata, robotica avanzata e collaborativa, interfaccia uomo macchina, manifattura additiva;
  • internet delle cose e delle macchine e integrazione digitale dei processi aziendali.

Cosa fare?

 

Si suggeriscono, in relazione alle differenti esigenze formative, alcuni percorsi caratterizzanti:

  • Formazione breve: consente ai partecipanti di ottenere un’adeguata formazione in materia di gestione dei dati personali. Tale percorso risulta particolarmente rilevante per il settore pubblico, ove l’obbligo di formazione per le Pubbliche Amministrazioni le imprese in materia di protezione dei dati personaliper tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).
  • Formazione avanzata: fornisce ai partecipanti, che hanno già acquisito le conoscenze di base di natura giuridica e organizzativa, le nozioni pratico-applicative di base per lo svolgimento effettivo delle attività. Tale percorso è particolarmente utile per le attività che competono al Responsabile per la protezione dei dati personali (Data Protection Officer o DPO), proponendosi come approfondimento – in chiave tecnica – delle conoscenze di base già acquisite in precedenza.
  • Servizi di consulenzarivolta ad operatori pubblici e privati.
/da

Obiettivo Data Protection Officer: Hedya presenta i percorsi formativi più adeguati

Sfondo vettore creata da macrovector - it.freepik.combackground vector illustration">

Chi è il Data Protection Officer?  

 

Con l’entrata in vigore del nuovo Regolamento 2016/679/Ue (articoli 37 – 39) è stata introdotta, per tutti gli Stati membri, la figura del Data Protection Officer. Si tratta di una figura che richiama il cd. “Privacy Officer”, precedentemente previsto dall’articolo 18 della direttiva europea 1995/46/Ce, che istituiva semplificazioni o agevolazioni in caso di designazione di un soggetto indipendente, teso a garantire l’applicazione della normativa.

Pertanto, la codificazione della figura del Data Protection Officer (in seguito “DPO”) ha acquisito un’indiscussa centralità e dirompenza, tanto a livello statuale, quanto a livello europeo:

  • le comunicazioni dei dati di contatto dei responsabili della protezione dei dati siano state più di 48mila.
  • secondo uno studio condotto dall’IAPP (International Association of Privacy Professionals), il numero delle nomine a livello europeo supererebbe le soglie delle 500 mila unità.

 

Il DPO è dunque un soggetto indipendente, che non sostituisce, ma affianca il titolare o il responsabile del trattamento nella corretta gestione del trattamento dei dati personali.

La funzione del DPO è nettamente distinta da quelle del Titolare del trattamento:

  • spetta al Titolare la determinazione delle modalità e finalità del trattamento, oltre che all’ottemperanza degli adempimenti (come, ad esempio, il registro dei trattamenti);
  • il DPO assolve, ai sensi dell’articolo 39 GDPR, una funzione controllo e monitoraggio degli adempimenti e del rispetto delle prescrizioni previste dal Regolamento, ad esempio per l’esecuzione della valutazione d’impatto, la definizione del registro dei trattamenti, o la gestione delle terze parti.

Quale formazione?

 

Il DPO non richiede, tra i requisiti, il necessario possesso di certificazioni. L’articolo 37 del GDPR non fornisce un elenco analitico delle qualità professionali che dovrebbero essere considerate al momento della designazione del DPO. Pertanto, come affermato nella pronuncia del TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287  la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati.

Il Garante privacy ha specificato che è opportuno privilegiare i soggetti in possesso di approfondita conoscenza:

  • della normativa e delle prassi in materia di privacy nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
  • dei rischi propri di ciascun trattamento dati e delle più appropriate misure di sicurezza;

Inoltre, il DPO deve possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Convegno “Digitalizzazione e sicurezza, GDPR e Big Data: obblighi e opportunità per aziende e PA”

Perché la Digitalizzazione è così importante per le aziende e le PA?

 

L’avvento della Digitalizzazione offre nuove sfide ed opportunità per le aziende e la Pubblica Amministrazione. Per tali ragioni Hedya, con la sua pluriennale esperienza nell’organizzazione di percorsi di alta formazione con la collaborazione del DIEE dell’Università di Cagliari, ha organizzato un Convegno su “Digitalizzazione e sicurezza, GDPR e Big Data: obblighi e opportunità per aziende e PA”.

L’evento si terrà giovedì 3 Ottobre dalle ore 9.00, nella sede di Confindustria Sardegna Meridionale, viale Cristoforo Colombo 2 – 09125 Cagliari (CA).

Il Convegno mira ad affrontare le tematiche di maggior interesse per enti pubblici e privati, illustrandone i principali aspetti critici di natura normativa e tecnologica, consentendo altresì un confronto attivo con tutti i partecipanti che avranno il piacere di intervenire nella fase di chiusura dei lavori.

 

 

Il Programma in sintesi

 

Dopo l’apertura dei lavori, inaugurati da Michele Rossetti (Presidente della Sezione Terziario Innovativo di Confindustria Sardegna Meridionale) e Mariella Sole (CEO & CO-Founder, Hedya srl), si susseguiranno interventi di docenti e professionisti del settore vertenti su:

 

  • I principali protagonisti della Digitalizzazione e del settore Privacy;
  • I vantaggi competitivi per le imprese e opportunità per la PA derivanti dall’analisi dei Big Data;
  • Documenti informatici e il ruolo del Responsabile della conservazione;
  • Aspetti di sicurezza informatica;
  • Ruolo ed evoluzione dell’Amministratore di Sistema.

 

Seguirà, inoltre, la Presentazione dei Corsi di Alta Formazione organizzati da Hedya con la collaborazione del DIEE di Cagliari.

Ulteriori informazioni sull’evento sono disponibili al seguente link.

 

Perché optare per una corretta formazione?

 

Le recenti riforme normative in materia di protezione dati confermano che il digitale rappresenta un asset strategico per il corretto esercizio delle funzioni pubbliche e per lo sviluppo della competitività aziendale.

Tra le novità più significative si evidenziano:

 

Per tali ragioni, una corretta formazione si propone, dunque, come condizione imprescindibile.  

 

/da