Newsletter n. 167 del 20 06 16
Transcript
Newsletter n. 167 del 20 06 16
ANNO 11 NUMERO 167 Aderente Newsletter Delegazione provinciale Cuneo, 20/06/16 Il focus di questo numero In questo numero Gentili Lettori, L’angolo della privacy - Videosorveglianza geolocalizzazione, modello D.T.L. guida e al - Le vostre telecamere possono spiarvi - Il keylogger travestito caricabatterie Usb - Marketing diretto senza consenso: più facile se c'è il legittimo interesse - Video con targa auto leggibile: attenzione alla privacy! - Cronaca: garantire sempre riservatezza bambino malato - Anagrafe nazionale studenti, ok a consultazione da parte dell'Università - No allo spam elettorale sulle mail dei dipendenti comunali - Il Garante UE boccia il Privacy Shield Scadenze ricordare e date da da Recentemente è stato pubblicato sul sito del Ministero del Lavoro il “Modulo Unificato Istanza di Autorizzazione all’Installazione di Impianti di Videosorveglianza ed all’Installazione ed Utilizzo di Impianti ed Apparecchiature di Localizzazione Satellitare GPS a Bordo di Mezzi Aziendali ai sensi dell’art. 4 della L.300/70 (Statuto dei lavoratori). Il modulo, ha preso la stura dalla riforma dell’Art. 4 della L. 300/70 inserita nel Job Act e recepito dall’art. 114 del Testo unico Privacy e dai Provvedimenti dell’Autorità Garante Privacy, unificando la diversa modulistica richiesta dalle singole Direzioni Territoriali del Lavoro. All’interno della Newsletter trovate una prima analisi del modello, tratta da PMI.it, Per quanto attiene la Videosorveglianza segnaliamo: - Inserimento delle motivazioni previste dal citato art. 4 c. 1 L. 300/70; - Divieto, salvo casi eccezionali, di controllo a distanza dei lavoratori e ripresa delle sole aree esposte a rischio; - Tenuta immagini per 24 ore, fatto salvo speciali esigenze in relazione a festività o chiusure uffici; - Divieto di diffusione delle immagini all’esterno; - Informativa ai dipendenti e cartelli di avviso “area videosorvegliata”; - Rilascio di idonea certificazione da parte dell’installatore; - Rispetto delle prescrizioni del Garante Privacy e del Provvedimento sulla Videosorveglianza (peraltro in aggiornamento a breve); - Predisposizione planimetria in A3 con dettagliate caratteristiche tecniche da inserire (campo visivo, angolo, ecc.) ed indicazione delle postazioni di lavoro e loro esclusione da angolo di ripresa ed inoltre posizione di tutti i monitor; - Dettagliata relazione tecnico-descrittiva sulla gestione e l’utilizzo dell’impianto di videosorveglianza; - Le registrazioni dovranno essere custodite in un armadio con doppia chiave alle quali potranno accedervi, con una doppia password, un legale rappresentante ed un rappresentante dei lavoratori. Lo Staff di Pentha Vi augura una buona lettura Consulenti della privacy certificati da TÜV Italia secondo la norma ISO 17024 Iscritti al Registro Consulenti Privacy: Adriano Garavagno CDP/011 Fabrizio Bongiovanni CDP/010 Data Protection Officer certificati da Bureau Veritas Italia secondo la norma ISO 17024 Iscritti al Registro Data Protection Officer: Adriano Garavagno DPO0043/ Fabrizio Bongiovanni DPO0041 NOTIZIARIO DIPENDENTI PAGINA 2 L’angolo della privacy Videosorveglianza e geolocalizzazione, guida al modello D.T.L. Il nuovo articolo 4 dello Statuto dei Lavoratori, a seguito delle modifiche introdotte dal Jobs Act in combinato con la normativa privacy, prevede che gli impianti audiovisivi e gli altri strumenti dai quali derivi la possibilità di controllo a distanza dei lavoratori possano essere impiegati: Il 5 maggio 2016 il Ministero del Lavoro ha pubblicato il modello unificato con cui richiedere l’autorizzazione a installare impianti di videosorveglianza e/o di geolocalizzazione, completo anche negli aspetti più tecnici: l’impresa dovrà limitarsi a compilarlo ed allegare la documentazione richiesta “esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”. Il tutto, previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o aziendali, oppure con autorizzazione della DTL. Nel rispetto dello Statuto dei Lavoratori e del Codice Privacy l’impresa deve quindi impegnarsi a trattare i dati personali esclusivamente per soddisfare esigenze organizzative e produttive o per la sicurezza sul lavoro, nonché a non utilizzare i dispositivi di tracciamento al fine di monitorare il comportamento e gli spostamenti di autisti o altro personale. Allo stesso modo dovrà essere fornita adeguata informazione (dipendenti, terzi, clienti, ecc.) in