Privacy: nuovo Regolamento Ue, prime Linee guida dei Garanti europei


cxnpv1-veaaeadsIl Gruppo dei Garanti Ue (WP 29) ha approvato lo scorso 13 dicembre tre documenti con indicazioni e raccomandazioni su importanti novità del Regolamento 2016/679 sulla protezione dei dati, in vista della sua applicazione da parte degli Stati membri a partire dal maggio 2018.

Le linee guida, alla cui elaborazione il Garante italiano ha attivamente partecipato, riguardano:

  • il “responsabile per la protezione dei dati” (Data Protection Officer  – DPO),
  • il diritto alla portabilità dei dati,
  • l’“autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.

Data Protection Officer  – DPO)

Le Linee guida sul DPO specificano i requisiti soggettivi e oggettivi di questa figura, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri che il Gruppo ha chiarito nel documento. Nel documento vengono illustrate (anche attraverso esempi concreti) le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.

Diritto alla portabilità

Per quanto riguarda il diritto alla portabilità, il Gruppo evidenzia il suo valore di strumento per l’effettiva  libertà di scelta dell’utente, che potrà decidere di trasferire altrove i dati personali forniti direttamente al titolare del trattamento (piattaforma di social network, fornitore di posta elettronica etc.) oppure generati dall’utente stesso navigando o muovendosi sui siti o le piattaforme messe a sua disposizione. Il documento esamina anche gli aspetti tecnici legati soprattutto ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio del diritto.

Sportello unico

Infine, i Garanti Ue hanno chiarito i criteri per la individuazione della “Autorità capofila” che deve fungere da “sportello unico” per i trattamenti transnazionali (se il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento).  Si tratta di un elemento importante del nuovo quadro normativo, e le Linee guida vogliono aiutare i titolari o responsabili del trattamento a individuare correttamente l’Autorità competente in questi casi così da evitare controversie e garantire un’attuazione efficace del Regolamento.

Su ciascuno di questi documenti, disponibili per ora solo in lingua inglese, il Garante predisporrà delle apposite schede di approfondimento volte a far meglio comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento.

Privacy, Data Protection Officer incompatibile con il Manager IT

È una delle novità introdotte dal nuovo Regolamento Ue: si rischiano pesanti multe per i doppi ruoli e i conflitti d’interessi. E una società bavarese è già inciampata sulle nuove norme. 

eu-dpoUna delle novità introdotte dal nuovo Regolamento UE 2016/679, è quella relativa al Data Protection Officer (DPO). Anche se prima la direttiva 95/46/CE non obbligava imprese ed enti a designare questa figura, in realtà essa esisteva già da diversi anni in numerosi Stati membri dell’UE, tra i quali la Germania, dove tuttora il Federal Data Protection Act la impone ad esempio alle aziende che hanno almeno 10 persone che sono coinvolte nel trattamento automatizzato di dati personali.

E proprio in Germania, di recente il Garante per la privacy bavarese ha multato una società che aveva designato il proprio IT manager come data protection officer, e questo nonostante la normativa prevedesse la possibilità di nominare sia un dipendente che un professionista esterno.

Perché allora la società è stata sanzionata?

Il motivo per cui è scattata la sanzione non interessa solo le aziende tedesche ma tutte quelle dell’intera UE che ricadono nell’obbligo di dotarsi del cosiddetto privacy officer: se è vero che la contestazione sollevata dall’Autorità bavarese si basa sul Federal Data Protection Act, d’altra parte essa poggia sul principio dettato dall’articolo 38 del nuovo Regolamento Europeo, che dal 25 maggio 2018 sarà direttamente applicabile in tutti gli Stati membri, e che riguardo la posizione del data protection officer richiede che il titolare del trattamento “si assicura che tali compiti e funzioni non diano adito a un conflitto d’interessi”.

Nonostante sia consentito al dpo di svolgere anche altre mansioni, queste non devono però risultare incompatibili con la stessa posizione di data protection officer, che in casi come quello preso in esame dal Garante tedesco avrebbe dovuto in pratica controllare se stesso, verificando se le proprie attività di IT manager erano conformi alla normativa in materia di protezione di dati personali, e una forma di auto-monitoraggio contrasta con l’assenza di conflitti d’interessi e l’indipendenza richiesti al soggetto che svolge questo ruolo

Poiché i compiti del data protection officer comportano obblighi di controllo che generalmente sono prerogativa delle autorità, l’indipendenza di questo è un aspetto fondamentale, e come il conflitto d’interessi è stato rilevato in relazione alla sua funzione parallela di IT manager, ciò non esclude che lo stesso problema possa presentarsi anche in casi in cui l’intenzione del management sia quella di individuare il dpo tra dipendenti che sono già a capo di altri reparti significativamente implicati nel trattamento dei dati personali, come possono esserlo le risorse umane e l’amministrazione del personale, l’ufficio legale, o anche la direzione marketing.

