Articoli

La didattica online ai tempi del Covid-19: dal Garante le istruzioni per l’uso

Didattica online e privacy: quali tutele?

Il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo a piattaforme e-learning per supportare forme di didattica a distanza, così da garantirne la continuità.

Tuttavia, i primi utilizzi hanno sollevato molteplici criticità, già menzionate nel precedente articolo.

Per rispondere alle principali questioni sollevate in materia di privacy, il Garante ha pubblicato un atto di indirizzo per scuole ed atenei.

In sintesi, le prime Linee di indirizzo fornite dal Garante precisano che:

  • Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento in questo caso è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
  • Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza, occorrerà preferire quegli strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati.
  • Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
  • Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.
  • Inoltre, i gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.

 

Le indicazioni del Garante si rivelano uno strumento utile per orientare le modalità didattiche di scuole e università. Tuttavia, non eliminano tutte le criticità connesse, ad esempio, alla registrazione delle lezioni, al controllo a distanza dei docenti e alla diffusione di contenuti non autorizzati in rete. Le istituzioni scolastiche ed universitarie, pertanto, non sono esonerate dal valutare tutti i possibili rischi dovendo, di converso, predisporre tutte le misure tecniche ed organizzative più idonee.

Per tali ragioni, risulta necessario applicare tutti i principi previsti dal GDPR, partendo anzitutto da quelli indicati all’articolo 5, come il principio di finalità, accountability e minimizzazione.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

La privacy ai tempi del coronavirus: nessun intralcio alle misure anti-contagio

La data protection ai tempi del coronavirus: come si applica il GDPR?

 

Nella giornata del 16 marzo 2020, il Comitato europeo per la protezione dati (EDPB) ha diramato un Comunicato stampa per fornire orientamenti in merito alla corretta applicazione del GDPR nel grave scenario epidemico in atto.

Il Comitato europeo ha evidenziato come le misure di contrasto al contagio da Covid-19 possano coinvolgere il trattamento di varie tipologie di dati, sia di natura personale che non personale.

A sua volta, nell’ambito del trattamento dei dati personali, occorre ulteriormente distinguere:

  • Il GDPR troverà applicazione per il trattamento dei dati personali, relativi alle persone fisiche;
  • Per il trattamento dati nell’ambito delle Comunicazioni elettroniche, invece, troverà applicazione la direttiva e-Privacy 2002/58/Ce.

 

Per tali ragioni, la normativa in materia di protezione dei dati personali non costituisce, a giudizio del Comitato, alcun motivo di ostacolo alla predisposizione di misure anti-contagio, da parte delle Istituzioni pubbliche e dalle aziende, sia pubbliche che private.

Il Comitato individua il fondamento di liceità delle attuali attività di trattamento negli articoli 6 e 9 del GDPR: di conseguenza, i titolari del trattamento possono raccogliere i dati personali necessari e pertinenti per il contenimento del contagio ai sensi dell’art. 6 e 9 del GDPR, sussistendo motivi di interesse pubblico nel settore della sanità pubblica, ovvero che legittimino il trattamento per proteggere interessi vitali degli interessati.

Qualora, invece, si operi il tracciamento degli interessati attraverso la geolocalizzazione dei dispositivi mobili, per limitare la diffusione del virus, il Comitato rammenta che in base alla direttiva e-Privacy un tale tipo di trattamento richiederebbe il previo consenso dell’interessato, a meno che i dati non siano stati opportunamente anonimizzati.

Qualora non sia possibile procedere al trattamento esclusivo di dati anonimizzati, il Comitato non esclude che gli Stati possano adottare, ai sensi dell’articolo 15 della Direttiva, misure legislative per il perseguimento di finalità di sicurezza nazionale e di pubblica sicurezza, contemperando i principi di necessità, adeguatezza e proporzionalità del trattamento.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti misure adottate a livello europeo confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Privacy e condominio: commette reato di diffamazione l’amministratore che rivela l’altrui morosità

 

Privacy e condominio: quali obblighi?

La protezione dei dati personali trova applicazione anche per il condominio. In tali casi, grava sull’amministratore di condominio (se nominato) rispettare i principi contemplati nel GDPR.

In questi casi, l’amministratore deve agire bilanciando due contrapposte esigenze, ovvero:

  • La tutela della riservatezza dei singoli condomini;
  • La trasparenza nella gestione del condominio.