merito all’adozione di detti strumenti, per mezzo di opportuna informativa e di apposita segnaletica. Le dichiarazioni elencate nel modello non sono mere enunciazioni di principio: se da una parte si semplifica le procedura autorizzativa, dall’altra diventa cruciale che azienda provveda a dare concreta attuazione a quanto ivi dichiarato. Vediamo di seguito quelle obbligatorie (tra le altre). Videosorveglianza L’angolo di ripresa delle telecamere (fisse o mobili) dovrà essere indirizzato soltanto verso le aree di rischio e nel rispetto della riservatezza dei lavoratori; le registrazioni dovranno essere custodite sotto chiave o “sotto password” e vi potranno accedere solo gli indicati legale rappresentante (o delegato) e il rappresentante dei lavoratori; Pentha servizi Integrati per le imprese PAG. 2 NOTIZIARIO DIPENDENTI PAGINA 3 andranno rispettate le prescrizioni in materia di conservazione (24 ore) dettate dal Codice Privacy e dai provvedimenti del Garante; dovrà essere allegata la planimetria dell’impianto specificando anche numero e posizione delle telecamere, lunghezza focale e profondità di campo, posizione dei monitor e dispositivo di registrazione; dovrà essere allegata una dettagliata relazione tecnicodescrittiva sulla gestione e l’utilizzo dell’impianto di videosorveglianza Geolocalizzazione Nella fase di installazione, utilizzo dei sistemi di rilevazione e gestione dei dati acquisiti saranno rispettati i principi di pertinenza e non eccedenza, per mezzo di dispositivi opportunamente configurati che potranno rilevare, oltre all’ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, la velocità media del veicolo; il monitoraggio della posizione non deve essere effettuato in via continuativa ma solo quando necessario; dovranno essere rispettati i tempi di conservazione così come prescritto dal Garante; gli operatori economici che forniscono i servizi di localizzazione dovranno essere nominati responsabili del trattamento; dovrà essere allegata una dettagliata relazione tecnicodescrittiva contenente le modalità di localizzazione del sistema satellitare GPS, con la descrizione e disposizione delle apparecchiature nella sede ricevente. Qui il link per scaricare il modello: http://www.lavoro.gov.it/strumenti-eservizi/Modulistica/Documents/Autorizzazione%20installazione%20di %20impianti%20di%20videosorveglianza%20o%20GPS/ModuloUnificato-Autorizzazione-impianti-videosorveglianza-GPS.pdf Si rimane lievemente perplessi in merito alle modalità di comunicazione e di informazione prese in considerazione dal modello. Nella nota in calce, infatti, si specifica che il modello deve essere obbligatoriamente compilato in digitale e poi inviato per posta elettronica (!) o PEC all’ufficio competente. Parrebbe dedursi che soltanto in via facoltativa l’invio del modello potrebbe essere eseguito a mezzo di posta certificata, laddove, a giudizio di chi scrive, sarebbe dovuto esser obbligatorio tout court; ma soprattutto non si prevede la possibilità di firmare il modello digitalmente chiedendo tra l’altro di allegare un documento di riconoscimento Pentha servizi Integrati per le imprese PAG. 3 NOTIZIARIO DIPENDENTI PAGINA 4 in caso di invio a mezzo fax o per posta certificata. Allo stesso modo, anche per il pagamento dei bolli, si obbliga la consegna a mano non prevedendo –neanche in via alternativa– la possibilità di pagamento per via telematica. In ogni caso, accantonando queste ultime considerazioni operative, si deve ritenere che senz’altro il modello aiuterà molto le aziende a regolarizzare la loro posizione nel momento in cui decidano di adottare sistemi di videosorveglianza o geolocalizzazione.” Aggiungiamo, come Pentha Srl, che molta attenzione andrà dedicata agli allegati previsti dal modello, in quanto sono i documenti che andavano prodotti in passato e che comunque vanno ancora presentati a corredo della domanda e quindi: relazione tecnico descrittiva dell’impianto, planimetrie con coni esatti di inquadratura per gli impianti di videosorveglianza, elenco mezzi geolocalizzati, ecc. Infine il tutto andrà integrato con il proprio piano privacy, in un’ottica di corretta “compliance”, anche alla luce del Nuovo Regolamento Europeo sulla protezione dei dati personali. Fonte: PMI.it - Avv. Emiliano Vitelli Pentha servizi Integrati per le imprese PAG. 4 NOTIZIARIO DIPENDENTI PAGINA 5 Le vostre telecamere possono spiarvi Secondo uno studio di Gartner, sono circa 464 milioni le telecamere installate