Articoli

Violazione del GDPR, il dirigente risponde del danno arrecato alla PA e ai terzi

Corte dei Conti: il dirigente risponde in caso di violazione del GDPR

 

L’introduzione del GDPR ha apportato sostanziali modifiche alla previgente normativa in materia di protezione dati personali. Il Regolamento, in particolare, amplifica le responsabilità del titolare del trattamento dati, attraverso l’enunciazione del principio di accountability.

Il nuovo sistema di Data Protection trova piena applicazione anche nell’ambito della Pubblica Amministrazione, che nel 2019 è risultato il settore più colpito dalle sanzioni per violazione del GDPR. Nel caso della Pubblica Amministrazione, in effetti, il dovere di condotta conforme al Regolamento (accountability) deve essere osservato a tutti i livelli organizzativi, nonché oggetto di puntuale controllo da parte dei dirigenti.

La violazione del GDPR, secondo la Corte dei conti, costituisce presupposto per la configurabilità del danno erariale, ed espone i dirigenti a rispondere personalmente del pregiudizio patito dall’Ente:

  • già nel 2018, la Corte dei Conti-Sardegna, con sentenza n. 73/2018 aveva affermato che la violazione della legislazione in materia di dati personali da parte degli Enti pubblici costituisce condotta gravemente colposa fonte di responsabilità personale che comporta l’obbligo del risarcimento del danno erariale;
  • nel corso del 2019, invece, ulteriori pronunce del giudice contabile hanno ribadito che il depauperamento sofferto dall’Ente (a causa del pagamento della sanzione comminata dal Garante privacy) e il rapporto di servizio sono elementi costitutivi della responsabilità erariale.

 

In sintesi, la casistica giurisprudenziale conferma che in caso di inosservanza della normativa in materia di protezione dati, la Pubblica Amministrazione possa rivalersi nei confronti dei dirigenti.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti sentenze della Corte dei Conti confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

PA “bocciata” al test di conformità al GDPR: è il settore più sanzionato

PA e GDPR compliance: quali criticità?

In base ad una ricerca condotta nel corso del 2019, la Pubblica Amministrazione si dimostra il settore più colpito dalle sanzioni per violazione della normativa sulla protezione dei dati personali nel corso del 2019.

Come è noto, il settore pubblico è tenuto ad operare un costante bilanciamento tra protezione dei dati personali e trasparenza, al fine di garantire il buon andamento e l’imparzialità dell’Amministrazione.

In base all’analisi dei molteplici provvedimenti del Garante per la protezione dati, le questioni più critiche riguardano:

  • Assenza di adeguate misure di sicurezza ex art. 32 GDPR;
  • Inadeguatezza del proprio sistema gestionale e documentale;
  • Pubblicazione di dati non necessari o non pertinenti, in contrasto con i principi previsti all’art. 5 GDPR;
  • Ostensione di dati e informazioni oltre il termine legale, comportando l’esercizio dei diritti dell’interessato ai sensi degli artt. 15 – 22 GDPR.

 

Le ripetute violazioni del GDPR da parte delle Pubbliche Amministrazioni costituiscono ben il 17% del totale delle sanzioni amministrative pecuniarie irrogate nel corso del 2019, e già alla fine di gennaio 2020 questo trend sembra trovare puntuale conferma.

A metà gennaio, infatti, il Garante per la protezione dati ha emanato una nuova ordinanza ingiunzione, con cui ha comminato una sanzione amministrativa pecuniaria pari a 10 mila euro per violazione del GDPR. In particolare, all’ente comunale destinatario del provvedimento (Comune di Francavilla Fontana) è stata contestata la condotta di illecita pubblicazione di dati nell’albo pretorio online, a causa della di una determinazione dirigenziale in cui risultavano riportati anche dati e informazioni personali del reclamante. In particolare, la determina conteneva dettagliati riferimenti:

  • alle relative infermità per cause di servizio;
  • l’indicazione che lo stesso aveva diritto all’equo indennizzo per un certo importo;
  • le coordinate IBAN dell’avvocato incaricato dall’Ente.

 

Il Comune si è attivato per rimuovere i dati personali dei soggetti interessati appena ricevuta la richiesta di informazioni da parte del Garante, attuando un comportamento collaborativo con l’Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Inoltre, sono state messe in atto diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Tale comportamento è stato valutato positivamente dal Garante, che ne ha tenuto conto ai fini di una minor determinazione della sanzione amministrativa pecuniaria.

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

Il caso sottoposto all’attenzione del Garante dimostra che l’applicazione delle prescrizioni contenute nel GDPR risulta ormai imprescindibile, e che l’assenza di formazione ed informazione costituisce uno dei primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Monitoraggio dei dipendenti: viola il GDPR profilare in modo automatizzato le assenze

Il GDPR nel luogo di lavoro: quali regole?