Le criticità connesse a tale bilanciamento, in realtà, risultano anteriori all’entrata in vigore del GDPR: sin dal 2013, infatti, il Garante privacy aveva realizzato un Vademecum, contenente informazioni operative:

  • sulla qualifica soggettiva del condominio, dell’amministratore e dei condomini;
  • sulle modalità di svolgimento dell’assemblea condominiale (ad esempio, in caso di videoregistrazione delle sedute assembleari).

Nell’ambito delle proprie attività gestorie, i problemi più frequenti che coinvolgono l’amministratore di condominio riguardano gli stati di morosità dei condomini. In tali casi, l’amministratore potrà rispondere del reato di diffamazione, previsto dall’articolo 595 del codice penale, qualora le modalità di comunicazione dello stato di morosità non sia considerato idoneo.

La giurisprudenza ha infatti affermato che risponde del reato di diffamazione l’amministratore di condominio che:

  • per evitare il rischio imminente dell’interruzione della fornitura idrica condominiale, affigga sull’ascensore dello stabile l’elenco dei condomini morosi. In questo caso, la condotta è stata ritenuta sproporzionata e, comunque, ingiustificata atteso l’inevitabile pregiudizio recato alla persona offesa, che ben poteva essere notiziata in altro modo, anche perché l’amministratore era a conoscenza dello stato di insolvenza dei condomini da diverso tempo;
  • rende noto a terzi lo stato di morosità di determinati condomini. Il caso riguardava l’invio, da parte del legale dell’amministratore del condominio, di una serie di lettere di sollecito indirizzate a diversi destinatari nelle quali si dava comunicazione che il condomino era inadempiente al pagamento delle spese condominiali: in tali casi, seppur la notizia fosse vera, il mezzo e la forma verbale adoperata è stata qualificata diffamatoria.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti pronunce giurisprudenziali confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Conservazione documentale, Transizione al Digitale e GDPR: legame necessario nella bozza di Linee Guida AgID

Le Linee guida AgID: i Responsabili della Conservazione, Transizione al Digitale e Protezione Dati devono collaborare

 

Con l’iter di approvazione delle Linee guida sull’accessibilità degli strumenti informatici, le regole tecniche in materia di formazione, protocollazione, gestione e conservazione del documento, già precedentemente regolate nei DPCM del 2013 e 2014, sono oggetto di riforma.

L’obiettivo generale delle Linee guida, attualmente in fase di consultazione, è che la gestione complessiva del documento informatico risulti semplificata, attraverso una visione d’insieme che aggrega in un unico testo tutte quelle materie prima disciplinate separatamente. Come precisato dal Consiglio di Stato nel parere n. 2122/2017, reso sullo schema di decreto legislativo del correttivo al Codice dell’Amministrazione Digitale, le Linee Guida adottate da AGID, ai sensi dell’art. 71 del CAD, hanno carattere vincolante e assumono valenza erga omnes.

Nell’attuazione delle Linee Guida, inoltre, le Pubbliche Amministrazioni sono tenute ad ottemperare anche alle misure minime di sicurezza ICT emanate dall’AgID con circolare del 18 aprile 2017, n. 2/2017. Per attuare il piano della sicurezza del sistema di gestione informatica dei documenti, nell’ambito del piano generale della sicurezza ed in coerenza con quanto previsto dal Piano Triennale per l’Informatica nella Pubblica Amministrazione vigente, le Linee guida prevedono una forte coordinazione e collaborazione tra:

  • Responsabile della gestione documentale;
  • Responsabile della sicurezza;
  • Responsabile della conservazione;
  • Responsabile dell’ufficio per la Transizione al Digitale (RTD);
  • Responsabile per la Protezione dati (DPO).

In particolare, il responsabile della conservazione, di concerto con il responsabile della sicurezza e con il responsabile della transizione digitale, acquisito il parere del responsabile della protezione dei dati personali, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, mettendo in atto opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, ai sensi dell’art. 32 del GDPR.

 

Come attuare le misure richieste da AgID? I percorsi formativi e i servizi di consulenza proposti da Hedya in materia di Protezione Dati, Transizione al Digitale e Conservazione

 

Le recenti Linee Guida confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

  1. Formazione e Consulenza in materia di Conservazione

 

Il Responsabile della Conservazione rappresenta, secondo le Linee Guida AgID, una figura con formazione specialistica che ha il compito di definire e attuare, in piena autonomia decisionale, le politiche in merito alla progettazione e alla gestione dei sistemi informatici di conservazione e archiviazione documentale.