nel mondo, e sfioreranno il miliardo entro il 2018 Dovrebbero essere le vostre alleate preferite dell'era hi-tech per vedere dove i vostri occhi non arrivano, ma sempre più spesso violano la vostra privacy, e spesso a vostra insaputa. Se pensate che il problema non vi tocchi personalmente, forse non sapete che tutto ciò che occorre a un malintenzionato per impadronirsi della webcam del vostro smartphone e scattarvi delle foto senza che vi accorgiate di niente è un software facilmente scaricabile su internet come "Adwind" e un semplice sms. E siete proprio sicuri che qualcuno non vi spii dalla webcam del vostro pc? alcuni ricercatori della Johns Hopkins University hanno dimostrato che è possibile con il software RAT (Remote Administration Tool), e tra coloro che l'hanno sperimentato a proprie spese c'è anche l'ex Miss Teen Usa Cassidy Wolf, che è stata fotografata (e poi anche ricattata) mentre era nuda nella sua stanza. Se di solito i computer sono protetti da antivirus, l'esperto di IT Kurt Stammberger ha rilevato che quasi tutte le smart tv collegate a internet non lo sono affatto, e le loro webcam integrate possono essere facilmente violate e sfruttate da hacker per sottrarre numeri di carte di credito, o da guardoni a cui piace osservarvi mentre guardate la tv comodamente seduti sul vostro divano. E forse non lo sapete, ma potreste essere addirittura protagonisti di un reality show dentro casa vostra: se non siete certi che le vostre telecamere siano adeguatamente protette, fareste meglio a dare un'occhiata a siti come www.exploit-db.com, da cui è possibile spiare indisturbati migliaia di scene della vita quotidiana altrui semplicemente con un click, osservando persone spesso occupate a fare cose che in genere non farebbero mai se solo dubitassero di essere visti da estranei attraverso le loro stesse telecamere. Se pensate di installare un sistema di videosorveglianza per difendervi dai ladri e per tutelare la vostra privacy, affidatevi a un esperto di protezione dei dati, altrimenti correte il rischio che proprio attraverso le telecamere riusciate involontariamente a rendere più facile il lavoro di chi sta pensando di derubarvi o di ficcare il naso nella vostra sfera privata. Fonte: Metro News, articolo a cura di Nicola Bernardi, presidente di Federprivacy Pentha servizi Integrati per le imprese PAG. 5 NOTIZIARIO DIPENDENTI PAGINA 6 Il keylogger travestito da caricabatterie Usb Una nuova minaccia informatica va diffondendosi, tanto che l'FBI ha ritenuto necessario emanare un avviso per mettere in guardia il pubblico. Cattura tutto ciò che viene digitato sulle tastiere wireless Si tratta dell'apparizione di dispositivi, all'apparenza del tutto simili ai normali caricabatterie USB di smartphone e tablet, il cui scopo è però intercettare ogni tasto premuto sulle tastiere wireless presenti nel loro raggio d'azione. Questi dispositivi sono i diretti discendenti di KeySweeper, costruito con Arduino a scopo dimostrativo dall'hacker Samy Kamkar. Possono passare pressoché inosservati in qualunque ambiente lavorativo: l'aspetto consente loro di venir scambiati per caricabatterie distrattamente dimenticati inseriti nella presa di corrente. I dati vengono raccolti quando dalla tastiera vengono inviati al ricevitore posto nel computer e possono venire conservati all'interno del dispositivo stesso fino al suo recupero, oppure trasmessi tramite una connessione cellulare. Kamkar ha sviluppato anche uno strumento web per gestire il dispositivo. «Se strategicamente posizionati in un ufficio o in altri luoghi in cui qualcuno potrebbe adoperare dispositivi senza fili» - scrive l'FBI «potrebbero essere utilizzati per raccogliere informazioni personali, proprietà intellettuali, segreti industriali, password e altre informazioni delicate. Poiché i dati vengono intercettati prima di raggiungere la CPU, chi si occupa della sicurezza potrebbe non venire a capo di quali informazioni sensibili vengano sottratte». Attacchi come quelli portati da KeySweeper e soci funzionano con qualsiasi dispositivo che non usi una crittografia forte, e il bersaglio d'elezione è costituito dalle tastiere Microsoft, che usano un protocollo RF proprietario che sfrutta la banda dei 2,4 GHz. Il gigante di Redmond ha però precisato che tutti i prodotti successivi al 2011 sono al sicuro, poiché essi adottano la crittografia AES; i prodotti più vecchi, basati su standard meno sicuri, sarebbero invece vulnerabili. Pentha servizi Integrati