Articoli

La didattica online ai tempi del Covid-19: dal Garante le istruzioni per l’uso

Didattica online e privacy: quali tutele?

Il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo a piattaforme e-learning per supportare forme di didattica a distanza, così da garantirne la continuità.

Tuttavia, i primi utilizzi hanno sollevato molteplici criticità, già menzionate nel precedente articolo.

Per rispondere alle principali questioni sollevate in materia di privacy, il Garante ha pubblicato un atto di indirizzo per scuole ed atenei.

In sintesi, le prime Linee di indirizzo fornite dal Garante precisano che:

  • Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento in questo caso è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
  • Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza, occorrerà preferire quegli strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati.
  • Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
  • Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.
  • Inoltre, i gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.

 

Le indicazioni del Garante si rivelano uno strumento utile per orientare le modalità didattiche di scuole e università. Tuttavia, non eliminano tutte le criticità connesse, ad esempio, alla registrazione delle lezioni, al controllo a distanza dei docenti e alla diffusione di contenuti non autorizzati in rete. Le istituzioni scolastiche ed universitarie, pertanto, non sono esonerate dal valutare tutti i possibili rischi dovendo, di converso, predisporre tutte le misure tecniche ed organizzative più idonee.

Per tali ragioni, risulta necessario applicare tutti i principi previsti dal GDPR, partendo anzitutto da quelli indicati all’articolo 5, come il principio di finalità, accountability e minimizzazione.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Lo smart working non riduce il contagio cyber: nuove minacce per la privacy e la sicurezza

Smart working: quali adempimenti?

In questo periodo di particolare emergenza sanitaria, il Governo ha invitato le organizzazioni pubbliche e private a far lavorare i propri dipendenti da casa, secondo le modalità previste dalla legge n. 81/2017 sullo smart working. Si tratta di una forma di lavoro più flessibile, giacché consente di svolgere le proprie attività lavorative al di fuori del luogo di lavoro, conciliando tali impegni con la vita privata. La diffusione generalizzata della rete, in particolare, consente di poter connettersi ovunque ed in qualsiasi momento.

Tuttavia, questo non basta. Spesso, purtroppo, si dà per scontato che lavorare da casa possa essere sicuro come lavorare in ufficio: al contrario, lo smart working deve garantire il rispetto della privacy e della sicurezza informatica.

L’utilizzo di dispositivi personali e non forniti dall’azienda, tende a far trascurare l’adozione di opportune misure di sicurezza, e si sottovalutano i piccoli rischi normalmente connessi alla navigazione in rete e accettati con ingenuità:

  • L’assenza di un’adeguata formazione dei dipendenti costituisce un ulteriore fattore di rischio per l’integrità e la sicurezza dei dati detenuti dall’azienda o dalla Pubblica Amministrazione: occorre riporre attenzione, ad esempio, all’accesso a siti pericolosi, al download di file sospetti etc.;
  • La mancata adozione, o l’inadeguatezza di sistemi antivirus o antimalaware rende i dispositivi personali (Pc, tablet utilizzati indistintamente in famiglia), utilizzati per accedere ai sistemi aziendali ed amministrativi, possibili bersagli di attacchi cyber per il furto di dati;
  • Inoltre, la predisposizione di parametri standard per la gestione degli accessi alle connessioni di rete domestiche possono costituire un ulteriore fattore di vulnerabilità.

 

Accanto a tali criticità, occorre poi ricordare che lo smart working non possa tradursi in uno strumento per operare un illegittimo controllo a distanza sui lavoratori. Lo sfruttamento delle connessioni da remoto, attraverso l’attivazione delle webcam, non può ritenersi un comportamento lecito del datore di lavoro.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

/da

La Didattica a distanza nell’era del Covid-19: la privacy non va in “quarantena”

Didattica a distanza e GDPR: quali regole?

L’emergenza sanitaria che l’Italia sta attraversando ha reso necessari, nell’arco di pochi giorni, provvedimenti che hanno richiesto l’attivazione, da parte di tutte le Università (ma anche di tutti gli Istituti scolastici, come precisato dal Miur con apposita nota) di apposite modalità di didattica a distanza.