Per tali ragioni, Hedya propone un percorso formativo per tutti coloro che vogliano intraprendere un percorso professionale di elevata specializzazione, finalizzato all’acquisizione delle conoscenze preliminari di natura giuridica, organizzativa e tecnologica tipiche del ruolo di Responsabile della Conservazione dei documenti informatici.

I contenuti del corso mirano, pertanto, ad illustrare le vigenti disposizioni in materia di:

  • Dematerializzazione;
  • Digitalizzazione;
  • Conservazione e Archiviazione di documenti informatici;

 

Ulteriori informazioni sono disponibili qui.

 

 

/da

Monitoraggio dei dipendenti: viola il GDPR profilare in modo automatizzato le assenze

Il GDPR nel luogo di lavoro: quali regole?

 

Il rapporto tra tutela della privacy e potere del datore di lavoro risulta spesso molto critico. Come è noto, l’art. 4 dello Statuto dei Lavoratori legittima il datore di lavoro all’utilizzo di impianti audiovisivi, ovvero altri strumenti, capaci di operare forme di controllo a distanza dell’attività dei propri dipendenti, purché tale utilizzo:

  • sia giustificato da esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
  • sia disposto previo accordo sindacale, o autorizzazione amministrativa rilasciata dagli Ispettorati del Lavoro.

Con le modifiche apportate dal Jobs Act, inoltre, le informazioni lecitamente raccolte mediante l’utilizzo di tali strumenti sono utilizzabili a tutti i fini connessi al rapporto di lavoro – anche ai fini disciplinari – , purché ne data al lavoratore adeguata informazione.

 

Il caso che ha interessato il Gruppo Louis, invece, riguarda l’impiego di un algoritmo per il monitoraggio automatizzato dei congedi per malattia degli 818 lavoratori: il software, in particolare, attribuiva un punteggio negativo quando le defezioni non pianificate erano brevi ma ricorrenti, condotte ritenute maggiormente dannose per la produttività aziendale.

L’Autorità cipriota, interessata dal caso, ha affermato che:

  • il monitoraggio sistematico così congeniato non può considerarsi lecito anche se vi fosse stata l’autorizzazione da parte dei lavoratori, giacché la posizione di potere rivestita dal datore di lavoro rende inapplicabile la previsione contenuta all’art.7 del GDPR, ove richiede che il consenso debba essere liberamente prestato dell’interessato. In tale caso, invece, non vi era per i lavoratori alcuna facoltà;
  • inoltre, sebbene le società del gruppo avessero preventivamente effettuato una valutazione d’impatto, ciò non dispensa il titolare del trattamento dal dimostrare che tale trattamento automatizzato di dati relativi alla salute dei lavoratori fosse necessario per il perseguimento di un legittimo interesse, come previsto ai sensi dell’art. 6 par. 1) lettera f) del Regolamento. In tali casi, inoltre, deve essere necessariamente evitata la lesione degli interessi o dei diritti e le libertà fondamentali dell’interessato.

 

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

La pubblicazione del recente Provvedimento dell’Autorità cipriota dimostra che l’assenza di formazione ed informazione in materia di poteri datoriali e controllo dei propri dipendenti costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Data Protection Officer, l’Autorità Garante Ellenica ridisegna i casi di conflitto di interesse

Il conflitto di interesse secondo l’Autorità ellenica: quali novità?

 

Il Data protection officer (DPO) rappresenta sicuramente una delle maggiori novità del GDPR. Il Regolamento, infatti, prevede che si tratti di un professionista dotato di competenze specialistiche ed esperienza in materia di protezione dei dati, indipendente. Inoltre, in base all’articolo 38, paragrafo 6, al DPO è consentito di “svolgere altri compiti e funzioni”, ma a condizione che il titolare del trattamento o il responsabile del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

Per tali ragioni, sia le Linee-guida sui responsabili della protezione dei dati” del Working Party Article 29, sia il Position Paper del 30.9.2018 dell’EDPS hanno elencato i casi più significativi di conflitto di interessi.

 

In particolare, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento:

  • riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT);
  • rispetto a posizioni gerarchicamente inferiori, se queste ultime comportano la determinazione di finalità o mezzi del trattamento;
  • quando, in caso di nomina di DPO esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.