per le imprese PAG. 6 NOTIZIARIO DIPENDENTI PAGINA 7 L'FBI sottolinea però un ulteriore pericolo: se il danno che dispositivi simili a KeySweeper possono fare è limitato per le ragioni indicate da Microsoft, nulla vieta che si possano costruire dispositivi con lo stesso camuffamento ma con finalità più dannose. «Dato che Arduino è modulare e programmabile, un hacker potrebbe facilmente cambiare delle parti o alterare il codice e trasformare una minaccia secondaria in qualcosa di davvero problematico, per esempio sostituendo il chip “nRF” con qualche forma di sniffer Wi-Fi» scrivono gli investigatori. Qui il link al video dimostrativo di KeySweeper. https://www.youtube.com/watch?v=WqkmGG0biXc Fonte: ZEUS News - www.zeusnews.it - 06-06-2016 Pentha servizi Integrati per le imprese PAG. 7 NOTIZIARIO DIPENDENTI PAGINA 8 Marketing diretto senza consenso: più facile se c'è il legittimo interesse Il bilanciamento degli interessi è opera del regolamento europeo sulla protezione dei dati (n. 679/2016), entrato in vigore il 24 maggio 2016, ma operativo dal 25 maggio 2018 L'attività promozionale costituisce un legittimo interesse dell'imprenditore, che deve comunque rispettare le norme a protezione dei dati (dall'informativa al diritto di opposizione degli interessati e alle misure di sicurezza). Il regolamento fissa una nuova griglia di condizioni di legittimità del trattamento. Oltre al consenso e ai casi in cui il trattamento è direttamente previsto da una norma, il regolamento in esame prevede che il legittimo interesse del titolare del trattamento sia condizione sufficiente a giustificare il trattamento. Il regolamento non fornisce un elenco tassativo dei casi di legittimo interesse, anche se dà alcuni esempi. Tra questi casi è indicato il marketing diretto. Per avere una indicazione sul concetto di legittimo interesse e altri esempi una fonte autorevole è il parere n. 6 del Gruppo europeo di Lavoro Privacy denominato «articolo 29». Rispetto all'ordinamento italiano la novità del regolamento europeo riguarda in particolare il marketing postale e quello realizzato attraverso utenze non registrate negli elenchi (per queste ultime vale già il regime dell'opt out tramite il registro delle opposizioni). Ma cerchiamo di approfondire l'argomento. L'articolo 6 del regolamento europeo prevede che il trattamento dei dati è lecito, tra altre ipotesi, quando è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. La norma è spiegata dal considerando n. 47 (premesso all'articolato). Due le esemplificazioni delle premesse al regolamento: costituisce legittimo interesse trattare dati personali strettamente necessari a fini di prevenzione delle frodi; infine può essere Pentha servizi Integrati per le imprese PAG. 8 NOTIZIARIO DIPENDENTI PAGINA 9 considerato legittimo interesse trattare dati personali per finalità di marketing diretto. Tuttavia l'esonero dal consenso non è un lasciapassare incondizionato. Il regolamento prevede, infatti, che, qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento, sia con riguardo a quello iniziale o ulteriore, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Fonte: Italia Oggi del Antonio Ciccia Messina 1° giugno 2016 - Articolo a cura di Pentha servizi Integrati per le imprese PAG. 9 NOTIZIARIO DIPENDENTI PAGINA 10 Video con targa auto leggibile: attenzione alla privacy! Riportiamo un interessante articolo tratto dal sito “Dashcamitalia.it” (http://dashcamitalia.it/blog/privacy/targaauto-privacy/) che tratta di un argomento a cui la tecnologia, riteniamo, darà sempre un maggior rilievo in futuro, e cioè le telecamere per auto, le cosiddette “Dash cam”. Privacy e targhe: riflessioni sull’argomento “Ho deciso di pubblicare questo articolo dopo aver constatato sulla rete, ed in particolare su Youtube, la pericolosa abitudine di postare dei video che lasciano “in chiaro” la targa auto oppure i volti delle persone, video realizzati con telefonini, telecamere ma anche … dashcam, dimenticando che sull’argomento la Corte di Cassazione ben si è espressa. Il problema di fondo è che chiunque posta sul web un video, contenente le targhe leggibili di veicoli o dei volti delle persone, è a rischio di sanzioni da parte del Garante della Privacy, perchè chi pubblica può avere trattato in maniera illecita i dati personali ed il Garante della Privacy in tema di sanzioni … non scherza! Approfondiamo motivazioni questa sentenza, comprendendo le La sentenza, di seguito indicata, della