COSA FACCIAMO

Webera ha esperienza e conoscenza per:

CORSI DI FORMAZIONE

Webera condivide esperienza e conoscenza per:

COME

Webera fornisce consulenza per analizzare e raggiungere i vostri obiettivi on line.

NEWS

Visualizzazione post con etichetta GDPR. Mostra tutti i post
Visualizzazione post con etichetta GDPR. Mostra tutti i post
  • I provvedimenti del Garante per la privacy


    Il Garante della Privacy pubblica i provvedimenti in materia di trattamento di dati per i quali è stato chiesto un parere. In genere si tratta di situazioni particolari e per le quali il Regolamento europeo rimanda a disposizioni di carattere nazionale.

    Di seguito riporto due problemi che ritengo di interesse pratico per la vostra azienda:

    • Utilizzo di pop up nei siti  web con il consenso incorporato
    • Comunicazione di dati degli iscritti ai sindacati

    Per qualsiasi ulteriore informazione, non esitate a scrivermi.

    Marketing: stop al pop up nei siti  web con il consenso incorporato
    Il Garante ha vietato a una società che offre servizi di comparazione sul proprio sito web (mutui, assicurazioni, luce, gas, telefonia) il trattamento, per finalità di marketing e di vendita ad altre aziende, dei dati raccolti attraverso un pop up senza il necessario consenso degli utenti [doc. web n. 8995274].
    L’intervento del Garante ha fatto seguito ad alcune segnalazioni, riguardanti - a seconda dei casi - comunicazioni promozionali indesiderate ricevute dalla stessa società per telefono o per email, oppure telefonate promozionali indesiderate, su utenze fisse e mobili, effettuate per conto di società dei settori energetico e delle telecomunicazioni.
    Le verifiche ispettive svolte dall’Autorità, anche con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, hanno accertato che il pop up non permetteva l’accesso ai servizi offerti se l’utente non accettava, con un unico consenso, il trattamento dei dati per diverse finalità (fra le quali il marketing o la comunicazione dei dati a terzi).
    In caso di compilazione delle caselle di testo, ma di mancata spunta del consenso, infatti, il sito non acquisiva i dati inseriti e non consentiva di procedere con la richiesta. Perciò, anche se l’informativa faceva riferimento alle diverse finalità di trattamento di dati, non si consentiva agli utenti di esprimere, come prevede la normativa, consensi specifici e differenziati. Se la società vorrà ancora utilizzare il pop up per raccogliere i dati a scopo promozionale (o per altre finalità) dovrà consentire all’utente di scegliere liberamente se e quali finalità autorizzare.
    Nel disporre il divieto, il Garante ha ribadito che la raccolta e/o la conservazione di dati personali, effettuate in violazione dell’obbligo del consenso informato, rappresentano un illecito trattamento dei dati a prescindere dal loro ulteriore uso e ha affermato che i dati raccolti con il pop up possono essere utilizzati solo per l’esecuzione delle richieste degli utenti.
    L’Autorità ha vietato anche il trattamento  dei dati tratti da elenchi acquisiti da altre aziende e per i quali la società non è stata in grado di dimostrare di avere il consenso libero e specifico per il marketing né quello per la comunicazione ad altri soggetti  per scopi promozionali.
    Il Garante, inoltre, ha ordinato alla società di avvisare tutti i soggetti ai quali ha ceduto liste di dati personali che questi non possono essere utilizzati senza aver acquisito il necessario consenso per le proprie attività.
    Per le violazioni riscontrate la società ha oblato le sanzioni amministrative già contestate dal  Nucleo speciale privacy.
    Per contrastare la circolazione di dati “viziati” ed ulteriori possibili trattamenti illeciti, come il telemarketing indesiderato, l’Autorità si è riservata di effettuare accertamenti anche nei confronti dei partner commerciali della società.