 

Con il Provvedimento del 23 gennaio 2020, l’autorità ellenica per la protezione dei dati (HDPA) ha stabilito che il DPO non può altresì rappresentare il responsabile del trattamento o il responsabile dinanzi alle Autorità di controllo, nei casi che riguardano problematiche di protezione dei dati: secondo l’Autorità, questa situazione può creare un conflitto di interessi ai sensi del GDPR, indipendentemente dalla natura interna o esterna della nomina.

 

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

Il caso dell’Autorità ellenica dimostra che l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Garante Europeo: assicurare la protezione dei dati anche nell’ambito della ricerca scientifica

GDPR e ricerca scientifica: un binomio necessario?

Il Garante europeo della protezione dei dati (GEPD) ha pubblicato, lo scorso 6 gennaio, una Preliminary Opinion on data protection and scientific research.

Il documento si propone di condurre un’analisi sulla protezione dei dati personali nell’ambito delle attività di ricerca scientifica: sono indicate, pertanto, una serie di raccomandazioni per garantire che tali attività siano svolte secondo canoni di correttezza e liceità.

Tale pubblicazione, sebbene ribadisca che per la ricerca scientifica sussistono, in presenza di opportune misure di garanzia, alcune deroghe agli obblighi previsti dal GDPR per i Titolari del trattamento, pone l’attenzione su taluni temi:

  • Con l’evoluzione digitale, la ricerca scientifica è resa più veloce e precisa; al contempo, si accresce l’esposizione a minacce informatiche, richiedendo pertanto adeguati presidi di sicurezza dei trattamenti, in relazione alla alla sensibilità delle informazioni;
  • Il confine tra la natura accademica e privata della ricerca scientifica è reso più labile: di conseguenza, risulta più arduo distinguere se l’interesse perseguito sia pubblico, o se si tratti di scopi commerciali;
  • Il GDPR e gli altri strumenti regolatori prevedono misure per il rispetto dei principi applicabili ai trattamenti di dati personali, il cui controllo è affidato, a livello nazionale, alle Autorità di controllo.

 

In materia di ricerca scientifica, il GDPR prevede all’articolo 179 che “l’Unione si propone l’obiettivo di rafforzare le sue basi scientifiche e tecnologiche con la realizzazione di uno spazio europeo della ricerca nel quale i ricercatori, le conoscenze scientifiche e le tecnologie circolino liberamente”, dimostrando forte apertura per la circolazione e il riuso delle informazioni nei progetti di ricerca scientifica finalizzati al miglioramento delle condizioni umane. Tale logica è stata confermata anche dal Legislatore italiano, agli articoli 97 – 110 bis contenuti nel Titolo VII del novellato Codice Privacy.

Nel corso del 2019, inoltre, sono intervenuti ulteriori atti per perimetrare il confine tra GDPR e ricerca scientifica. In tali occasioni, il Garante, ribadendo l’applicabilità del GDPR alle attività di ricerca scientifica, seppur con talune deroghe, ha indicato la necessità di garantire:

  • minimizzazione dei dati;
  • misure di pseudonimizzazione e crittografia per la riduzione dei rischi .

In particolare:

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Telemarketing e Pubblicità nel mirino del Garante: prime maxi sanzioni per violazione del GDPR

Prime maxi sanzioni del Garante italiano: la conformità al GDPR non è regola derogabile

 

Il 2019 ha rappresentato un anno di profonda rivoluzione per la protezione dati personali. Esaurito il periodo di “tolleranza”, anche il Garante italiano per la protezione dati ha provveduto ad emanare i primi provvedimenti sanzionatori.

Le prime due maxi sanzioni sono state applicate nei confronti di Eni Gas e Luce (Egl), per complessivi 11,5 milioni di euro. Le condotte illecite censurate riguardavano, rispettivamente:

  • trattamenti illeciti di dati personali nell’ambito di attività promozionali (telemarketing e teleselling) ;
  • trattamenti illeciti di dati personali, convergenti nell’attivazione di contratti non richiesti.

Le violazioni accertate hanno dimostrato una grave inosservanza dei principi e delle regole comportamentali richieste dal GDPR.

In particolare, si evidenziano:

  • attività pubblicitaria telefonica, effettuata senza il consenso della persona contattata;
  • perpetuata attività pubblicitaria, sebbene fosse stato manifestato il diniego dell’interessato a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni;
  • l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti;
  • tempi di conservazione dei dati superiori a quelli consentiti;
  • l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.