Corte di Cassazione nasce per motivazioni completamente diverse dalla circolazione stradale (la causa penale era relativa alla condanna di un investigatore e del relativo cliente), ma si basa sulla considerazione che il numero di targa di un veicolo, anche se è un elemento di dominio pubblico giacché è visibile a tutti, resta comunque un dato personale poichè si configura come “numero di identificazione personale“, come a titolo di esempio lo è il numero di telefono di una persona. Per questo la Corte di Cassazione, con sentenza 44940 del 2 dicembre 2011, ha ritenuto dato personale “anche il numero di targa del veicolo, a nulla rilevando che esso sia visibile a tutti quando l’auto (ma vale anche per un motoveicolo, un ciclomotore, … ndr) circola per strada. Ciò che rileva, ovviamente non è il numero in sè, ma il suo abbinamento ad una persona. Del resto, in tal senso si è orientata la giurisprudenza di questa di Corte, ad es. con riferimento al numero di utenza cellulare di un soggetto. Anche in questo caso, per altro, soccorre la stessa lettera della legge (art. 4, comma 1, lettera b) che qualifica “dato personale” Pentha servizi Integrati per le imprese PAG. 10 NOTIZIARIO DIPENDENTI PAGINA 11 qualunque informazione relativa ad una persona (fisica), identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Definizione di dato personale Per conoscere la definizione di dato personale è semplice: la troviamo all’art. 4 del Codice in materia di protezione dei dati personali (il c.d. Codice Privacy) e viene definito come “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Viene definito trattamento, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Ricapitolando: la targa dell’auto è considerata un numero di identificazione personale poichè con la targa è possibile risalire alle generalità della persona intestataria e proprietaria del veicolo, tramite visura al PRA (Pubblico Registro Automobilistico) una fotografia od un video che contengono delle persone riconoscibili o la targa leggibile di un’auto sono considerati trattamento di dati personali. Persone fisiche e privacy Il Codice Privacy, all’art. 5 (Oggetto ed ambito di applicazione) comma 3, specifica che “il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.” Cosa significa? Pentha servizi Integrati per le imprese PAG. 11 NOTIZIARIO DIPENDENTI PAGINA 12 In pratica che una persona fisica (escludendo quindi tutte le imprese) che scatta fotografie e/o realizza video che riprendono persone in un luogo pubblico od accessibile NON è soggetto al rispetto integrale del Codice Privacy, dovendo comunque solo evitare di cagionare danni in conseguenza del trattamento dei dati e custodire i suddetti dati personali con diligenza. Tutto qui? In realtà no, perchè il Codice Privacy limita il campo di azione alle persone fisiche, specificando che il trattamento dei dati deve essere: per fini esclusivamente personali senza comunicazione sistematica senza diffusione. Cioè? Di fatto la ripresa o la foto non deve avere finalità professionale e/o commerciale nè pretesa diversa dal fine personale (ad es. raccolta di fot per un proprio album, visione tra amici od in famiglia, …) Per comunicazione sistematica il Codice Privacy intende il dare conoscenza dei dati personali a uno o più soggetti determinati diversi (ad es. familiari, amici, collaboratori) dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione, con azioni ripetute, programmate. Per diffusione il Codice Privacy intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; tipico esempio sono i video caricati su Youtube che possono essere visti da chiunque. Se non si rispettano le 3 condizioni il Codice Privacy deve essere applicato integralmente, con tutte le conseguenze del caso. Pubblicazione di video on line Pentha servizi Integrati per le imprese PAG. 12 NOTIZIARIO DIPENDENTI PAGINA 13 Ma tutto questo cosa c’entra? C’entra eccome … perchè se una persona carica in rete un video (od una fotografia) nel cui contenuto vi è la ripresa di un soggetto identificato o identificabile oppure la targa auto leggibile, di fatto sta facendo una diffusione di dati personali (il viso, la targa, …), ragion per cui non sta facendo trattamento dei dati per fini esclusivamente personali senza comunicazione sistematica o diffusione (art. 5, comma 3, del Codice Privacy), di conseguenza la persona che ha fatto il video deve ottemperare a tutte le norme stabilite nel Codice Privacy, tra cui l’informativa ai sensi dell’art. 