Articoli

Il Garante privacy presenta la relazione 2019: ancora troppe vulnerabilità informatiche

GDPR e tutela degli interessati: quali regole per garantire la protezione dati?

Lo scorso 23 giugno, l’Autorità Garante per la protezione dei dati personali ha presentato la Relazione annuale sull’attività svolta nel corso del 2019.

Nel complesso, le attività consultive e di vigilanza dell’Autorità di controllo si sono incentrate innanzitutto sulle importanti novità introdotte dal GDPR. Al contempo, sono state esaminate le più rilevanti questioni connesse alla tutela dei diritti fondamentali nel mondo digitale, quali ad esempio:

  • Le implicazioni etiche della tecnologia;
  • L’economia fondata sui dati e la monetizzazione delle informazioni personali, i Big data e le grandi piattaforme;
  • L’intelligenza artificiale e le problematiche poste dagli algoritmi;
  • La sicurezza dei sistemi e la protezione dello spazio cibernetico;
  • La pervasività delle diverse forme di controllo e sorveglianza, nonché il ricorso sempre più diffuso ai dati biometrici;
  • Le fake news, l’Internet delle cose e il revenge porn.

 

Tra i molteplici temi trattati, l’Autorità ha rilevato forti ed elevate criticità sul fronte della cybersecurity: in particolare, la proliferazione di attacchi informatici nel corso del 2019 sarebbe causata dalla scarsa attenzione in ordine alla predisposizione delle più opportune misure di sicurezza. Tale carenza risulta presente non solo nel contesto delle pubbliche amministrazioni, ma anche delle imprese e delle piattaforme on line.

Le tipologie di violazione dei dati personali più frequenti hanno riguardato:

  • Attacchi informatici volti all’acquisizione di dati personali (quali credenziali di accesso, dati relativi a strumenti di pagamento, dati di contatto);
  • Accesso non autorizzato a caselle di posta elettronica (ordinaria e certificata);
  • Perdita o indisponibilità di dati personali causata da malware di tipo ransomware;
  • Smarrimento o furto di dispositivi digitali o documenti cartacei contenenti dati personali;
  • Comunicazione o diffusione accidentale di dati personali.

 

L’eccessiva vulnerabilità dei sistemi pubblici e privati sarebbe confermata dal cospicuo numero di data breach notificati nel 2019 al Garante da parte di soggetti pubblici e privati, che ammontano a ben 1443.

Per tali ragioni, il Garante ha fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che rendono il dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto ostaggio dell’hacker, che richiede poi alla vittima una ricompensa in denaro considerevole per ripristinare i dati e i documenti.

Secondo il Garante, l’attenzione riposta sulla sicurezza dovrebbe essere massima, dal momento che costituisce una minaccia particolarmente pericolosa nell’epoca del Covid-19, che ha portato molte più persone e per molto più tempo ad essere connesse online.

 

La necessità di formazione in materia di GDPR e professioni digitali: Hedya propone i percorsi formativi innovativi

La recente posizione adottata dall’Autorità di controllo per la protezione dati dimostra che per poter operare correttamente sul web e nei luoghi di lavoro, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Diffamazione online, per il Tribunale di Milano sussiste l’obbligo di deindicizzazione

GDPR e tutela degli interessati: come opera la deindicizzazione?

Come già esaminato in un recente post, i diritti degli interessati costituiscono il nucleo della protezione dati. Il GDPR, infatti, rispetto alla previgente disciplina contenuta nella Direttiva europea 1995/46/Ce, investe l’interessato di più ampie facoltà, affinché lo stesso possa effettivamente esercitare forme più incisive di controllo sul trattamento dei propri dati personali.

Nel catalogo dei diritti dell’interessato, inoltre, la giurisprudenza ha riconosciuto anche il cd. Diritto all’oblio, reso effettivo attraverso l’obbligo – in capo ai motori di ricerca – di deindicizzazione dei contenuti presenti in rete. La deindicizzazione consente l’opacizzazione del contenuto dei siti web: pertanto, ciò implica che il dato personale non sia effettivamente rimosso dall’insieme dei dati memorizzati nel web; questi, al contrario, viene soltanto sottratto ad una modalità di reperimento diretta ed istantanea, ben potendo accedere al contenuto delle pagine indicizzate attraverso i singoli siti sorgente.

