Articoli

Data Breach Inps, per il Garante costituisce un rischio elevato per i diritti e le libertà dei soggetti coinvolti

Il Data Breach Inps: ancora criticità secondo il Garante?

Il caso di Data breach che ha colpito il portale dell’Inps nel mese di Aprile rappresenta una delle più recenti violazioni che hanno interessato le Pubbliche Amministrazioni. Come evidenziato nel precedente post, il Garante per la protezione dei dati personali ha dichiarato che l’assenza di adeguate misure di sicurezza per la tutela delle banche dati e dei siti delle amministrazioni pubbliche rappresenta una questione critica ricorrente.

Con note del 1° aprile e del 6 aprile 2020, l’Inps ha reso note le violazioni dei dati personali che si sono verificate in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, notificando all’Autorità, ai sensi dell’art. 33 GDPR, due distinte violazioni dei dati personali. In particolare:

  • L’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
  • L’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

 

L’episodio ha fatto emergere di talune criticità nell’adozione delle più opportune misure di sicurezza, richieste dall’art. 32 GDPR. In ogni caso, l’Istituto ha ritenuto che la violazione non fosse tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche e, pertanto, difettassero i presupposti per la comunicazione della violazione dei dati personali agli interessati coinvolti.

Con provvedimento del 14 maggio 2020, il Garante per la protezione dei dati personali ha invece rilevato la sussistenza di rischi elevati per i diritti e le libertà degli interessati.

Di conseguenza, ha ravvisato la necessità e l’urgenza di ingiungere all’Inps, ai sensi dell’art. 58, par. 2, lett. e) GDPR. In particolare:

  • Di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse;
  • Di fornire i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni;
  • Di indicare agli interessati le specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni.

 

Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”

 

Le posizioni del Garante evidenziano la necessità, per le Pubbliche Amministrazioni, di percorsi formativi:

  • integrati, che coinvolgano le varie figure professionali;
  • mirati ad assicurare la sicurezza del trattamento;
  • aggiornati su tutte le principali questioni connesse al GDPR.

 

Per tali ragioni, Hedya propone il percorso formativo innovativoLe Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema.  Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.

 

Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

 

/da

App e Contact Tracing Covid nel mirino del Comitato europeo per la protezione dati: la privacy deve essere rispettata

App sul tracciamento anti-Covid: quali requisiti?

 

Con l’ordinanza n. 10/2020 del 16 aprile 2020, il Commissario straordinario per l’emergenza ha disposto di di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a. per la realizzazione dell’App “Immuni”.

Secondo il Commissario straordinario, il contact tracing o tracciatura dei contatti è una delle azioni di sanità pubblica utilizzate per la prevenzione e contenimento della diffusione di molte malattie infettive.

In particolare, le funzioni sviluppate dalla software house sono due:

  • La prima consiste nel sistema di tracciamento dei contatti posti a un metro di distanza, attraverso la tecnologia Bluetooth. L’ app scaricata, infatti, permette la generazione di codici identificativi di tutti i dispositivi con i quali si è venuti in contatto, conservandoli sul dispositivo di ciascun cittadino – utente, così da poter rintracciare e isolare i potenziali contagiati ripercorrendo a ritroso tutti gli incontri di una persona risultata positiva al virus.
  • La seconda funzione consiste nella redazione di un diario clinico, contenente tutte le informazioni più rilevanti del singolo utente, come ad esempio il genere, l’età, eventuali patologie pregresse ed assunzione di farmaci. Sarà cura dello stesso utente procedere all’aggiornamento del diario clinico, soprattutto in caso di eventuali sintomi riscontrati.

 

L’impiego delle App, anche se gestite da autorità pubbliche, richiede comunque il rispetto degli standard previsti dal GDPR in tema di protezione dei dati personali e di sicurezza del trattamento.