13, il consenso esplicito al trattamento dei dati, le modalità di trattamento e conservazione, … con il rischio che il soggetto ripreso possa avanzare pretese risarcitorie per i danni cagionati alla sua immagine dovuti alla diffusione del video ovvero che il Garante della Privacy condanni la persona che ha postato il video a sanzioni dell’ordine di migliaia di euro. E per i video ripresi delle dashcam? In questo caso, se si utilizzano le dashcam come telecamera difesa automobilista, cioè con le finalità di aumentare la tutela e la sicurezza di chi guida (persona fisica), l’uso personale è evidente; se non si pubblicano on line i video oppure se vengono pubblicati “censurati” in corrispondenza di volti e della targa auto, così da evitare dati personali, non ci sono problemi. In caso di incidente stradale od altro evento significativo, che essendo casuali non possono essere considerati sistematici o programmabili, il video, che conterrà quasi sicuramente la targa auto della controparte e magari anche persone di passaggio estranee all’evento, può essere fatto visionare ai soggetti definiti della catena assicurativa (periti, Compagnie, liquidatori e giudice) ai fini del giusto risarcimento, non configurandosi la fattispecie della comunicazione sistematica; i soggetti della catena assicurativa sono tenuti comunque al segreto professionale del contenuto della comunicazione occasionale. Ecco perchè nel nostro blog dashcamitalia.it procediamo sempre, per ottemperare alle norme sulla privacy, alla cancellazione delle targhe leggibili dei veicoli, dei volti delle persone riprese dai video ovvero alla trasformazione degli stessi dati in forma anonima, tramite mascheramento, rendendo i video privi di dati personali. Per chi ha ancora intenzione di postare video con targa auto visibile dico solo … meditate prima di farlo!” Fonte: Blog dashcamitalia.it - Gabriele - The blogger Pentha servizi Integrati per le imprese PAG. 13 NOTIZIARIO DIPENDENTI PAGINA 14 Cronaca: garantire sempre riservatezza bambino malato No a troppe informazioni che rendono identificabile un bambino malato. Il diritto del minore alla riservatezza prevale sul diritto di cronaca e neanche il consenso dei genitori autorizza il giornalista a riportare informazioni che possano nuocere al suo sviluppo. Il minore va tutelato da forme di comunicazione lesive dell'armonico sviluppo della sua personalità Lo ha ribadito [doc. web n 5029484] il Garante privacy nel definire un'istruttoria avviata d'ufficio a seguito della pubblicazione su alcune testate di diversi dati identificativi di una bambina (fotografie, il nome, il luogo di residenza, l'età, il nome e il cognome della madre, il nome della scuola frequentata), associati a precise indicazioni della patologia di cui soffre. Il Garante ha tuttavia ritenuto di non dover adottare alcun provvedimento inibitorio, poiché le testate, appena avuta notizia dell'avvio dell'istruttoria, hanno eliminato gli articoli dalla rete o oscurato i dati che rendevano identificabile la bambina. La vicenda descritta negli articoli affronta, a parere dell'Autorità, un tema di indubbio interesse pubblico, riguardando il dibattito in corso sul rapporto rischi benefici delle vaccinazioni. Nel riportare la notizia, i giornalisti devono però tener conto delle regole che disciplinano il rapporto tra attività giornalistica e protezione dei dati personali e delle garanzie poste a tutela dei più piccoli. In particolare, quelle del codice deontologico e della Carta di Treviso che considerano il diritto del minore alla riservatezza primario rispetto al diritto di cronaca e stabiliscono che in caso di bambini malati, il giornalista deve porre "particolare attenzione e sensibilità nella diffusione delle immagini e delle vicende" per evitare forme di sensazionalismo lesive della loro personalità. E, anche se in questo caso la diffusione di dati personali è avvenuta con il consenso dei genitori, questo elemento, sottolinea l'Autorità, non è di per sé sufficiente a legittimare l'identificabilità del minore. Pentha servizi Integrati per le imprese PAG. 14 NOTIZIARIO DIPENDENTI PAGINA 15 Il consenso parentale non esime infatti il giornalista dal valutare il potenziale pregiudizio che può derivare dalla pubblicazione di informazioni così dettagliate. Il giornalista è chiamato ad adottare le cautele di volta in volta più opportune per tutelare il minore, senza per questo abdicare al ruolo fondamentale di denuncia e informazione