Con la recente pronuncia del Tribunale di Milano (Tribunale Milano Sez. I, Sent., 24-01-2020), l’obbligo di deindicizzazione da parte dei motori di ricerca ha subito una nuova espansione.

In particolare, il Tribunale ha evidenziato che:

  • I motori di ricerca devono essere qualificati come Titolari autonomi del Trattamento. Essi, infatti, sono vere e proprie raccolte di dati, informazioni ed opere, consultabili attraverso la digitazione di “parole chiave”. Ne consegue, pertanto, che i search engine aggregano informazioni (sia estratte da data-base propri o trovate in rete attraverso spiders) che sono offerte, così organizzate, all’utente.
  • In applicazione del diritto all’oblio, con particolare riferimento al diritto dell’interessato alla costruzione e tutela della propria identità informatica, il motore di ricerca è obbligato alla deindicizzazione dei contenuti ogniqualvolta simile richiesta risulti corredata da sentenza passata in giudicato relativa ad una condanna per diffamazione (comprovante quindi la falsità delle notizie contenute nei siti sorgente).

 

In sintesi, il Tribunale di Milano ha statuito l’onere, gravante sui motori di ricerca, di provvedere alla deindicizzazione dei dati personali rispetto ai siti sorgente contenenti notizie diffamatorie. L’Autorità giudiziaria ha inoltre chiarito che la mancata evasione della richiesta di deindicizzazione espone il motore di ricerca all’obbligo di risarcire il danno ingerenato da una simile omissione.

 

La necessità di formazione in materia di GDPR e professioni digitali: Hedya propone i percorsi formativi innovativi

La recente posizione adottata dall’Autorità giudiziaria dimostra che per poter operare correttamente sul web e nei luoghi di lavoro, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Diritti degli interessati, illegittimo cancellare i dati per impedire riscontri

GDPR e tutela degli interessati: quali regole per garantire l’esercizio dei diritti?

Con una recente pronuncia del 15 maggio, l’Autorità di controllo danese ha fornito ulteriori dettagli applicativi sulla gestione delle richieste avanzate dai soggetti interessati.

I diritti degli interessati costituiscono il nucleo della protezione dati. Il GDPR, infatti, rispetto alla previgente disciplina contenuta nella Direttiva europea 1995/46/Ce, investe l’interessato di più ampie facoltà, affinché lo stesso possa effettivamente esercitare forme più incisive di controllo sul trattamento dei propri dati personali.

Per tali ragioni, gli articoli 13 e 14 GDPR prevedono l’obbligo, gravante sul titolare del trattamento, di informare l’interessato della possibilità di esercitare i diritti di cui agli articoli 15 -22 (in particolare, diritto di accesso, di cancellazione, di limitazione del trattamento, diritto alla portabilità dei dati), nonché di proporre reclamo dinanzi all’autorità di controllo.

L’Autorità danese, in particolare, si è pronunciata sul delicato tema dell’esercizio dei diritti dell’interessato nei confronti del trattamento dati svolto da società di recruiting. In particolare, a seguito di un’istanza di esercizio dei diritti ai sensi dell’articolo 15 GDPR, un soggetto aveva avanzato richiesta di accesso ai propri dati personali.

La società di recruiting JobTeam, piuttosto che fornire le informazioni richieste dall’interessato, aveva invece provveduto a cancellare aprioristicamente le informazioni dai propri archivi, rendendo così impossibile l’esercizio di ogni diritto riconosciuto dal Regolamento.

A seguito di reclamo proposto all’Autorità di controllo, questa ha censurato la condotta della società di recruiting: l’Autorità danese, in particolare, ha ravvisato la violazione dei principi contenuti all’articolo 5 GDPR: come è noto, tale disposizione richiede che i dati personali debbano essere sempre trattati in modo lecito, corretto e trasparente. La decisione di cancellare i propri dati dai propri archivi, piuttosto che soddisfare la richiesta dell’interessato, integra un comportamento contrario ai requisiti previsti dall’art.5 del Gdpr; peraltro, l’Autorità di controllo danese ritiene che tale strategia comportamentale impedisse altresì ogni forma di controllo e verifica tanto da parte dell’autorità di controllo, quanto dell’autorità giudiziaria.