A tal proposito, le Linee Guida WP 243 adottate il 13 dicembre dal Working Party articolo 29,  hanno sottolineato che, seppure sia permesso al data protection officer di svolgere allo stesso tempo altre funzioni, l’organizzazione deve garantire che “tali compiti e doveri non diano luogo ad un conflitto di interessi”, e ciò comporta che di caso in caso debba essere preventivamente accertato che la persona scelta per essere nominata DPO non ricopra funzioni in cui essa concorra a determinare le finalità e le modalità del trattamento dei dati personali.

Per tale ragione, le linee guida dettate dal Working Party 29 evidenziano che, a seconda delle attività, delle dimensioni e della struttura dell’organizzazione, per i titolari del trattamento che si apprestano a designare il data protection officer, può essere buona pratica identificare le posizioni incompatibili con la funzione di dpo, stabilire delle regole interne per evitare situazioni di conflitto d’interesse, sensibilizzare il tema fornendo una spiegazione generale su questo requisito, dichiarare specificamente che il proprio dpo non ha alcun conflitto per quanto riguarda questa funzione, e precisare che per ricoprire tale ruolo è indispensabile evitare qualsiasi forma di conflitto d’interessi.

Non è ancora noto a quanto ammonti la sanzione comminata alla società tedesca che aveva nominato il proprio IT manager come data protection officer, tuttavia quella del conflitto d’interessi con il nuovo Regolamento Europeo è una questione di primaria importanza che aziende pubbliche e private devono valutare attentamente per evitare violazioni che in questi casi potrebbero comportare multe fino a 10 milioni di euro o al 2% del fatturato globale annuo.

Energia e gas, servizi on line: no al consenso “obbligato” per il marketing

imagesI clienti che desiderano usufruire dei servizi on line offerti da un’impresa, come quelli di fatturazione, non devono essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali.

Questa la decisione assunta dal Garante della privacy per tutelare da promozioni indesiderate gli utenti dello sportello on line di un fornitore di servizi energetici [doc. web n. 5687770].

Dagli accertamenti dell’Autorità, avviati in seguito ad alcune segnalazioni ricevute, è emerso che la società aveva offerto alla propria clientela la possibilità di gestire la scheda anagrafica, i consumi e le fatture direttamente sul sito web. Per usufruire di tali servizi, però, i clienti dovevano completare una procedura di registrazione dove erano costretti a barrare un’unica casella per concedere un consenso onnicomprensivo al trattamento dei loro dati personali sia per le finalità legate alla gestione del contratto, sia per la ricezione di messaggi di posta elettronica contenenti pubblicità o altro materiale promozionale. Una modalità che, in concreto, violava il principio, più volte rimarcato dal Garante, in base al quale il consenso, per essere ritenuto valido, non deve essere condizionato, ma libero, specifico e informato.

Nel corso dell’istruttoria, inoltre, il Garante ha rilevato che il ramo aziendale di fornitura del gas era stato acquisito da un’altra società, che non aveva provveduto, come previsto dalla normativa, a inviare ai nuovi clienti l’informativa relativa al trattamento dei dati personali.

L’Autorità ha quindi:

  • vietato al primo operatore energetico, che aveva predisposto lo sportello per i servizi on line, di utilizzare per finalità di marketing i dati personali di cui era ancora in possesso in assenza di un valido consenso e
  • prescritto alla società acquirente del ramo gas di provvedere quanto prima a informare i clienti sulle modalità di trattamento dei loro dati. 

Il Garante si è riservato di verificare, con autonomi procedimenti, la sussistenza dei presupposti per contestare le sanzioni amministrative per le violazioni commesse.

Privacy: impianti GPS sulle auto aziendali

fisco-i-controlli-in-banca-saranno-su-tutti-i-contribuenti-non-solo-sugli-evasoriFonte: Dottrina per il Lavoro

L’Ispettorato nazionale del Lavoro, ha emanato la circolare n. 2 del 7 novembre 2016, con la quale fornisce indicazioni operative sull’installazione ed utilizzazione di impianti satellitari GPS montati su autovetture aziendali, ai sensi dell’art. 4, commi 1 e 2, Legge n. 300/1970.