della collettività. Tale principio, più volte affermato dall'Autorità, trova conferma anche nella Carta di Treviso, secondo cui, "a prescindere dall'eventuale consenso dei genitori, il minore non va coinvolto in forme di comunicazioni lesive dell'armonico sviluppo della sua personalità". Fonte: Newsletter Garante – 27 maggio 2016 Pentha servizi Integrati per le imprese PAG. 15 NOTIZIARIO DIPENDENTI PAGINA 16 Anagrafe nazionale studenti, ok a consultazione da parte dell'Università . E' quanto ha indicato il Garante per la protezione dei dati personali in un parere [doc. web n. 5029548] reso al Miur, nel quale ha però chiesto specifiche garanzie. Sarà possibile per le Università utilizzare l'Anagrafe nazionale degli studenti (Ans) per verificare la veridicità dei titoli autocertificati dagli studenti L'Ans, istituita per la realizzazione del diritto-dovere all'istruzione e alla formazione e per la prevenzione e il contrasto alla dispersione scolastica, opera presso il Miur, registrando i dati sui percorsi scolastici, formativi e in apprendistato dei singoli studenti e i dati sulle loro valutazioni, a partire dal primo anno della scuola primaria. Col parere reso il Garante ha respinto la richiesta del Ministero di conservare a tempo illimitato, per ogni studente censito nell'Ans che giunge al termine del percorso scolastico, le informazioni relative, nello specifico, al codice fiscale, al codice della scuola che rilascia il titolo di studio, al tipo di titolo, al voto conseguito, all'anno solare di conseguimento. Il Codice privacy prevede infatti che la conservazione dei dati personali non possa essere protratta oltre il tempo strettamente necessario al perseguimento dello scopo prefissato. L'allungamento del periodo di conservazione dei dati, finora previsto fino al termine dell'anno solare successivo alla conclusione di ogni ciclo scolastico, dovrà essere motivato dal Miur che dovrà fissare uno specifico lasso di tempo oltre il quale i dati dovranno essere cancellati o resi anonimi. Il Garante ha raccomandato al Ministero che per l'accesso all'anagrafe da parte del personale incaricato dalle università vengano previste rigorose misure in ordine al tracciamento e alla conservazione dei log relativi agli accessi, nel rispetto delle misure tecniche ed organizzative adottate a protezione dei dati degli studenti contenuti nell'anagrafe. Con un altro parere [doc. web n 5029436], il Garante ha dato il via libera all'integrazione dell'Ans con le informazioni degli alunni delle scuole d'infanzia relative a sezione della classe e numero giorni/orario settimanale di frequenza. Tali dati risultano infatti pertinenti e non eccedenti rispetto alle finalità perseguite. Fonte: Newsletter Garante – 27 maggio 2016 Pentha servizi Integrati per le imprese PAG. 16 NOTIZIARIO DIPENDENTI PAGINA 17 No allo spam elettorale sulle mail dei dipendenti comunali Un candidato non può usare a fini di propaganda elettorale i dati personali in suo possesso per ragioni istituzionali È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali nella sua disponibilità ai tempi del suo mandato. La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro, scopre che l'ex assessore al personale si candida alle elezioni regionali e chiede il suo voto. La scena si ripete più volte probabilmente la stessa mail è stata spedita a tutto il personale comunale - e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all'Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell'amministrazione e nella disponibilità dell'ex assessore al personale in virtù dell'incarico precedentemente ricoperto. Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale. Tesi condivisa dall'Autorità che, nell'emettere il provvedimento di divieto, ha ritenuto l'operato dell'ex assessore illecito sotto diversi profili. In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l'assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria), come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene questi dati solo per lo svolgimento dei propri compiti istituzionali. In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame, non risulta acquisito, come non risulta che i destinatari siano stati informati sull'uso che veniva fatto dei loro dati. Con un autonomo procedimento l'Autorità provvederà a verificare i presupposti per l'applicazione della sanzione amministrativa prevista per l'omessa informativa e la mancata acquisizione del consenso. Fonte: Newsletter Garante – 27 