Pertanto, alla luce del quadro normativo danese in tema di data protection, la pratica è stata trasferita alle competenti autorità di polizia danesi, che dovranno valutare la sussistenza di condotte penalmente rilevanti, oltre alla possibilità di convalidare la sanzione pecuniaria sulla base della proposta dell’autorità.

 

La necessità di formazione in materia di GDPR e professioni digitali: Hedya propone i percorsi formativi innovativi

La recente posizione adottata dall’Autorità di controllo danese per la protezione dati dimostra che per poter operare correttamente sul web e nei luoghi di lavoro, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Subappalto, illegittimo il limite fissato rigidamente al 30% dell’importo contrattuale

Subappalti e limiti del Codice dei contratti pubblici: cosa cambia?

Con la recente sentenza dello scorso 11 giugno 2020, il Tar Toscana conduce un’importante riflessione in materia di subappalto. Come è noto, il subappalto è regolato dall’articolo 105 del D.lgs. 50/2016, cd. “Codice dei contratti pubblici”, che lo qualifica come il contratto con il quale l’appaltatore affida a terzi l’esecuzione di parte delle prestazioni o lavorazioni oggetto del contratto di appalto.

La norma, in particolare, prescrive un limite quantitativo al ricorso a tale contratto, che non potrà superare il 30% dell’importo complessivo del contratto di lavori, servizi o forniture. Le Amministrazioni, alla luce del quadro normativo così delineato, hanno interpretato la limitazione prevista dall’articolo 105 in modo rigoroso, esplicitando in apposite clausole contenute nei bandi di gara l’inderogabilità della soglia prevista.

Per tali ragioni, il Tar Toscana ha proceduto ad una rilettura della disposizione del Codice, in linea con i più recenti orientamenti della giurisprudenza dell’Unione europea. La Corte di Giustizia dell’Unione europea, infatti, con sentenza C-63/18 del 26 settembre 2019, ha affermato che la direttiva 2014/24/Ue in materia di contratti pubblici dev’essere interpretata nel senso che osta a una normativa nazionale, come quella di cui all’art. 105 del codice dei contratti pubblici, che limita in modo rigido ed indiscriminato al 30% la parte dell’appalto che l’offerente è autorizzato a subappaltare a terzi.

Pertanto, il Tar ha affermato che il bando di gara, nella parte in cui ha fatto applicazione di una norma nazionale contrastante con la vigente direttiva in materia di appalti pubblici (così come interpretata dalla Corte di Giustizia) debba ritenersi illegittimo e va annullato.

L’effetto del predetto annullamento, inoltre, investe l’intera procedura atteso che la eliminazione del limite all’importo subappaltabile incide sulle regole concorrenziali per l’accesso alla commessa e richiede quindi la apertura di un nuovo confronto pubblico e trasparente sulla base di regole conformi alla disciplina comunitaria.

 

Come garantire la correttezza delle procedure di gara? Hedya propone i percorsi innovativi “Il codice dei contratti pubblici” e “Tecniche di redazione degli atti amministrativi”

 

Le recenti posizioni del Tar Toscana ridisegnano i confini tra appalti pubblici e limiti al subappalto, richiedendo nuove competenze per le PA nella gestione delle comunicazioni con tutti i soggetti richiedenti, per adeguarsi ai canoni di trasparenza e digitalizzazione in corso.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Gare telematiche, il gestore della piattaforma è responsabile del malfunzionamento

E- procurement e malfunzionamento della piattaforma: chi ne risponde?

Con sentenza del 3 giugno 2020 la sezione Terza del Tribunale Amministrativo Regionale per la Puglia si pronuncia in materia di E-procurement. Come è noto, il ricorso a mercati e gare telematiche costituisce strumento per la modernizzazione ed una maggiore efficienza dei processi amministrativi, nonché per il controllo e la riduzione della spesa pubblica.

Per tali ragioni, il 19 aprile 2016 è entrato in vigore il Decreto legislativo n. 50 (Codice dei Contratti pubblici), che fornisce disposizioni specifiche in merito al recepimento delle direttive europee in materia e introduce le azioni necessarie a regolamentare e standardizzare i processi e le procedure in ambito e-procurement.