In particolare, l’Ispettorato del Lavoro chiarisce se gli impianti siano da considerare strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e come tali esclusi dalle condizioni e dalle procedure previste dal medesimo art. 4.

In linea di massima, l’Ispettorato ritiene che i sistemi di geolocalizzazione rappresentino un elemento “aggiunto” agli strumenti di lavoro, non utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa ma, per rispondere ad esigenze ulteriori di carattere assicurativo, organizzativo, produttivo o per garantire la sicurezza del lavoro.

Ne consegue che, in tali casi, la fattispecie rientri nel campo di applicazione di cui al comma 1 dell’art.4 Legge n. 300/1970 e pertanto le relative apparecchiature possono essere installate solo previo accordo stipulato con la rappresentanza sindacale ovvero, in assenza di tale accordo, previa autorizzazione da parte dell’Ispettorato nazionale del lavoro (art. 4, comma 1, della Legge n. 300/1970, come modificato dall’art. 5, comma 2, D.Lgs. n. 185/2016).

Solo in casi del tutto particolari:

  • qualora i sistemi di localizzazione siano installati per consentire la concreta ed effettiva attuazione della prestazione lavorativa (e cioè la stessa non possa essere resa senza ricorrere all’uso di tali strumenti), ovvero
  • l’installazione sia richiesta da specifiche normative di carattere legislativo o regolamentare (es. uso dei sistemi GPS per il trasporto di portavalori superiore a euro 1.500.000,00, ecc.)

si può ritenere che gli stessi finiscano per “trasformarsi” in veri e propri strumenti di lavoro e pertanto si possa prescindere, ai sensi di cui al comma 2 dell’art. 4 della Legge n. 300/1970, sia dall’intervento della contrattazione collettiva che dal procedimento amministrativo di carattere autorizzativo previsti dalla legge.

Lavoro, “timbrare” con la app: ok, ma solo con adeguate garanzie

cartellino_timbro_fotogramma-krab-835x437ilsole24ore-webDue società appartenenti a un gruppo che si occupa di ricerca, selezione e somministrazione di lavoro a tempo determinato potranno chiedere ai propri dipendenti – impiegati presso altre ditte o che svolgono sistematicamente attività “fuori sede” – di installare una app sugli smartphone di loro proprietà,  ai fini della rilevazione di inizio e fine dell’attività lavorativa.

Chi non intende scaricare la app potrà continuare a entrare e uscire dal posto di lavoro impiegando i sistemi tradizionali in uso.

Lo ha stabilito il Garante privacy che ha accolto, in applicazione della disciplina sul cosiddetto “bilanciamento di interessi”, un’istanza di verifica preliminare presentata dalle due società e ha dettato una serie di misure a tutela dei lavoratori.

Con l’adozione della app, che prevede l’uso dei dati di geolocalizzazione, le società intendono snellire le procedure relative alla gestione amministrativa del personale, di volta in volta collocato presso altre ditte o semplificare e rendere più efficiente la rilevazione della presenza dei dipendenti che lavorano per lo più all’esterno della sede aziendale.

Il Garante ha tuttavia prescritto alle società di perfezionare il sistema nella prospettiva della “privacy by design”, applicando il principio di necessità e anche alla luce dei possibili errori nell’accuratezza dei sistemi di localizzazione.

In particolare, verificata la associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore, il sistema

  • potrà conservare ˗ se del caso ˗ il solo dato relativo alla sede di lavoro (oltre a data e orario della “timbratura” virtuale),
  • cancellando il dato relativo alla posizione del lavoratore.

Inoltre, sullo schermo del  telefonino dovrà essere sempre ben visibile un’icona che indichi che la funzione di localizzazione è attiva.

L’applicazione dovrà poi essere configurata in modo tale da impedire il trattamento, anche accidentale, di altri dati contenuti nel dispositivo di proprietà del lavoratore (ad esempio, dati relativi al traffico telefonico, agli sms, alla posta elettronica, alla navigazione in Internet o altre informazioni presenti sul dispositivo).

Prima dell’avvio del nuovo sistema di accertamento delle presenze, le società dovranno effettuare la notificazione al Garante, indicando i tipi di trattamenti e le operazioni che intendono compiere, e fornire ai dipendenti  un’informativa comprensiva di tutti gli elementi (tipologia dei dati, finalità e modalità del trattamento, tempi di conservazione, natura facoltativa del conferimento, soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati del trattamento).

Le società dovranno, infine, adottare tutte le misure di sicurezza previste dalla normativa per preservare l’integrità dei dati e l’accesso a persone non autorizzate.