Come chiarito anche dal Comitato dei Garanti (EDPB) con le recenti Guidelines 3/2020, anche il trattamento di dati relativi alla salute attraverso app deve essere conforme al GDPR. In particolare, dovranno essere garantiti:

  • La sussistenza di una base giuridica legittimante le operazioni di trattamento;
  • La trasparenza e la correttezza del trattamento, anche attraverso la predisposizione dell’informativa ai sensi degli artt. 13 – 14 GDPR;
  • La predisposizione di misure che garantiscano la sicurezza del trattamento;
  • L’esercizio dei diritti degli interessati di cui agli artt. 15-22 GDPR.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Contact Tracing: Regione che vai, App che trovi. Stop del Garante

App sul tracciamento anti-Covid: quali requisiti?

 

La permanenza di un elevato numero dei contagi a distanza da oltre un mese dal lockdown, assieme alla contestuale programmazione della fase di riapertura delle attività su tutto il territorio nazionale, ha spinto il governo a ricercare le più idonee misure per garantire il distanziamento sociale e il contenimento del contagio.

Per attuare tale politica di prevenzione, si è ritenuto di procedere al contact tracing: la tracciatura dei contatti è considerata una delle azioni di sanità pubblica utilizzate per la prevenzione e contenimento della diffusione di molte malattie infettive.

Con l’ordinanza n. 10/2020 del 16 aprile 2020, il Commissario straordinario per l’emergenza ha disposto di di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a. per la realizzazione dell’App “Immuni”, utilizzabile su tutto il territorio nazionale.

La misura disposta dal Commissario rappresenta soltanto l’ultima delle molteplici iniziative consolidatesi a livello regionale: nell’inerzia statuale, infatti, varie regioni hanno provveduto alla realizzazione ovvero sperimentazione di App in grado di monitorare gli spostamenti nel territorio regionale, specialmente nel caso di soggetti sottoposti a quarantena obbligatoria.

Tra le varie Regioni, la Sardegna è stata una delle prime che ha deciso di ricorrere alle app di contact tracing. Pertanto, è stata predisposta l’app Covid 19 Regione Sardegna: si tratta di un’app scaricabile sia su dispositivi Android, sia su dispositivi ios, che completa le misure già adottate per tracciare gli spostamenti dei soggetti di recente sbarcati sull’isola. Ispirandosi al modello coreano, l’app mira a tracciare in tempo reale gli spostamenti delle persone, sfruttando i loro smartphone e tecniche avanzate di geolocalizzazione.

In particolare, il sistema si prefiggeva un obiettivo ambizioso, consistente nel monitoraggio della posizione degli utenti ogni 60 secondi, comune per comune, con approssimazione fino al numero civico.

L’impiego delle App, anche se gestite da autorità pubbliche, richiede comunque il rispetto degli standard previsti dal GDPR in tema di protezione dei dati personali e di sicurezza del trattamento.

Come chiarito anche dal Comitato dei Garanti (EDPB) con le recenti Guidelines 3/2020, anche il trattamento di dati relativi alla salute attraverso app deve essere conforme al GDPR. In particolare, dovranno essere garantiti:

  • La sussistenza di una base giuridica legittimante le operazioni di trattamento;
  • La trasparenza e la correttezza del trattamento, anche attraverso la predisposizione dell’informativa ai sensi degli artt. 13 – 14 GDPR;
  • La predisposizione di misure che garantiscano la sicurezza del trattamento;
  • L’esercizio dei diritti degli interessati di cui agli artt. 15-22 GDPR.

 

Tali linee sono state ribadite dal Garante privacy, che nel rammentare le regole fissate dall’Europa per il tracciamento, ha confermato l’impossibilità di ricorrere alla geolocalizzazione, optando al contrario per la tecnologia bluetooth, garantendo anonimato e volontarietà.

Per quanto riguarda la differenziazione regionale, il Garante privacy ha consigliato l’arresto di ogni iniziativa regionale a contenuto tecnologico. Occorrerebbe, invece, uniformare al massimo i comportamenti per inserire il data tracing in una strategia più generale che consenta di scongiurare nuovi focolai. Pertanto, se ogni regione adottasse la sua app ed effettua il suo tracciamento, il potere persuasivo viene meno e il rischio di trattamento scorretto dei dati aumenta a dismisura.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Data Protection Officer: l’Antitrust interviene sui requisiti professionali necessari

Il parere dell’Antitrust sui requisiti professionali del DPO: cosa cambia?