    Lavoro, vanno protetti i dati degli iscritti ai sindacati 
    Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.
    È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].
    A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.
    Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili  - ha osservato  l’Autorità - ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro  può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.
    In questo caso invece l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.
    A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo  o inibitorio.
    L’Autorità  si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

  • TELEMEDICINA & GDPR

    Il valore innegabile della Telemedicina non dovrebbe nascondere le difficoltà in termine di privacy, sia per la rilevanza dei principi da tutelare, sia per l’approccio degli operatori sanitari alle tematiche proprie della protezione dei dati personali.

    Infatti, la Telemedicina è sia un servizio sanitario sia un servizio della società dell'informazione nella quale le nuove tecnologie non hanno solo trasformato l'economia, ma anche le relazioni sociali.

    Poco è stato scritto su ciò che il GDPR, rilasciato nella prima versione nel 2012, significherà per le organizzazioni coinvolte nella Telemedicina.

    La normativa sulla protezione dei dati, non può sempre tenere il passo con lo sviluppo di nuove tecnologie e spesso si confronta con il dilemma di Collingridge secondo il quale quanto più un’innovazione o cambiamento si sviluppa, tanto più si riducono i margini d’intervento per apportare eventuali modifiche e aumenta, nel tempo, l’attenzione e la potenziale frustrazione dei possibili utenti, beneficiari o semplici cittadini.

    In questo scenario, il ruolo dei responsabili della protezione dei dati è particolarmente complicato e 
    per questo motivo, ho presentato un mio elaborato al termine del Corso di Alta Formazione "DATA PROTECTION E PRIVACY OFFICER" presso ALMA MATER STUDIORUM - Università di Bologna che avrò piacere di condividere con chi è interessato.

  • Privacy disclaimer nelle email aziendali


    Spesso in calce alle mail aziendali, viene inserito un disclaimer sulla privacy con riferimenti legali di dubbia utilità.

    Infatti, il nostro ordinamento giuridico prevede già espressamente norme a garanzia della corrispondenza e, più in generale, delle comunicazioni.

    L'art. 15 della Costituzione sancisce che "la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili” e nel novero delle comunicazioni tutelate rientrano senza dubbio anche i messaggi di posta elettronica. Esplicita tutela è inoltre riconosciuta anche dagli articoli 616 e seguenti del Codice Penale, il cui ambito di applicazione è esteso alla corrispondenza “epistolare, telegrafica, telefonica e telematica”.

    Per questo motivo, quindi, è poco significativo inserire in calce alle e-mail un disclaimer contenente errati riferimenti alla normativa di riferimento.

    Nel dubbio, qualcuno inserisce disclaimer generici, tipo:

    “Questa e-mail, nonché qualsiasi file allegato alla presente, è destinata esclusivamente ai destinatari indicati in indirizzo o a chi sia stato da quelli autorizzato e può contenere informazioni legalmente privilegiate e/o confidenziali. Se non siete il destinatario designato di questa e-mail, si avvisa che la diffusione, distribuzione o copia della presente e-mail, nonché di qualsiasi file qui allegato, è tassativamente vietata. Se avete ricevuto per errore questa e-mail, siete pregati di avvisarmi immediatamente al numero xxxxxxxxxx e di distruggere permanentemente l’originale e qualsiasi copia della presente nonché qualsiasi stampa di questa.”

    In base al GDPR, una dichiarazione simile può essere però pericolosa. Per due motivi:


    • si dice che la e-mail è riservata e che può contenere “informazioni legalmente privilegiate e/o confidenziali”;
    • contempla la possibilità che la e-mail possa raggiungere destinatari diversi da quelli espressamente designati, i quali potranno leggere il testo ed i relativi allegati in quanto sono in chiaro e non crittografati.

    Infatti, il GDPR prevede che “il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (art. 32).

    La dichiarazione sopra dimostra, quindi, la consapevolezza di non aver adottato le misure di sicurezza tecniche e organizzative idonee. Ne consegue che il titolare potrà essere responsabile per aver inviato e-mail riservate o confidenziali “in chiaro” invece di crittografarle.