Alla luce delle fonti nazionali e sovranazionali di riferimento, l’espletamento delle gare telematiche prevede l’obbligo delle comunicazioni elettroniche e, più precisamente:

 

  • La pubblicazione elettronica dei bandi di gara (e-notification);
  • L’accesso elettronico ai documenti di gara (e-access);
  • La presentazione elettronica delle offerte (e-submission);
  • Il documento di gara unico europeo (ESPD);
  • Il sistema informatico che consente di individuare i certificati e gli attestati più frequentemente richiesti nelle procedure d’appalto (e-Certis).

 

La fase dell’e-submission è quella che presenta maggiori criticità: spesso, infatti, gli operatori economici non possono concludere le operazioni previste secondo la procedura telematica, mediante l’elaborazione della “busta” e la susseguente apposizione della firma digitale, a causa di un blocco generato dalla piattaforma telematica.

In tali casi, secondo il Tar Puglia, sussiste un obbligo di leale collaborazione da parte del gestore della piattaforma, che dovrà individuare immediatamente le cause del blocco del sistema e adoperarsi per la finalizzazione assistita della procedura d’invio eventualmente anche successivo rispetto all’orario di scadenza. La stazione appaltante, pertanto, sarà tenuta a prorogare i termini per la presentazione delle offerte, per permettere all’operatore economico di concludere la presentazione della propria offerta. In tali casi, inoltre, il gestore delle piattaforme di e-procurement è responsabile nel caso di malfunzionamento del sistema di caricamento dei documenti e, in generale, di presentazione dell’offerta.

 

 

Come garantire la correttezza delle procedure? Hedya propone i percorsi innovativi “Il codice dei contratti pubblici” e “Tecniche di redazione degli atti amministrativi”

 

Le recenti pronunce sull’E-procurement dimostrano la sussistenza di nuove ed essenziali competenze per le PA nella gestione delle comunicazioni con tutti i soggetti richiedenti, per adeguarsi ai canoni di trasparenza e digitalizzazione in corso.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

PA e Smart working, avviata la consultazione pubblica per favorire la Transizione al digitale

Consultazione pubblica sullo smart working: la transizione al digitale è la regola?

 

Con la Legge n. 27 del 24 aprile 2020 e il D.P.C.M. del 26 aprile 2020 si è operata una rivoluzione dell’agire pubblico: per un verso, le Pubbliche amministrazioni sono state invitate a facilitare la transizione al digitale delle attività amministrative, anche attraverso la dematerializzazione dei procedimenti; per altro verso, si è definito il lavoro agile come modalità ordinaria di svolgimento della prestazione lavorativa nelle pubbliche amministrazioni fino alla cessazione dello stato di emergenza epidemiologica.

Per supportare la transizione al digitale, il Ministro per la pubblica amministrazione ha adottato la direttiva n. 3/2020, con cui sono state fornite più precise indicazioni per lo smart working nel settore pubblico.

Al fine di valutare i vantaggi e le criticità desumibili dalle prime sperimentazioni di lavoro agile, il Ministro per la Pubblica Amministrazione ha promosso una consultazione pubblica, per raccogliere informazioni sulle esperienze in corso nelle amministrazioni.

In particolare, la consultazione terminerà il 30 giugno 2020, e procederà dapprima all’ascolto di due categorie di destinatari distinti e prioritari, quali:

  • i dirigenti pubblici, in quanto figura direttamente coinvolta nell’attuazione dello smart working dal punto di vista dell’organizzazione del lavoro e, più in generale, di promotori dei fattori abilitanti (revisione delle modalità organizzative, digitalizzazione dei processi);
  • i dipendenti, in qualità di “lavoratori agili” e, più in generale, di principali portatori di interesse rispetto ai processi di cambiamento indotti dallo smart working.

 

Gli obiettivi principali della consultazione consistono nel rilevare:

  • Le opinioni e le valutazioni dei dirigenti delle pubbliche amministrazioni, nonché tutte le osservazioni utili per accompagnare, sostenere e promuovere la diffusione dello smart working;
  • Le opinioni e le valutazioni dei dipendenti che hanno prestato la propria attività lavorativa in modalità agile prima e durante l’emergenza COVID-19. In secondo luogo, verranno valutati il grado di soddisfazione, la rispondenza dell’esperienza realizzata rispetto alle proprie aspettative, i punti di forza alle eventuali criticità e i margini di miglioramento di cui tener conto ai fini di una ottimale applicazione futura dello smart working nelle amministrazioni pubbliche;
  • Le aspettative e le eventuali indicazioni di tutti riguardo al “lavoro agile del futuro” e quindi al “futuro del lavoro pubblico”.