Di conseguenza, attraverso l’impiego di molteplici piattaforme di e –learning a disposizione, i docenti procederanno all’erogazione dei propri corsi in forma asincrona o in streaming in tempo reale.

In tali casi, tuttavia, l’esigenza di somministrare percorsi formativi generalmente erogati offline non deve tradursi in una compromissione della protezione dati non solo degli studenti, ma anche dei docenti. Come osservato dal Comitato europeo per la protezione dati personali in una Dichiarazione resa lo scorso 19 marzo, il GDPR è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19.

In tale contesto, le modalità di erogazione delle lezioni in tempo reale, attraverso aule virtuali, costituiscono l’ipotesi più critica quanto alle molteplici tutele che devono essere costantemente garantite sia per gli studenti, che per i docenti impegnati nelle attività didattiche. L’emergenza sanitaria, infatti, pone questioni di ampio respiro connesse al GDPR, come ad esempio l’obbligo di effettuare valutazioni di impatto, o anche l’obbligo di fornire garanzie di sicurezza adeguate, che si collegano alle questioni più generali in materia di smart working.

  • Per quanto concerne la tutela degli studenti, bisogna rammentare che il GDPR prevede precisi oneri informativi agli articoli 13 e 14 sulle condizioni di liceità e le modalità di trattamento corretto, come ad esempio l’indicazione – in tali casi – del responsabile del trattamento ai sensi dell’art. 28 GDPR, che tratta i dati personali per le finalità connesse alla didattica.

Inoltre, occorre prestare attenzione alle modalità di utilizzo della piattaforma, come ad esempio alla gestione degli accessi, ma soprattutto all’utilizzo delle webcam e dell’audio, per evitare trasmissioni non consentite e riproduzioni illecite.

  • Per quanto concerne la posizione dei docenti, il discorso risulta più ampio. In tali casi, infatti, il rispetto del GDPR si interseca con ulteriori fonti normative, come ad esempio:
    • La disciplina sul controllo a distanza dei lavoratori;
    • La disciplina a tutela del diritto d’autore (nella duplice dimensione del diritto morale e patrimoniale d’autore).

Dal confronto con le diverse discipline citate, si pongono molteplici dubbi in merito alla possibilità di registrazione delle lezioni erogate in tempo reale, alle tutele che devono essere apprestate anche nei confronti del docente (si pensi, ad esempio, ai casi di condivisione dello schermo del pc personale del docente).

Inoltre, si pongono questioni in merito alle misure di sicurezza, che dovrebbero essere predisposte.

 

In conclusione, l’emergenza sanitaria ha spinto il settore pubblico e privato ad una fase di “smart working” forzato, in cui permangono ancora molteplici criticità, connessi all’impiego di un dispositivo personale per l’erogazione delle lezioni, ivi inclusi le connessioni personali (Wifi, Adsl, etc.). In questi casi, si pongono questioni:

  • sulle misure relative allasicurezza dei sistemi utilizzati da remoto;
  • sull’adozione o sull’adeguatezza di sistemi antivirus o antimalaware.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

La privacy ai tempi del coronavirus: nessun intralcio alle misure anti-contagio

La data protection ai tempi del coronavirus: come si applica il GDPR?

 

Nella giornata del 16 marzo 2020, il Comitato europeo per la protezione dati (EDPB) ha diramato un Comunicato stampa per fornire orientamenti in merito alla corretta applicazione del GDPR nel grave scenario epidemico in atto.

Il Comitato europeo ha evidenziato come le misure di contrasto al contagio da Covid-19 possano coinvolgere il trattamento di varie tipologie di dati, sia di natura personale che non personale.

A sua volta, nell’ambito del trattamento dei dati personali, occorre ulteriormente distinguere:

  • Il GDPR troverà applicazione per il trattamento dei dati personali, relativi alle persone fisiche;
  • Per il trattamento dati nell’ambito delle Comunicazioni elettroniche, invece, troverà applicazione la direttiva e-Privacy 2002/58/Ce.

