Articoli

Allerta Covid-19, dopo l’ok del Garante istituita la piattaforma unica nazionale: prioritaria la protezione dati

Sistema di allerta Covid-19 nel D.L. 28/2020: la conformità al GDPR è essenziale

 

Il grave contesto emergenziale ha comportato l’incremento, nel corso dell’ultimo mese, di nuove iniziative e misure proposte per garantire il monitoraggio e la prevenzione dei contagi. Sulla scorta delle esperienze già sperimentate a livello europeo, anche nel nostro paese sono proliferate molteplici proposte per la realizzazione di App che assicurassero il monitoraggio dei contatti.

Si sono pertanto susseguite:

  • Iniziative su base regionale per il monitoraggio del contagio dei cittadini residenti nelle rispettive regioni;
  • Successivamente, si è manifestato l’intento, anche a livello nazionale, di procedere all’ideazione di App per il tracciamento dei contatti sull’intero territorio nazionale, dapprima secondo logiche centralizzate e, successivamente, ispirandosi a logiche decentralizzate.

 

Gli ultimi approdi sono confluiti nel Decreto Legge del 30 aprile 2020 n. 28, pubblicato nella Gazzetta Ufficiale n. 111 del 30 aprile 2020.

La Presidenza del Consiglio dei Ministri aveva già richiesto il parere del Garante per la protezione dei dati personali su una proposta normativa per il tracciamento dei contatti fra soggetti, attuata mediante apposita applicazione su dispositivi di telefonia mobile. A seguito del parere favorevole dell’Autorità Garante, attraverso la decretazione d’urgenza il governo ha disposto all’articolo 6 specifiche misure per l’introduzione del sistema di allerta Covid-19; il Decreto, inoltre, contiene ulteriori misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, l’ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile.

In particolare, il D.L. 28/2020 ha istituito una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui  dispositivi  di  telefonia mobile.

L’introduzione della piattaforma unica non costituisce alcuna deroga alla tutela della protezione dati. Il Ministero per la Salute, in qualità di Titolare del trattamento, sarà tenuto ad osservare tutte le prescrizioni contenute nel GDPR e, come precisamente richiamato dall’articolo 6 del Decreto:

  • All’esito di una valutazione di impatto, effettuata ai sensi dell’art. 35 del GDPR e comunque costantemente aggiornata, adotta misure   tecniche   e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il  Garante  per  la  protezione  dei   dati   personali   ai   sensi dell’articolo 36, paragrafo 5, del medesimo Regolamento (UE) 2016/679 e dell’articolo 2-quinquiesdecies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno  2003,  196;
  • Nell’assicurare altresì il rispetto degli articoli 13 e 14 del GDPR, dovranno essere fornite agli utenti, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti al fine di raggiungere  una  piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione  utilizzate  e  sui tempi di conservazione dei dati;
  • Assicurare per impostazione predefinita, conformemente all’articolo 25 GDPR, che i dati personali raccolti siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti  accertati  positivi  al  COVID-19;
  • Che il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi  anonimi oppure, ove ciò non sia possibile, pseudonimizzati;
  • Che siano garantite su base   permanente   la riservatezza, l’integrità, la disponibilità e la resilienza dei  sistemi  e  dei servizi di trattamento nonché’ misure adeguate ad evitare il  rischio di reidentificazione degli interessati  cui  si  riferiscono  i  dati pseudonimizzati oggetto di trattamento;
  • Indicare e garantire tanto periodi di considerazione strettamente necessari, quanto l’esercizio dei diritti dell’interessato con modalità semplificate.

In conclusione, la funzionalità della piattaforma è strettamente collegata alla tutela della protezione dati. Pertanto, la protezione dati non costituisce soltanto una necessità, ma nell’attuale contesto emergenziale diventa una vera e propria priorità.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Videosorveglianza: approvate le nuove Linee Guida UE sulla corretta applicazione del GDPR

Nuove Linee Guida in materia di Videosorveglianza: quali obblighi?

Nel corso degli ultimi anni, il ricorso ad impianti di videosorveglianza – da parte dell’autorità pubblica, ma altresì dei privati – per il monitoraggio sistematico e automatizzato di determinati spazi è in crescita. L’impiego di tali sistemi, infatti, mira a garantire il massimo grado di sicurezza collettiva, nonché individuale: tuttavia, questa attività comporta la raccolta e la conservazione dati personali – anche a carattere particolare – per tutti i soggetti che transitano nello spazio monitorato, richiedendo adeguate tutele.

Per tali ragioni, il 29 gennaio 2020 sono state approvate in via definitiva le Linee Guida n.3/2019 sul trattamento dei dati personali attraverso dispositivi video.

Le Linee Guida:

  • forniscono indicazioni sulla corretta applicazione del GDPR;
  • chiariscono la portata applicativa della normativa in materia di protezione dati.

Pertanto il GDPR non trova applicazione ogniqualvolta le attività di trattamento di dati non hanno alcun riferimento a una persona, ad esempio se una persona non può essere identificata, direttamente o indirettamente, come ad esempio:

  • telecamere finte che, in quanto tali, non elaborano dati personali;
  • registrazioni effettuate da un’altitudine elevata, solo se se i dati elaborati non sono collegati a una persona specifica;
  • attività strettamente personale o domestica.

 

Per tutti i casi che ricadono nell’applicazione del GDPR, le Linee Guida richiamano gli obblighi previsti dal Regolamento, garantendo:

  • la liceità del trattamento;
  • i principi di correttezza, trasparenza e minimizzazione, nonché di privacy by design e by default;
  • i diritti dell’interessato;
  • l’implementazione di adeguate misure di sicurezza.

 

Inoltre, dati gli scopi tipici della videosorveglianza (protezione delle persone e dei beni, individuazione, prevenzione e controllo dei reati, raccolta di prove e identificazione biometrica dei sospetti), le Linee Guida ritengono che, al ricorrere dei requisiti stabiliti all’articolo 35 del GDPR, sia opportuno condurre una DPIA. Pertanto, i titolari del trattamento dovrebbero consultare attentamente la normativa e la prassi applicativa per determinare se tale valutazione è necessaria e, se necessario, effettuarla. L’esito della DPIA eseguita dovrebbe determinare la scelta da parte del titolare del trattamento delle misure di protezione dei dati attuate.

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

La pubblicazione delle nuove Linee Guida dimostra che l’assenza di formazione ed informazione in materia di videosorveglianza costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

/da