 

 

 

La necessità di formazione in materia di Smart working e Sicurezza: Hedya propone i percorsi formativi innovativi

Il tema cruciale per garantire la transizione al digitale è sicuramente quello legato alle competenze digitali nella PA, che costituisce il fattore abilitante per qualsiasi corretta e adeguata governance dell’innovazione. Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, occorre un’adeguata preparazione in materia di sicurezza, privacy e tutela dei lavoratori. Accanto alla predisposizione di tali misure tecnico – organizzative, con la Direttiva 3/2020 il Ministro per la Pubblica amministrazione considera fondamentale il ricorso all’attività formativa come strumento di accompagnamento del proprio personale nel processo di trasformazione digitale dell’amministrazione e di diffusione della capacità di lavorare in modalità agile per il raggiungimento degli obiettivi assegnati.

 

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

 

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Inoltre, Hedya supporta le Pubbliche Amministrazioni attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Sperimentazione Immuni, per il Garante è essenziale garantire la trasparenza e la correttezza del trattamento

App Immuni al vaglio del Garante: quali requisiti?

 

Con il parere del 1 giugno 2020, il Garante per la protezione dei dati personali ha emanato un provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 – App Immuni, sulla scorta della valutazione d’impatto trasmessa dal Ministero della salute con la nota del 28 maggio 2020.

Il Ministero della salute, infatti, aveva effettuato la valutazione d’impatto prevista dall’articolo 35 GDPR, trasmettendola al Garante, ai sensi dell’art. 36, paragrafo 5, del GDPR e dell’art. 2-quinquiesdecies del Codice privacy, per essere autorizzato ad avviare il trattamento di dati personali relativo al “Sistema di allerta Covid-19”, istituito dall’art. 6 del decreto legge 30 aprile 2020, n. 28. Nella valutazione d’impatto il Ministero della salute ha rappresentato l’esigenza, condivisa con le Regioni, di una preliminare fase di sperimentazione del processo di contact tracing digitale in un numero limitato di Regioni o Province autonome.

Il parere del Garante, come esaminato nei precedenti post, costituisce l’ultimo tassello del più ampio iter di implementazione del software di contact tracing, inaugurato con l’ordinanza n. 10/2020 del 16 aprile 2020: a seguito di stipula di un appalto di servizio gratuito con la società Bending Spoons S.p.a., infatti, si è gradualmente proceduto alla realizzazione dell’App “Immuni”, finalizzata alla tracciatura dei contatti per la prevenzione e contenimento della diffusione del contagio da Covid-19.

In seguito, la Presidenza del Consiglio dei Ministri ha richiesto un primo parere del Garante per la protezione dei dati personali sulla proposta normativa per il tracciamento dei contatti fra soggetti, attuata mediante apposita applicazione su dispositivi di telefonia mobile.

Sin dal primo parere, il Garante ha ribadito che l’impiego dell’App da parte di un’autorità pubblica non elide il rispetto degli standard previsti dal GDPR in tema di protezione dei dati personali e di sicurezza del trattamento.

Come chiarito anche dal Comitato dei Garanti (EDPB) con le recenti Guidelines 3/2020, anche il trattamento di dati relativi alla salute attraverso app deve essere conforme al GDPR. In particolare, devono essere garantiti:

  • La sussistenza di una base giuridica legittimante le operazioni di trattamento;
  • La trasparenza e la correttezza del trattamento, anche attraverso la predisposizione dell’informativa ai sensi degli artt. 13 – 14 GDPR;
  • La predisposizione di misure che garantiscano la sicurezza del trattamento;
  • L’esercizio dei diritti degli interessati di cui agli artt. 15-22 GDPR.

 

Da ultimo, con il parere del 1 giugno il Garante ha tenuto conto della complessità del sistema di allerta e del numero dei soggetti potenzialmente coinvolti. Tali circostanze richiedono, secondo l’Autorità, l’adozione di una serie di misure volte a rafforzare la sicurezza dei dati delle persone che scaricheranno la app, che potranno essere adottate sin dalle prime sperimentazioni regionali.