 

Per tali ragioni, la normativa in materia di protezione dei dati personali non costituisce, a giudizio del Comitato, alcun motivo di ostacolo alla predisposizione di misure anti-contagio, da parte delle Istituzioni pubbliche e dalle aziende, sia pubbliche che private.

Il Comitato individua il fondamento di liceità delle attuali attività di trattamento negli articoli 6 e 9 del GDPR: di conseguenza, i titolari del trattamento possono raccogliere i dati personali necessari e pertinenti per il contenimento del contagio ai sensi dell’art. 6 e 9 del GDPR, sussistendo motivi di interesse pubblico nel settore della sanità pubblica, ovvero che legittimino il trattamento per proteggere interessi vitali degli interessati.

Qualora, invece, si operi il tracciamento degli interessati attraverso la geolocalizzazione dei dispositivi mobili, per limitare la diffusione del virus, il Comitato rammenta che in base alla direttiva e-Privacy un tale tipo di trattamento richiederebbe il previo consenso dell’interessato, a meno che i dati non siano stati opportunamente anonimizzati.

Qualora non sia possibile procedere al trattamento esclusivo di dati anonimizzati, il Comitato non esclude che gli Stati possano adottare, ai sensi dell’articolo 15 della Direttiva, misure legislative per il perseguimento di finalità di sicurezza nazionale e di pubblica sicurezza, contemperando i principi di necessità, adeguatezza e proporzionalità del trattamento.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti misure adottate a livello europeo confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Privacy e condominio: commette reato di diffamazione l’amministratore che rivela l’altrui morosità

 

Privacy e condominio: quali obblighi?

La protezione dei dati personali trova applicazione anche per il condominio. In tali casi, grava sull’amministratore di condominio (se nominato) rispettare i principi contemplati nel GDPR.

In questi casi, l’amministratore deve agire bilanciando due contrapposte esigenze, ovvero:

  • La tutela della riservatezza dei singoli condomini;
  • La trasparenza nella gestione del condominio.

Le criticità connesse a tale bilanciamento, in realtà, risultano anteriori all’entrata in vigore del GDPR: sin dal 2013, infatti, il Garante privacy aveva realizzato un Vademecum, contenente informazioni operative:

  • sulla qualifica soggettiva del condominio, dell’amministratore e dei condomini;
  • sulle modalità di svolgimento dell’assemblea condominiale (ad esempio, in caso di videoregistrazione delle sedute assembleari).

Nell’ambito delle proprie attività gestorie, i problemi più frequenti che coinvolgono l’amministratore di condominio riguardano gli stati di morosità dei condomini. In tali casi, l’amministratore potrà rispondere del reato di diffamazione, previsto dall’articolo 595 del codice penale, qualora le modalità di comunicazione dello stato di morosità non sia considerato idoneo.

La giurisprudenza ha infatti affermato che risponde del reato di diffamazione l’amministratore di condominio che:

  • per evitare il rischio imminente dell’interruzione della fornitura idrica condominiale, affigga sull’ascensore dello stabile l’elenco dei condomini morosi. In questo caso, la condotta è stata ritenuta sproporzionata e, comunque, ingiustificata atteso l’inevitabile pregiudizio recato alla persona offesa, che ben poteva essere notiziata in altro modo, anche perché l’amministratore era a conoscenza dello stato di insolvenza dei condomini da diverso tempo;
  • rende noto a terzi lo stato di morosità di determinati condomini. Il caso riguardava l’invio, da parte del legale dell’amministratore del condominio, di una serie di lettere di sollecito indirizzate a diversi destinatari nelle quali si dava comunicazione che il condomino era inadempiente al pagamento delle spese condominiali: in tali casi, seppur la notizia fosse vera, il mezzo e la forma verbale adoperata è stata qualificata diffamatoria.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti pronunce giurisprudenziali confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Il Coronavirus fa l’uomo “ladro”: Intesa San Paolo e Monte Paschi nel mirino banking trojan

Nuova epidemia di Coronavirus: quali tutele per la sicurezza informatica?

