Newsletter n. 167 del 20 06 16

Transcript

ANNO 11
NUMERO 167
Aderente
Newsletter
Delegazione provinciale
Cuneo, 20/06/16
Il focus di questo numero
In questo numero
Gentili Lettori,
L’angolo della privacy
-
Videosorveglianza
geolocalizzazione,
modello D.T.L.
guida
e
al
-
Le vostre telecamere possono
spiarvi
-
Il keylogger travestito
caricabatterie Usb
-
Marketing
diretto
senza
consenso: più facile se c'è il
legittimo interesse
-
Video con targa auto leggibile:
attenzione alla privacy!
-
Cronaca: garantire sempre
riservatezza bambino malato
-
Anagrafe nazionale studenti,
ok a consultazione da parte
dell'Università
-
No allo spam elettorale sulle
mail dei dipendenti comunali
-
Il Garante UE boccia il Privacy
Shield
Scadenze
ricordare
e
date
da
da
Recentemente è stato pubblicato sul sito del Ministero del
Lavoro il “Modulo Unificato Istanza di Autorizzazione
all’Installazione
di
Impianti
di
Videosorveglianza
ed
all’Installazione ed Utilizzo di Impianti ed Apparecchiature di
Localizzazione Satellitare GPS a Bordo di Mezzi Aziendali ai sensi
dell’art. 4 della L.300/70 (Statuto dei lavoratori).
Il modulo, ha preso la stura dalla riforma dell’Art. 4 della L.
300/70 inserita nel Job Act e recepito dall’art. 114 del Testo
unico Privacy e dai Provvedimenti dell’Autorità Garante
Privacy, unificando la diversa modulistica richiesta dalle singole
Direzioni Territoriali del Lavoro.
All’interno della Newsletter trovate una prima analisi del
modello, tratta da PMI.it,
Per quanto attiene la
Videosorveglianza segnaliamo:
- Inserimento delle motivazioni previste dal citato art. 4 c. 1 L.
300/70;
- Divieto, salvo casi eccezionali, di controllo a distanza dei
lavoratori e ripresa delle sole aree esposte a rischio;
- Tenuta immagini per 24 ore, fatto salvo speciali esigenze in
relazione a festività o chiusure uffici;
- Divieto di diffusione delle immagini all’esterno;
- Informativa ai dipendenti e cartelli di avviso “area
videosorvegliata”;
- Rilascio di idonea certificazione da parte dell’installatore;
- Rispetto delle prescrizioni del Garante Privacy e del
Provvedimento
sulla
Videosorveglianza
(peraltro
in
aggiornamento a breve);
- Predisposizione planimetria in A3 con dettagliate
caratteristiche tecniche da inserire (campo visivo, angolo, ecc.)
ed indicazione delle postazioni di lavoro e loro esclusione da
angolo di ripresa ed inoltre posizione di tutti i monitor;
- Dettagliata relazione tecnico-descrittiva sulla gestione e
l’utilizzo dell’impianto di videosorveglianza;
- Le registrazioni dovranno essere custodite in un armadio con
doppia chiave alle quali potranno accedervi, con una doppia
password, un legale rappresentante ed un rappresentante dei
lavoratori.
Lo Staff di Pentha Vi augura una buona lettura
Consulenti della privacy certificati da TÜV Italia secondo la norma ISO 17024
Iscritti al Registro Consulenti Privacy: Adriano Garavagno CDP/011 Fabrizio Bongiovanni CDP/010
Data Protection Officer certificati da Bureau Veritas Italia secondo la norma ISO 17024
Iscritti al Registro Data Protection Officer: Adriano Garavagno DPO0043/ Fabrizio Bongiovanni DPO0041
NOTIZIARIO DIPENDENTI
PAGINA 2
L’angolo della privacy
Videosorveglianza e geolocalizzazione, guida al
modello D.T.L.