In particolare, l’Autorità ha chiesto che gli utenti:

  • Siano informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio;
  • Siano portati a conoscenza del fatto che il sistema potrebbe generare notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio.
  • Abbiano sempre la possibilità di disattivare temporaneamente l’app attraverso una funzione facilmente accessibile nella schermata principale.

 

I dati raccolti attraverso il sistema di allerta, infine, non potranno essere trattati per finalità non previste dalla norma che istituisce l’app.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Data Breach Inps, per il Garante costituisce un rischio elevato per i diritti e le libertà dei soggetti coinvolti

Il Data Breach Inps: ancora criticità secondo il Garante?

Il caso di Data breach che ha colpito il portale dell’Inps nel mese di Aprile rappresenta una delle più recenti violazioni che hanno interessato le Pubbliche Amministrazioni. Come evidenziato nel precedente post, il Garante per la protezione dei dati personali ha dichiarato che l’assenza di adeguate misure di sicurezza per la tutela delle banche dati e dei siti delle amministrazioni pubbliche rappresenta una questione critica ricorrente.

Con note del 1° aprile e del 6 aprile 2020, l’Inps ha reso note le violazioni dei dati personali che si sono verificate in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, notificando all’Autorità, ai sensi dell’art. 33 GDPR, due distinte violazioni dei dati personali. In particolare:

  • L’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
  • L’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

 

L’episodio ha fatto emergere di talune criticità nell’adozione delle più opportune misure di sicurezza, richieste dall’art. 32 GDPR. In ogni caso, l’Istituto ha ritenuto che la violazione non fosse tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche e, pertanto, difettassero i presupposti per la comunicazione della violazione dei dati personali agli interessati coinvolti.

Con provvedimento del 14 maggio 2020, il Garante per la protezione dei dati personali ha invece rilevato la sussistenza di rischi elevati per i diritti e le libertà degli interessati.

Di conseguenza, ha ravvisato la necessità e l’urgenza di ingiungere all’Inps, ai sensi dell’art. 58, par. 2, lett. e) GDPR. In particolare:

  • Di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse;
  • Di fornire i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni;
  • Di indicare agli interessati le specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni.

 

Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”

 

Le posizioni del Garante evidenziano la necessità, per le Pubbliche Amministrazioni, di percorsi formativi:

  • integrati, che coinvolgano le varie figure professionali;
  • mirati ad assicurare la sicurezza del trattamento;
  • aggiornati su tutte le principali questioni connesse al GDPR.

 

Per tali ragioni, Hedya propone il percorso formativo innovativoLe Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema.  Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.

 

Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

 

/da

Consenso e Cookie wall, le nuove Linee Guida del Comitato europeo ne chiariscono il rapporto

Le Linee Guida su cookie e consenso: cosa cambia?

Con le nuove Linee Guida n. 5/2020, adottate lo scorso 4 maggio, il Comitato europeo per la protezione dei dati personali ha fornito ulteriori precisazioni sull’impiego dei Cookie. Come già illustrato in precedenti approfondimenti, i cookie sono informazioni immesse sul browser ogniqualvolta si compia un’operazione in rete. Dal punto di vista informativo, ogni cookie può contenere diversi dati, imponendo in tal caso il rispetto dei principi sulla protezione dati.

L’entrata in vigore del GDPR ha imposto dei limiti all’utilizzo dei cookie, per garantire la validità del consenso: come risulta dall’art. 7 comma 1 del GDPR e del Considerando 32, il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

L’aspetto più problematico, pertanto, riguarda le modalità di prestazione del consenso per l’installazione dei cookies.

Primi chiarimenti sul corretto impiego dei cookie sono stati forniti dalla Corte di giustizia. Con la sentenza emanata il 1 Ottobre 2019, la Corte ha dichiarato che il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione e della consultazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso.

Le Linee guida del Comitato europeo si soffermano su due ulteriori profili problematici, connessi alle operazioni di cookie wall e di scroll:

  • Nel caso di cookie wall, l’accesso ai servizi e alle funzionalità del sito viene subordinato al consenso di un utente che, se non prestato, impedisce la fruizione delle informazioni o dei servizi previsti nella pagina web. Sul punto, le Linee guida affermano che per l’interessato non si prospetta una scelta autentica; pertanto, il consenso dell’utente non può intendersi fornito liberamente se l’accesso ai servizi e alle funzionalità del sito risulta essere subordinato al cookie wall.
  • Nel caso di consenso carpito attraverso operazioni di scroll, similmente, non consisterebbe in una azione positiva inequivocabile, requisito imprescindibile richiesto dal GDPR. Per tali ragioni, la semplice prosecuzione dell’uso di un sito web non costituisce, secondo le Linee guida, un comportamento dal quale sia possibile ricavare una manifestazione di volontà dell’interessato a prestare il consenso a un trattamento proposto, conforme al GDPR.