 

Il rapporto tra tutela della privacy e potere del datore di lavoro risulta spesso molto critico. Come è noto, l’art. 4 dello Statuto dei Lavoratori legittima il datore di lavoro all’utilizzo di impianti audiovisivi, ovvero altri strumenti, capaci di operare forme di controllo a distanza dell’attività dei propri dipendenti, purché tale utilizzo:

  • sia giustificato da esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
  • sia disposto previo accordo sindacale, o autorizzazione amministrativa rilasciata dagli Ispettorati del Lavoro.

Con le modifiche apportate dal Jobs Act, inoltre, le informazioni lecitamente raccolte mediante l’utilizzo di tali strumenti sono utilizzabili a tutti i fini connessi al rapporto di lavoro – anche ai fini disciplinari – , purché ne data al lavoratore adeguata informazione.

 

Il caso che ha interessato il Gruppo Louis, invece, riguarda l’impiego di un algoritmo per il monitoraggio automatizzato dei congedi per malattia degli 818 lavoratori: il software, in particolare, attribuiva un punteggio negativo quando le defezioni non pianificate erano brevi ma ricorrenti, condotte ritenute maggiormente dannose per la produttività aziendale.

L’Autorità cipriota, interessata dal caso, ha affermato che:

  • il monitoraggio sistematico così congeniato non può considerarsi lecito anche se vi fosse stata l’autorizzazione da parte dei lavoratori, giacché la posizione di potere rivestita dal datore di lavoro rende inapplicabile la previsione contenuta all’art.7 del GDPR, ove richiede che il consenso debba essere liberamente prestato dell’interessato. In tale caso, invece, non vi era per i lavoratori alcuna facoltà;
  • inoltre, sebbene le società del gruppo avessero preventivamente effettuato una valutazione d’impatto, ciò non dispensa il titolare del trattamento dal dimostrare che tale trattamento automatizzato di dati relativi alla salute dei lavoratori fosse necessario per il perseguimento di un legittimo interesse, come previsto ai sensi dell’art. 6 par. 1) lettera f) del Regolamento. In tali casi, inoltre, deve essere necessariamente evitata la lesione degli interessi o dei diritti e le libertà fondamentali dell’interessato.

 

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

La pubblicazione del recente Provvedimento dell’Autorità cipriota dimostra che l’assenza di formazione ed informazione in materia di poteri datoriali e controllo dei propri dipendenti costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Videosorveglianza: approvate le nuove Linee Guida UE sulla corretta applicazione del GDPR

Nuove Linee Guida in materia di Videosorveglianza: quali obblighi?

Nel corso degli ultimi anni, il ricorso ad impianti di videosorveglianza – da parte dell’autorità pubblica, ma altresì dei privati – per il monitoraggio sistematico e automatizzato di determinati spazi è in crescita. L’impiego di tali sistemi, infatti, mira a garantire il massimo grado di sicurezza collettiva, nonché individuale: tuttavia, questa attività comporta la raccolta e la conservazione dati personali – anche a carattere particolare – per tutti i soggetti che transitano nello spazio monitorato, richiedendo adeguate tutele.

Per tali ragioni, il 29 gennaio 2020 sono state approvate in via definitiva le Linee Guida n.3/2019 sul trattamento dei dati personali attraverso dispositivi video.

Le Linee Guida:

  • forniscono indicazioni sulla corretta applicazione del GDPR;
  • chiariscono la portata applicativa della normativa in materia di protezione dati.

Pertanto il GDPR non trova applicazione ogniqualvolta le attività di trattamento di dati non hanno alcun riferimento a una persona, ad esempio se una persona non può essere identificata, direttamente o indirettamente, come ad esempio:

  • telecamere finte che, in quanto tali, non elaborano dati personali;
  • registrazioni effettuate da un’altitudine elevata, solo se se i dati elaborati non sono collegati a una persona specifica;
  • attività strettamente personale o domestica.

 

Per tutti i casi che ricadono nell’applicazione del GDPR, le Linee Guida richiamano gli obblighi previsti dal Regolamento, garantendo:

  • la liceità del trattamento;
  • i principi di correttezza, trasparenza e minimizzazione, nonché di privacy by design e by default;
  • i diritti dell’interessato;
  • l’implementazione di adeguate misure di sicurezza.

 

Inoltre, dati gli scopi tipici della videosorveglianza (protezione delle persone e dei beni, individuazione, prevenzione e controllo dei reati, raccolta di prove e identificazione biometrica dei sospetti), le Linee Guida ritengono che, al ricorrere dei requisiti stabiliti all’articolo 35 del GDPR, sia opportuno condurre una DPIA. Pertanto, i titolari del trattamento dovrebbero consultare attentamente la normativa e la prassi applicativa per determinare se tale valutazione è necessaria e, se necessario, effettuarla. L’esito della DPIA eseguita dovrebbe determinare la scelta da parte del titolare del trattamento delle misure di protezione dei dati attuate.

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

La pubblicazione delle nuove Linee Guida dimostra che l’assenza di formazione ed informazione in materia di videosorveglianza costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

/da

Il Corona Virus infetta anche online: nuovi malware per rubare dati personali

Malware “Coronavirus”: come agisce?