 

Con l’introduzione del Regolamento (UE) 2016/679 (il “GDPR”), l’articolo 37 stabilisce i casi in cui le Pubbliche Amministrazioni e gli operatori privati, in quanto titolari del trattamento dei dati personali, debbano provvedere a designare obbligatoriamente il Data Protection Officer (DPO).

Il DPO è destinato ad assolvere molteplici funzioni:

  • di supporto e controllo;
  • consultive;
  • formative e informative

relativamente all’applicazione del Regolamento.

L’articolo 37, tuttavia, non specifica le qualità professionali da prendere in considerazione nella nomina del DPO, prevedendo soltanto:

  • la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati;
  • la capacità di assolvere i compiti di cui all’articolo 39.

 

Per tali ragioni, l’Autorità Garante della concorrenza e del Mercato (Agcm) ha fornito alcune osservazioni sui requisiti e modalità per la nomina dei DPO esterno, ai sensi dell’articolo 37, comma 6 del GDPR.

L’Autorità, in particolare, ha evidenziato che né il Regolamento, le successive Linee Guida elaborate dal Gruppo di lavoro “Articolo 29” richiedono un’abilitazione professionale per l’esercizio del ruolo di RDP: di conseguenza, ha ritenuto “discriminatorio e non giustificatorichiedere l’obbligatoria iscrizione all’albo degli avvocati nell’ambito della procedura, indetta dalla Pubblica Amministrazione, per la selezione di un DPO esterno. A giudizio dell’Agcm, tale requisito si dimostra inidoneo a dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato del servizio e si palesa, al contrario, del tutto sproporzionato e discriminatorio, perché escluderebbe in modo ingiustificato dalla competizione soggetti esperti della materia, ma non iscritti all’albo.

 

 

Quali competenze per il DPO? I percorsi formativi proposti da Hedya

 

La prassi più recente evidenzia come il DPO debba possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Ex dipendente, il Garante dispone: è illecito mantenere attivo l’account aziendale

Account aziendale dell’ex dipendente: il datore può accedere?

 

La protezione dei dati personali del dipendente deve essere assicurata anche in caso di cessazione del rapporto di lavoro. Questo è il principio espresso dal Garante per la protezione dati in un suo recente parere.

Nel caso di specie, una società aveva mantenuto attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro, accedendo alle mail aziendali contenute nella sua casella di posta elettronica. L’ex dipendente era venuto a conoscenza di questa condotta per caso, nel corso di un giudizio promosso nei suoi confronti proprio dalla sua ex azienda: quest’ultima, in particolare, aveva depositato agli atti una email recapitata sulla sua casella di posta un anno dopo la cessazione del rapporto lavorativo. L’account di posta era rimasto così attivo per oltre un anno e mezzo, e la sua eliminazione è avvenuta solo dopo la diffida presentata dal lavoratore nei confronti dell’azienda. L’ex dipendente ha, inoltre, proposto reclamo al Garante, giacché per tale periodo la società aveva avuto accesso a tutte le comunicazioni contenute nel proprio account, anche estranee all’attività lavorativa.

Secondo il Garante, grava sul datore di lavoro l’obbligo, in conformità ai principi in materia di protezione dei dati personali, di rimuove gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili dopo la cessazione del rapporto di lavoro, in un tempo ragionevole parametrato ai tempi tecnici di predisposizione delle misure.

È onore del datore di lavoro, inoltre:

  • provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento;
  • predisporre misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;

L’adozione di tali misure tecnologiche ed organizzative consente, secondo il Garante, di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

 

 

Come operare correttamente? I percorsi formativi e i servizi di consulenza offerti da Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Si suggerisce:

 

 

Ulteriori informazioni sono disponibili qui.

 

/da