 

La necessità di formazione in materia di GDPR e professioni digitali: Hedya propone i percorsi formativi innovativi

La recente posizione adottata dal Comitato europeo per la protezione dati dimostra che per poter operare correttamente sul web, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

/da

Smart working e formazione per la trasformazione al digitale: le nuove regole secondo il Ministro per la Pubblica Amministrazione

Smart working nella Fase 2: nuova regola per la PA

 

Con l’evolversi della situazione epidemiologica, sono state definite ulteriori misure per lo svolgimento delle attività lavorative nella fase 2 dell’emergenza Covid-19.

Con la Legge n. 27 del 24 aprile 2020, le Pubbliche amministrazioni sono invitate a facilitare la transizione al digitale delle attività amministrative: in particolare, dovranno individuare ogni misura utile per consentire la dematerializzazione dei procedimenti, così da permettere a tutti i dipendenti lo svolgimento della propria prestazione lavorativa.

Per garantire la continuità della prestazione lavorativa, il D.P.C.M. del 26 aprile 2020 ha definito il lavoro agile come modalità ordinaria di svolgimento della prestazione lavorativa nelle pubbliche amministrazioni fino alla cessazione dello stato di emergenza epidemiologica.

Per supportare la transizione al digitale, il Ministro per la pubblica amministrazione ha adottato la direttiva n. 3/2020, con cui vengono fornite indicazioni per lo smart working nel settore pubblico. La direttiva suggerisce, in particolare:

  • Di provvedere, mediante il personale in presenza, alla scansione e all’invio della documentazione al personale in modalità agile;
  • All’utilizzo di cloud, offerti gratuitamente anche in questa fase da provider privati, per l’archiviazione di documentazione.

 

Accanto alla predisposizione di tali misure tecnico – organizzative, il Ministro per la Pubblica amministrazione considera fondamentale il ricorso all’attività formativa come strumento di accompagnamento del proprio personale nel processo di trasformazione digitale dell’amministrazione e di diffusione della capacità di lavorare in modalità agile per il raggiungimento degli obiettivi assegnati.

Le indicazioni recentemente adottate si accompagnano alle precedenti direttive emanate nel contesto emergenziale. Tra queste, si ricorda la direttiva n. 1/2020 del Dipartimento della Funzione Pubblica, che ha previsto l’utilizzabilità dei propri dispositivi per svolgere la prestazione lavorativa, purchè siano garantiti adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole pubbliche amministrazioni.

Purtuttavia, l’utilizzo di dispositivi personali e non forniti dall’azienda, come visto nel precedente post, tende a far trascurare l’adozione di opportune misure di sicurezza, e si sottovalutano i piccoli rischi normalmente connessi alla navigazione in rete e accettati con ingenuità.

Per supportare i dipendenti pubblici nell’utilizzo più sicuro di pc, tablet e smartphone personali, il CertPA di AgID ha enucleato undici Raccomandazioni per supportare le PA e i lavoratori Pubblici e sostenerli nel contrastare eventuali attacchi informatici con comportamenti responsabili, anche quando utilizzano dotazioni personali. Nello specifico, le Raccomandazioni sono state elaborate sulla base delle misure minime di sicurezza informatica per le pubbliche amministrazioni fissate dalla circolare  17 marzo 2017, n. 1/2017.

 

 

La necessità di formazione in materia di Smart working e Sicurezza: Hedya propone i percorsi formativi innovativi

Il tema cruciale per garantire la transizione al digitale è sicuramente quello legato alle competenze digitali nella PA, che costituisce il fattore abilitante per qualsiasi corretta e adeguata governance dell’innovazione. Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, occorre un’adeguata preparazione in materia di sicurezza, privacy e tutela dei lavoratori. Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

 

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Inoltre, Hedya supporta le Pubbliche Amministrazioni attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da