 

Nel corso degli ultimi giorni si sta diffondendo una nuova epidemia virale a livello globale, che sfrutta il timore di massa generato dal Coronavirus. I primi rapporti (Ibm, Kaspersky, Mimecast, KnowBe) segnalano una massiccia presenza del fenomeno in Giappone, che però si sta progressivamente manifestando anche nel Regno Unito e negli Stati Uniti.

La nuova strategia hacker si presenta come una campagna di email, inviate da una sedicente istituzione pubblica sulla salute, per fornire utili informazioni sul Coronavirus: le email rinviano ad istruzioni testuali o video, contenute in allegato file pdf, mp4 e docx, dove si annida il malware Emotet, uno dei più pericolosi diffusi via posta. Infine, come confermato dal rapporto Ibm, le e-mail terminano anche con un indirizzo postale legittimo, un numero di telefono e fax, per indurre l’utente a confidare nell’affidabilità del contenuto.

Sfruttando l’apprensione e la necessità di informazione, gli utenti meno accorti credono di scaricare un file all’apparenza innocuo.

Emotet è un banking trojan: se gli allegati sono aperti con un programma dotato di macro attive, il virus viene eseguito e va alla ricerca dei dati di accesso a banking online presenti nel pc.

Il malware, inoltre, trasforma il computer della vittima in uno strumento per diffondersi altrove: questi, infatti invia in automatico altre email simili, all’insaputa dell’utente, anche ai destinatari ricavati dai contatti della vittima.

 

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Data Protection Officer, l’Autorità Garante Ellenica ridisegna i casi di conflitto di interesse

Il conflitto di interesse secondo l’Autorità ellenica: quali novità?

 

Il Data protection officer (DPO) rappresenta sicuramente una delle maggiori novità del GDPR. Il Regolamento, infatti, prevede che si tratti di un professionista dotato di competenze specialistiche ed esperienza in materia di protezione dei dati, indipendente. Inoltre, in base all’articolo 38, paragrafo 6, al DPO è consentito di “svolgere altri compiti e funzioni”, ma a condizione che il titolare del trattamento o il responsabile del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

Per tali ragioni, sia le Linee-guida sui responsabili della protezione dei dati” del Working Party Article 29, sia il Position Paper del 30.9.2018 dell’EDPS hanno elencato i casi più significativi di conflitto di interessi.

 

In particolare, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento:

  • riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT);
  • rispetto a posizioni gerarchicamente inferiori, se queste ultime comportano la determinazione di finalità o mezzi del trattamento;
  • quando, in caso di nomina di DPO esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.

 

Con il Provvedimento del 23 gennaio 2020, l’autorità ellenica per la protezione dei dati (HDPA) ha stabilito che il DPO non può altresì rappresentare il responsabile del trattamento o il responsabile dinanzi alle Autorità di controllo, nei casi che riguardano problematiche di protezione dei dati: secondo l’Autorità, questa situazione può creare un conflitto di interessi ai sensi del GDPR, indipendentemente dalla natura interna o esterna della nomina.

 

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

Il caso dell’Autorità ellenica dimostra che l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Data Protection Officer: l’Antitrust interviene sui requisiti professionali necessari

Il parere dell’Antitrust sui requisiti professionali del DPO: cosa cambia?

 

Con l’introduzione del Regolamento (UE) 2016/679 (il “GDPR”), l’articolo 37 stabilisce i casi in cui le Pubbliche Amministrazioni e gli operatori privati, in quanto titolari del trattamento dei dati personali, debbano provvedere a designare obbligatoriamente il Data Protection Officer (DPO).

Il DPO è destinato ad assolvere molteplici funzioni:

  • di supporto e controllo;
  • consultive;
  • formative e informative

relativamente all’applicazione del Regolamento.

L’articolo 37, tuttavia, non specifica le qualità professionali da prendere in considerazione nella nomina del DPO, prevedendo soltanto:

  • la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati;
  • la capacità di assolvere i compiti di cui all’articolo 39.

 

Per tali ragioni, l’Autorità Garante della concorrenza e del Mercato (Agcm) ha fornito alcune osservazioni sui requisiti e modalità per la nomina dei DPO esterno, ai sensi dell’articolo 37, comma 6 del GDPR.

L’Autorità, in particolare, ha evidenziato che né il Regolamento, le successive Linee Guida elaborate dal Gruppo di lavoro “Articolo 29” richiedono un’abilitazione professionale per l’esercizio del ruolo di RDP: di conseguenza, ha ritenuto “discriminatorio e non giustificatorichiedere l’obbligatoria iscrizione all’albo degli avvocati nell’ambito della procedura, indetta dalla Pubblica Amministrazione, per la selezione di un DPO esterno. A giudizio dell’Agcm, tale requisito si dimostra inidoneo a dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato del servizio e si palesa, al contrario, del tutto sproporzionato e discriminatorio, perché escluderebbe in modo ingiustificato dalla competizione soggetti esperti della materia, ma non iscritti all’albo.

 

 

Quali competenze per il DPO? I percorsi formativi proposti da Hedya

 

La prassi più recente evidenzia come il DPO debba possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da