 

Come preannuciato in un post del mese scorso, accanto alla pandemia “umana” si è diffusa una nuova forma di epidemia virale, che sfrutta il timore di massa generato dal Coronavirus. I primi paesi colpiti dagli attacchi sono stati Giappone, Cina, Regno Unito e Stati Uniti.

A seguito della pandemia che sta colpendo l’Italia, la Polizia postale ha segnalato l’emersione di nuovi casi di phishing. In particolare, l’attacco consiste in una mail inviata a nome della dottoressa Marchetti, presunta esperta dell’OMS.

La nuova strategia hacker consiste nell’invio di una mail, da una sedicente istituzione pubblica sulla salute, per fornire utili informazioni sul Coronavirus: le email rinviano ad istruzioni testuali o video, contenute in allegato file pdf, mp4 e docx, dove si annida il malware Emotet, uno dei più pericolosi diffusi via posta. Infine, come confermato dal rapporto Ibm, le e-mail terminano anche con un indirizzo postale legittimo, un numero di telefono e fax, per indurre l’utente a confidare nell’affidabilità del contenuto.

Si tratta di un banking trojan, che si esegue e va alla ricerca dei dati di accesso a banking online presenti nel pc.

La Polizia di stato ha inoltre individuato, nel corso degli ultimi giorni, una campagna di phishing ai danni degli utenti di Banca Intesa San Paolo e di Banca Monte Paschi di Siena, condotta grazie all’invio massivo di e-mail contenenti una falsa nota informativa rivolta alla tutela dei clienti dell’istituto di credito. Le e-mail invitano l’utente a prendere visione di una comunicazione urgente, relativa alla nota emergenza sanitaria per il Coronavirus COVID-19, contenuta in un link individuato in calce alla mail.

In tali casi, cliccando sul link, gli utenti vengono reindirizzati ad un sito di phishing ed invitati a digitare le proprie credenziali per l’home banking, che verranno poi utilizzati per depauperare il conto dei malcapitati.

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

 

 

/da

Responsabile del Trattamento, l’Autorità danese propone clausole contrattuali tipo per la nomina

Nomina del Responsabile del Trattamento: quali clausole inserire?

 

Il GDPR conferma la definizione e l’importanza della figura del Responsabile del Trattamento (data processor).

L’aspetto più rilevante del Regolamento, tuttavia, consiste nell’aver regolato in modo più dettagliato e preciso la disciplina dell’accordo tra titolare e responsabile all’articolo 28 rispetto a quanto prevedeva la Direttiva 1995/46/Ce e il previgente Codice privacy, di cui al d.lgs. 196/2003.

Il Regolamento, infatti, impone al titolare una valutazione ponderata e precisa delle caratteristiche soggettive ed oggettive che il responsabile deve detenere, come ad esempio:

  • Possedere adeguata competenza specialistica;
  • Essere in grado di fornire affidabilità e risorse necessarie per mettere in atto misure tecniche ed organizzative adeguate.

 

Per tali ragioni, il GDPR ha altresì previsto che la nomina venga disciplinata da un atto con valenza giuridica.

L’art. 28 stabilisce, inoltre, che un’Autorità di controllo possa suggerire un corpo contrattuale standard. In base a tale disposizione, l’Autorità di controllo danese ha suggerito, attraverso l’Opinion 14/2019, apposite clausole – tipo e schemi contrattuali.