    A mio avviso, se proprio vogliamo inserire un disclaimer, in riferimento anche alla netiquette, è sufficiente inserire un messaggio breve e semplice di questo tipo:

    “Questa e-mail, nonché qualsiasi file allegato alla presente, è destinata esclusivamente ai destinatari indicati in indirizzo o a chi sia stato da quelli autorizzato. Se avete ricevuto per errore questa e-mail, vi chiedo cortesemente di avvisarmi immediatamente e di distruggere permanentemente l’originale e qualsiasi copia della presente nonché qualsiasi stampa di questa."
  • Quanto costa il DPO - Responsabile della protezione dei dati?

    Spesso molte aziende mi chiedono qual è il costo del Responsabile della protezione dei dati.
    Sempre rispondo prima di tutto quali sono le caratteristiche che deve avere un DPO e cosa deve fare.
    Se questo viene capito dall'Azienda e se è necessario nominare un DPO, allora iniziamo a parlare cosa posso fare per loro e quindi di costi.
    Il responsabile della protezione dei dati è un professionista, non un software!
    Cominciamo a  dire chi è il DPO, o meglio, il RDP in italiano:
    PROFILO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI- RDP.
    Il  RDP è un professionista, quindi non è un'azienda,  i cui compiti sono definiti all'articolo 39-Compiti del responsabile della protezione dei dati del Regolamento (UE) n. 679/2016 e che è responsabile dell'applicazione della legislazione in materia di privacy e protezione dei dati.
    Il responsabile della protezione dei dati eseguirà almeno le seguenti attività:

    1. informare e consigliare il responsabile del trattamento o l'incaricato del trattamento e i dipendenti che trattano i dati degli obblighi loro incombenti ai sensi del regolamento e di altre disposizioni sulla protezione dei dati nell'Unione europea o negli Stati membri;
    2. vigila sull'osservanza delle disposizioni del regolamento e di altre disposizioni sulla protezione dei dati nell'Unione europea o negli Stati membri e delle politiche del responsabile del trattamento o dell'incaricato del trattamento in relazione alla protezione dei dati personali;
    3. sovrintende all'assegnazione delle responsabilità;
    4. supervisiona la sensibilizzazione e la formazione del personale che partecipa alle operazioni di trattamento;
    5. supervisiona i relativi controlli;
    6. offre consulenza, se richiesta, in merito alle valutazioni d'impatto sulla protezione dei dati;
    7. vigila sulla loro applicazione in conformità all'articolo 35-Valutazione d’impatto sulla protezione dei dati del Regolamento;
    8. coopera con l'autorità di controllo;
    9. funge da punto di contatto con l'autorità di vigilanza per le questioni relative al trattamento dei dati, compresa la consultazione preliminare di cui all'articolo 36-Consultazione preventiva, e 
    10. consulta l'autorità di controllo, a seconda dei casi, su qualsiasi questione.
    Il responsabile della protezione dei dati svolgerà le proprie funzioni prestando la debita attenzione ai rischi associati alle attività di trattamento dei dati e tenendo conto della natura, della portata, del contesto, e finalità del trattamento dei dati.
    Per fare ciò, deve essere in grado di:
    1. raccogliere informazioni per identificare le attività di trattamento,
    2. analizzare e verificare la conformità delle attività di trattamento e
    3. informare, consigliare e formulare raccomandazioni al Titolare o al responsabile.
    4. raccogliere informazioni per controllare il Registro delle attività di trattamento.
    5. fornire consulenza sull'applicazione del principio della protezione dei dati fin dalla progettazione (by design) e protezione per impostazione predefinita (by default).
    6. avvisare su:
      • se una valutazione d'impatto sulla protezione dei dati debba essere effettuata o meno
      • quale metodologia dovrebbe essere seguita quando si effettua un valutazione di impatto sulla protezione dei dati
      • se una valutazione di impatto sulla protezione dei dati debba essere effettuata internamente o esternalizzarla
      • quali garanzie (comprese le misure tecniche e organizzative) da applicare al fine di mitigare qualsiasi rischio per i diritti e la libertà degli interessati
      • se la valutazione dell'impatto sulla protezione dei dati sia stata eseguita correttamente o meno
      • se le sue conclusioni (se continuare con il trattamento o meno e quali salvaguardie dovrebbe essere applicate) sono conformi al regolamento.
    7. dare la priorità alle loro attività e concentrare i loro sforzi su quelle questioni che rappresentano un rischio maggiore in termini di protezione dei dati.
    8. consigliare il responsabile del trattamento dei dati su:
      • quale metodologia dovrebbe essere utilizzata quando si effettua una valutazione di impatto sulla protezione dei dati
      • quali aree dovrebbero essere soggette a un audit interno o esterno sulla protezione dei dati ,
      • quali attività di formazione interna dovrebbero essere fornite al personale o ai dirigenti responsabili per le attività di trattamento dei dati e a quali attività di trattamento dati dovrebbe essere dedicato più tempo e le risorse.