Accountability needs technology!

shutterstock_363192542-700x467

From the very beginning, data protection has been about the processing of personal data by means of technology. When the first data protection laws were adopted in the 1970s, computers were just starting to become standard tools in business and public administration. The Internet had just been invented and was only accessible to a few researchers and computer specialists. But still, the founders of data protection saw the big possibilities and the dangers of uncontrolled collection, analysis and evaluation of personal data with the help of the still emerging technologies and they managed to convince legislators to enact a set of controls and safeguards to protect fundamental rights.
Over the last 40 years, the technological tools for data processing have grown in capabilities and availability, the amounts of data processed have increased by astronomical orders of magnitude. Data protection authorities have long realized that technology can not only be the tool for processing but that it must also contribute to implementing the safeguards and the principles of data protection. The EDPS strategy 2015-2019 demands that “Data protection goes digital”.  

With the recent adoption of the new General Data Protection Regulation of the EU, a new chapter has been opened for data protection. One of the most important developments is that now the principle of accountability becomes a key concept in data protection.

Accountability means that those processing personal data:

  • have to take full responsibility for their actions and
  • must be able to demonstrate that they did all what is necessary in order to comply with their data protection obligations.

At the same time, the GDPR also introduces the principle of data protection by design and by default. This principle obliges the controller to take technical and organisational measures in order to implement data protection principles, such as data minimisation and purpose limitation, and the necessary safeguards. Choosing and using technology in this way will become a means to enable accountability and to demonstrate compliance and commitment to protecting fundamental rights.

How can we ensure that appropriate technologies will be available?

The GDPR establishes the “state of the art” as one of the criteria for the appropriate technological measures. This means that the most privacy-friendly solutions available contribute to setting the threshold for what can be accepted as appropriate solution.

If a good solution for a common data protection issue has been found and implemented in practice, there is no good excuse anymore for applying a less data protection compliant solution. This evolution of the state of the art can drive a dynamic process of continuous improvement of privacy-friendly technologies: the more and better data protection by design is implemented, the more it will become the baseline for all controllers to achieve in their implementations.

There are many technology developers who want to contribute to raising this bar.

Research in PETs (privacy enhancing technologies) has been a subject of growing interest in academia and industry for several years now, and a number of publications and conferences have been established and attract a growing number of contributors.

This week, the Annual Privacy Forum organised by ENISA has been a showcase for the state of the art in privacy enhancing technologies, and also an opportunity for discussing the factors that can accelerate or impede their further deployment and adoption in real life data processing. The developers presented tools to give more control to users about their data being processed, better information and transparency about the processing, improving the security of personal data and models to make PETs more accessible to developers. I participated in a panel on this project. One of the questions discussed was who could be the best keeper of a repository of information about the maturity of PETSs. There are many legal questions to be solved, possibly the future EDPB may be best placed to look at this issue.

The following day is reserved for a workshop of the Internet Privacy Engineering Network IPEN which the EDPS and colleagues from other data protection authorities, industry, academia and civil society created two years ago. IPEN was a welcome response to the need felt by many developers and designers of Internet technologies and services to find a response by the widespread surveillance revealed by Edward Snowden in 2013. Also some of those who are designing the technologies of the Internet, in the IETF and other organisations decided to join the exchange about more privacy friendly tools, building blocks and protocols.

With the GDPR, the environment has changed considerably.

When Data Protection Authorities will assess data processing operations in the future, they will look at the implementation of the solution, including all technical and organisational measures, in addition to legal and administrative tools, and transparency of personal data processing.

At the IPEN workshop, the discussion between stakeholders will focus on the question, how the new GDPR obligations which apply directly only to controllers can contribute to improving the state of the art in privacy engineering in such a way that also manufacturers and suppliers of tools, products and services will step by step upgrade the privacy feature of their offerings.

This is clearly an ambitious objective, but one that needs to be pursued in order to deliver better data protection and privacy to EU citizens, and that can have a global impact if we are successful.

Lavoro: no al controllo indiscriminato di e-mail e navigazione Internet

downloadVerifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a un’università il monitoraggio massivo delle attività in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’Ateneo.

Nel corso dell’istruttoria, l’amministrazione ha respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura. L’Università aveva inoltre aggiunto che non venivano trattati dati personali  dei dipendenti che si connettevano alla rete.

L’istruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.

L’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei lavoratori – anche nella nuova versione modificata dal cosiddetto “Jobs Act” – che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per il lavoratore.

Nel provvedimento il Garante ha rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus.

In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.

L’Autorità ha infine riscontrato che l’Università non aveva fornito agli utilizzatori della rete un’idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali.

L’Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte della magistratura.