 

In particolare:

  • Può essere utile formare un testo contrattuale costituito anche da un indice iniziale e un preambolo;
  • Tra le clausole contrattuali, è importante inserire, ai sensi dell’art. 28, paragrafo 3 GDPR, una previsione sulla ripartizione delle conseguenze giuridiche, nel caso in cui il Titolare impartisca istruzioni in violazione della normativa;
  • In caso di molteplici e susseguenti nomine di sub –responsabili, può rivelarsi utile inserire nell’accordo tra Titolare e Responsabile un’autorizzazione generale, che facoltizzi il responsabile a ricorrere a sub responsabili.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

L’Opinione dell’Autorità di controllo danese evidenzia che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

/da

Conservazione documentale, Transizione al Digitale e GDPR: legame necessario nella bozza di Linee Guida AgID

Le Linee guida AgID: i Responsabili della Conservazione, Transizione al Digitale e Protezione Dati devono collaborare

 

Con l’iter di approvazione delle Linee guida sull’accessibilità degli strumenti informatici, le regole tecniche in materia di formazione, protocollazione, gestione e conservazione del documento, già precedentemente regolate nei DPCM del 2013 e 2014, sono oggetto di riforma.

L’obiettivo generale delle Linee guida, attualmente in fase di consultazione, è che la gestione complessiva del documento informatico risulti semplificata, attraverso una visione d’insieme che aggrega in un unico testo tutte quelle materie prima disciplinate separatamente. Come precisato dal Consiglio di Stato nel parere n. 2122/2017, reso sullo schema di decreto legislativo del correttivo al Codice dell’Amministrazione Digitale, le Linee Guida adottate da AGID, ai sensi dell’art. 71 del CAD, hanno carattere vincolante e assumono valenza erga omnes.

Nell’attuazione delle Linee Guida, inoltre, le Pubbliche Amministrazioni sono tenute ad ottemperare anche alle misure minime di sicurezza ICT emanate dall’AgID con circolare del 18 aprile 2017, n. 2/2017. Per attuare il piano della sicurezza del sistema di gestione informatica dei documenti, nell’ambito del piano generale della sicurezza ed in coerenza con quanto previsto dal Piano Triennale per l’Informatica nella Pubblica Amministrazione vigente, le Linee guida prevedono una forte coordinazione e collaborazione tra:

  • Responsabile della gestione documentale;
  • Responsabile della sicurezza;
  • Responsabile della conservazione;
  • Responsabile dell’ufficio per la Transizione al Digitale (RTD);
  • Responsabile per la Protezione dati (DPO).

In particolare, il responsabile della conservazione, di concerto con il responsabile della sicurezza e con il responsabile della transizione digitale, acquisito il parere del responsabile della protezione dei dati personali, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, mettendo in atto opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, ai sensi dell’art. 32 del GDPR.

 

Come attuare le misure richieste da AgID? I percorsi formativi e i servizi di consulenza proposti da Hedya in materia di Protezione Dati, Transizione al Digitale e Conservazione

 

Le recenti Linee Guida confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

  1. Formazione e Consulenza in materia di Conservazione

 

Il Responsabile della Conservazione rappresenta, secondo le Linee Guida AgID, una figura con formazione specialistica che ha il compito di definire e attuare, in piena autonomia decisionale, le politiche in merito alla progettazione e alla gestione dei sistemi informatici di conservazione e archiviazione documentale.

Per tali ragioni, Hedya propone un percorso formativo per tutti coloro che vogliano intraprendere un percorso professionale di elevata specializzazione, finalizzato all’acquisizione delle conoscenze preliminari di natura giuridica, organizzativa e tecnologica tipiche del ruolo di Responsabile della Conservazione dei documenti informatici.

I contenuti del corso mirano, pertanto, ad illustrare le vigenti disposizioni in materia di:

  • Dematerializzazione;
  • Digitalizzazione;
  • Conservazione e Archiviazione di documenti informatici;

 

Ulteriori informazioni sono disponibili qui.

 

 

/da

Università “all’esame” del Garante: la tutela del whistleblowing non rispetta il GDPR

Tutela del whistleblowing a prova del GDPR: errori da non commettere

Con il recente Provvedimento del 23 gennaio, il Garante privacy ha sanzionato l’Università La Sapienza di Roma, per una somma pari a 30 mila Euro.

La vicenda, risalente al dicembre 2018, ha ad oggetto l’avvenuta diffusione di dati personali trattati attraverso la piattaforma che l’Ateneo, all’epoca dei fatti, utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi, nell’ambito della disciplina del c.d. whistleblowing.