    COMPETENZE RICHIESTE AL RESPONSABILE DELLA PROTEZIONE DEI DATI.
    Il responsabile della protezione dei dati deve avere esperienza sulla conoscenza della protezione dei dati e delle pratiche. Di seguito sono identificate le conoscenze, le competenze e le abilità che il DPO deve conoscere o i compiti che deve svolgere.
    Professionista con conoscenze, competenze e abilità
    Queste funzioni generiche del DPO possono essere riassunte come attività di consulenza e supervisione nelle seguenti aree, tra cui:

    1. Rispetto dei principi relativi al trattamento, come la limitazione delle finalità, la minimizzazione dei dati o l'accuratezza
    2. Individuazione della base legale per il trattamento dei dati
    3. Valutazione della compatibilità di finalità diverse da quelli che hanno dato origine alla raccolta iniziale dei dati
    4. Determinare se una normativa di settore può determinare condizioni specifiche di trattamento di dati diverse da quelle stabilite dalle norme generali sulla protezione dei dati
    5. Progettazione e attuazione di misure per fornire informazioni agli interessati
    6. Stabilire meccanismi per ricevere e gestire le richieste per esercitare i diritti degli interessati
    7. Valutare le richieste per esercitare i diritti degli interessati
    8. Assunzione di responsabili, compreso il contenuto dei contratti o dei documenti legali per regolare la relazione tra titolare e responsabile
    9. Identificare gli strumenti internazionali di trasferimento dati che sono adatti ai bisogni e caratteristiche dell'organizzazione e le ragioni che giustificano il trasferimento
    10. Progettazione e attuazione di politiche di protezione dei dati
    11. Audit sulla protezione dei dati
    12. Creazione e gestione di un registro delle attività di trattamento
    13. Analisi dei rischi delle operazioni di trattamento effettuate
    14. Attuazione delle misure di protezione dei dati fin dalla progettazione (by design) e protezione per impostazione predefinita (by default) che sono adatte per i rischi e la natura delle attività di trattamento
    15. Implementazione di misure di sicurezza adeguate ai rischi e alla natura delle attività di trattamento
    16. Stabilire procedure per gestire le violazioni della sicurezza dei dati, inclusa la valutazione del rischio ai diritti e alle libertà degli interessati e delle procedure per notificare alla autorità di vigilanza competente e agli interessati
    17. Determinazione della necessità di effettuare valutazioni d'impatto sulla protezione dei dati
    18. Esecuzione di valutazioni d'impatto sulla protezione dei dati
    19. Rapporti con le autorità di vigilanza
    20. Attuazione di programmi di formazione e sensibilizzazione per il personale sulla protezione dei dati.

    Ovviamente, per rispetto dei colleghi professionisti, non posso pubblicare il mio tariffario, ma sarò ben lieto di parlarne di persona.
  • CONTATTI

    Vuoi scoprire come possiamo aiutarti? Hai un'esigenza specifica e vuoi capire come risolverla?
    Compila il seguente modulo per essere contattato da un ns. esperto!

    * campi obbligatori
    Cliccando su "Invia" dichiaro di aver preso visione l’Informativa privacy relativa al trattamento dei miei dati personali per le finalità ivi descritte.