maggio 2016 Pentha servizi Integrati per le imprese PAG. 17 NOTIZIARIO DIPENDENTI PAGINA 18 Il Garante UE boccia il Privacy Shield Secco e deciso, il Garante europeo Giovanni Buttarelli, respinge al mittente il pacchetto di riforme per lo scambio di dati tra Stati Uniti e Unione europea «Apprezzo gli sforzi che sono stati fatti per sostituire il Safe Harbour, ma il Privacy Shield in questa forma non è abbastanza solido per superare la valutazione della Corte». «Sono necessari miglioramenti significativi, se la Commissione intende adottare una decisione soddisfacente che rispetti l’essenza dei principi chiave della protezione dei dati, con particolare riguardo ai criteri di necessità, proporzionalità e ai meccanismi di ricorso». Inoltre, è «il caso di sviluppare una soluzione di più lungo termine nel dialogo transatlantico». In ottobre una sentenza della massima magistratura europea ha di fatto bocciato l’«Approdo sicuro» (e volontario), il grande database in territorio americano in cui da 15 anni i colossi globali del web andavano a immagazzinare le informazioni personali dei loro clienti, americani e no. Non garantiva la sufficiente privacy, ha sentenziato la Corte, che, con la delibera, ha lasciato un buco che un intesa raggiunta in aprile ha cercato di colmare. Tutti hanno fretta perché lo «scudo», fra le altre cose, serve a tutelare i dati personali degli europei che hanno sottoscritto la partecipazioni a network a stelle e strisce, a partire da Facebook. Per essere efficace, insiste Buttarelli col suo team, il «Privacy Shield» deve consentire una protezione adeguata contro la sorveglianza indiscriminata. Allo stesso tempo, «deve rispettare l’obbligo di supervisione, trasparenza, di ricorso e di assicurare la protezione dei dati. Il Garante sottolinea come, a suo parere, il criterio di equivalenza essenziale si applichi nella pratica ai casi di autoregolamentazione da parte di organizzazioni private, in cui i dati in transito o trasferiti negli Stati Uniti potrebbero essere valutati in maniera ordinaria dalle forze dell’ordine e da quelle di intelligence». Il Privacy Shield, nei fatti, cerca di evitare il libero accesso dei servizi americani alle informazioni provate degli europei, cosa ritenuta «invasiva» da parte della corte in autunno. In relazione all’adozione del Regolamento europeo in materia di trattamento dei dati, effettivo negli Stati membri a partire da maggio 2018, il Garante sottolinea la sua applicabilità a qualsiasi forma di trattamento dei dati, incluso il trasferimento. Ne consegue che, in definitiva, se si tiene conto delle osservazioni e delle preoccupazioni condivise da europarlamentari, aziende, società civile, Università e altri interlocutori, sarebbe opportuno che «il legislatore prendesse più tempo in modo da trovare una soluzione più adeguata e di più ampio respiro». Fonte: La Stampa Pentha servizi Integrati per le imprese PAG. 18 Pentha Memo… Memorandum sulle scadenze privacy, iniziative, eventi e servizi curati da Pentha e dalla rete di collaboratori (non è quindi esaustivo di tutti gli adempimenti contabili, fiscali, previdenziali e societari obbligatori). Per ulteriori informazioni siamo a completa disposizione ai recapiti in calce. Data scadenza Descrizione Senza scadenza Revisione ed aggiornamento del piano privacy aziendale (informative, misure minime di sicurezza, procedure aziendali, ecc.) 31 gennaio 2017 Contributi in conto capitale CCIAA Cuneo per l’area di information and communication technology – Bando anno 2016 – RENDICONTAZIONE Maggiori info a questo link: http://www.pentha.eu/news_dettaglio.php?d=1248&sz=0 31 gennaio 2017 Contributi in conto capitale CCIAA Cuneo per la corresponsione di contributi per lo sviluppo di nuove strategie di marketing – Bando anno 2016 Maggiori info a questo link: http://www.pentha.eu/news_dettaglio.php?d=1249&sz=0 31 gennaio 2017 Contributi in conto capitale CCIAA Cuneo per l’adeguamento al D. Lgs. 81/2008 sulla normativa sulla sicurezza e salute negli ambienti di lavoro, le certificazioni di prodotto e di processo, l’ambiente e le certificazioni SOA – DPR 207/2010 – Bandi anno 2016 Maggiori info a questo link: http://www.pentha.eu/news_dettaglio.php?d=1247&sz=0 Pentha s.r.l. Servizi Integrati per le Imprese Via Vittorio Amedeo II 13 – 3° Piano – 12100 Cuneo Telefono 0171 489095 – Fax 0171 631346 Web www.pentha.eu Mail [email protected] http://www.facebook.com/pages/Pentha-srlServizi-Integrati-per-le-imprese/89151469538