 

Il Garante italiano ha, dunque, rilevato le irregolarità, ingiungendo a Egl l’adozione di una serie di misure correttive e l’introduzione di specifici alert in grado di individuare varie anomalie procedurali.

Le sanzioni sono state determinate tenendo conto dei parametri indicati nel GDPR, tra i quali figurano:

  • l’ampia platea dei soggetti coinvolti (almeno 7200 soggetti interessati);
  • la pervasività delle condotte;
  • la durata della violazione;
  • le condizioni economiche di Egl.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Data Protection Officer: l’Antitrust interviene sui requisiti professionali necessari

Il parere dell’Antitrust sui requisiti professionali del DPO: cosa cambia?

 

Con l’introduzione del Regolamento (UE) 2016/679 (il “GDPR”), l’articolo 37 stabilisce i casi in cui le Pubbliche Amministrazioni e gli operatori privati, in quanto titolari del trattamento dei dati personali, debbano provvedere a designare obbligatoriamente il Data Protection Officer (DPO).

Il DPO è destinato ad assolvere molteplici funzioni:

  • di supporto e controllo;
  • consultive;
  • formative e informative

relativamente all’applicazione del Regolamento.

L’articolo 37, tuttavia, non specifica le qualità professionali da prendere in considerazione nella nomina del DPO, prevedendo soltanto:

  • la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati;
  • la capacità di assolvere i compiti di cui all’articolo 39.

 

Per tali ragioni, l’Autorità Garante della concorrenza e del Mercato (Agcm) ha fornito alcune osservazioni sui requisiti e modalità per la nomina dei DPO esterno, ai sensi dell’articolo 37, comma 6 del GDPR.

L’Autorità, in particolare, ha evidenziato che né il Regolamento, le successive Linee Guida elaborate dal Gruppo di lavoro “Articolo 29” richiedono un’abilitazione professionale per l’esercizio del ruolo di RDP: di conseguenza, ha ritenuto “discriminatorio e non giustificatorichiedere l’obbligatoria iscrizione all’albo degli avvocati nell’ambito della procedura, indetta dalla Pubblica Amministrazione, per la selezione di un DPO esterno. A giudizio dell’Agcm, tale requisito si dimostra inidoneo a dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato del servizio e si palesa, al contrario, del tutto sproporzionato e discriminatorio, perché escluderebbe in modo ingiustificato dalla competizione soggetti esperti della materia, ma non iscritti all’albo.

 

 

Quali competenze per il DPO? I percorsi formativi proposti da Hedya

 

La prassi più recente evidenzia come il DPO debba possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Ex dipendente, il Garante dispone: è illecito mantenere attivo l’account aziendale

Account aziendale dell’ex dipendente: il datore può accedere?

 

La protezione dei dati personali del dipendente deve essere assicurata anche in caso di cessazione del rapporto di lavoro. Questo è il principio espresso dal Garante per la protezione dati in un suo recente parere.

Nel caso di specie, una società aveva mantenuto attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro, accedendo alle mail aziendali contenute nella sua casella di posta elettronica. L’ex dipendente era venuto a conoscenza di questa condotta per caso, nel corso di un giudizio promosso nei suoi confronti proprio dalla sua ex azienda: quest’ultima, in particolare, aveva depositato agli atti una email recapitata sulla sua casella di posta un anno dopo la cessazione del rapporto lavorativo. L’account di posta era rimasto così attivo per oltre un anno e mezzo, e la sua eliminazione è avvenuta solo dopo la diffida presentata dal lavoratore nei confronti dell’azienda. L’ex dipendente ha, inoltre, proposto reclamo al Garante, giacché per tale periodo la società aveva avuto accesso a tutte le comunicazioni contenute nel proprio account, anche estranee all’attività lavorativa.

Secondo il Garante, grava sul datore di lavoro l’obbligo, in conformità ai principi in materia di protezione dei dati personali, di rimuove gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili dopo la cessazione del rapporto di lavoro, in un tempo ragionevole parametrato ai tempi tecnici di predisposizione delle misure.

È onore del datore di lavoro, inoltre:

  • provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento;
  • predisporre misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;

L’adozione di tali misure tecnologiche ed organizzative consente, secondo il Garante, di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

 

 

Come operare correttamente? I percorsi formativi e i servizi di consulenza offerti da Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Si suggerisce:

 

 

Ulteriori informazioni sono disponibili qui.

 

/da