Come è noto, con l’introduzione della legge n. 179/2017, è stata potenziata l’applicazione on line per le segnalazioni di illeciti o irregolarità e comunicazioni di misure ritorsive, ai sensi dell’art. 54-bis, d.lgs. 165/2001: le Pubbliche Amministrazioni, pertanto, sono tenute a predisporre una piattaforma interna, affinché possano essere effettuate le segnalazioni nel più completo rispetto delle regole sull’anonimato.

Con nota del 14 dicembre 2018 (prot. n. 37333), l’Università degli studi di Roma “La Sapienza” ha notificato al Garante, ai sensi dell’art. 33 del GDPR, la dispersione di dati personali comuni (nome, indirizzo e-mail) relativi a 2 segnalanti.

In particolare, tali dati ottenuti tramite la piattaforma whistleblowing, sono stati oggetto:

  • Di illecita pubblicazione sul web dell’elenco dei soggetti che hanno aperto segnalazioni riservate, contenute nell’applicativo;
  • Di indicizzazione delle pagine web in questione da parte di motori di ricerca web.

 

Nel corso dell’istruttoria sono emerse molteplici criticità, inerenti alla sicurezza del trattamento. In particolare, il Garante ha individuato significative criticità in relazione alle misure tecniche per il controllo degli accessi e per il trasporto e la conservazione dei dati.

Per tali ragioni, l’Autorità ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Università degli studi di Roma, per aver, in particolare, omesso di adempiere agli obblighi di sicurezza imposti dall’art. 32 del GDPR.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti pronunce del Garante privacy confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Marketing a prova di GDPR: impossibile invocare il legittimo interesse come regola generale

GDPR e marketing: quale base giuridica?

Con il provvedimento del 15 gennaio 2020, il Garante per la protezione dati personali è tornato a pronunciarsi in materia di marketing, sanzionando la Società TIM S.p.A. per la somma di euro 27.802.946,00. Dai primi mesi del 2017, infatti, sono pervenute all’Autorità numerosi reclami e segnalazioni riguardanti trattamenti di dati aventi ad oggetto la ricezione di chiamate promozionali indesiderate da parte dell’operatore telefonico TIM S.p.A.

Tali telefonate venivano effettuate:

  • in assenza di consenso degli interessati;
  • nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni;
  • anche dopo l’esercizio del diritto di opposizione nei confronti della Società;
  • nell’ambito di procedure finalizzate alla soluzione di guasti tecnici inerenti ai servizi di telefonia erogati agli altri interessati da altre compagnie telefoniche.

 

Ulteriori questioni sollevate riguardavano il mancato riscontro alle istanze formulate dagli interessati con riguardo agli specifici diritti individuati nel GDPR, e in particolare a quelli di accesso ai propri dati e di opposizione al trattamento per finalità promozionali.

Inoltre, è stata rilevata la prassi della Società di prevedere il rilascio obbligatorio del consenso per il trattamento a fini di marketing, in sede di attivazione del programma “TIM Party” nell’ambito del sito web della Società; infine, nell’ambito della modulistica predisposta per l’autocertificazione di possesso di linea prepagata, si è riscontrata la raccolta di un consenso unico e indistinto al trattamento dei dati per svariate finalità, ben ulteriori all’esecuzione del contratto.

In tali circostanze, la Società ha giustificato tale condotta, ritenendo di poter agire in forza del legittimo interesse, di cui all’art. 6, par. 1, lett. f), del Regolamento.

 

Sul punto, il Garante ha affermato che il legittimo interesse non può surrogare in via generale il consenso dell’interessato quale base giuridica del marketing. Secondo l’Autorità, infatti, il GDPR – al pari della direttiva 95/46/CE all’art. 7, comma 1, lett. f) – lo ammette solo “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”. Inoltre, dalla lettura del Considerando 47 del Regolamento, incentrato sull’applicabilità del legittimo interesse al marketing, si tengano in debito “conto le ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti pronunce del Garante privacy confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

/da