Il nuovo articolo 4 dello Statuto dei Lavoratori, a seguito delle
modifiche introdotte dal Jobs Act in combinato con la normativa
privacy, prevede che gli impianti audiovisivi e gli altri strumenti dai
quali derivi la possibilità di controllo a distanza dei lavoratori
possano essere impiegati:
Il 5 maggio 2016 il
Ministero del Lavoro ha
pubblicato il modello
unificato con cui
richiedere
l’autorizzazione a
installare impianti di
videosorveglianza e/o
di geolocalizzazione,
completo anche negli
aspetti più tecnici:
l’impresa dovrà limitarsi
a compilarlo ed
allegare la
documentazione
richiesta
“esclusivamente per esigenze organizzative e produttive, per
la sicurezza del lavoro e per la tutela del patrimonio aziendale”.
Il tutto, previo accordo collettivo stipulato dalla
rappresentanza sindacale unitaria o aziendali, oppure con
autorizzazione della DTL.
Nel rispetto dello Statuto dei Lavoratori e del Codice Privacy
l’impresa deve quindi impegnarsi a trattare i dati personali
esclusivamente per soddisfare esigenze organizzative e produttive
o per la sicurezza sul lavoro, nonché a non utilizzare i dispositivi di
tracciamento al fine di monitorare il comportamento e gli
spostamenti di autisti o altro personale. Allo stesso modo dovrà
essere fornita adeguata informazione (dipendenti, terzi, clienti,
ecc.) in merito all’adozione di detti strumenti, per mezzo di
opportuna informativa e di apposita segnaletica.
Le dichiarazioni elencate nel modello non sono mere
enunciazioni di principio: se da una parte si semplifica le procedura
autorizzativa, dall’altra diventa cruciale che azienda provveda a
dare concreta attuazione a quanto ivi dichiarato. Vediamo di
seguito quelle obbligatorie (tra le altre).
Videosorveglianza
L’angolo di ripresa delle telecamere (fisse o mobili) dovrà
essere indirizzato soltanto verso le aree di rischio e nel rispetto della
riservatezza dei lavoratori;
le registrazioni dovranno essere custodite sotto chiave o “sotto
password” e vi potranno accedere solo gli indicati legale
rappresentante (o delegato) e il rappresentante dei lavoratori;
Pentha servizi Integrati per le imprese PAG.
2
PAGINA 3
andranno rispettate le prescrizioni in materia di conservazione
(24 ore) dettate dal Codice Privacy e dai provvedimenti del
Garante;
dovrà essere allegata la planimetria
dell’impianto
specificando anche numero e posizione delle telecamere,
lunghezza focale e profondità di campo, posizione dei monitor e
dispositivo di registrazione;
dovrà essere allegata una dettagliata relazione tecnicodescrittiva
sulla
gestione
e
l’utilizzo
dell’impianto
di
videosorveglianza
Geolocalizzazione
Nella fase di installazione, utilizzo dei sistemi di rilevazione e
gestione dei dati acquisiti saranno rispettati i principi di pertinenza e
non eccedenza, per mezzo di dispositivi opportunamente
configurati che potranno rilevare, oltre all’ubicazione del veicolo,
la distanza percorsa, i tempi di percorrenza, il carburante
consumato, la velocità media del veicolo;
il monitoraggio della posizione non deve essere effettuato in
via continuativa ma solo quando necessario;
dovranno essere rispettati i tempi di conservazione così come
prescritto dal Garante;
gli operatori economici che forniscono i servizi di
localizzazione dovranno essere nominati responsabili del
trattamento;
dovrà essere allegata una dettagliata relazione tecnicodescrittiva contenente le modalità di localizzazione del sistema
satellitare GPS, con la descrizione e disposizione delle
apparecchiature nella sede ricevente.
Qui
il
link
per
scaricare
il
modello:
http://www.lavoro.gov.it/strumenti-eservizi/Modulistica/Documents/Autorizzazione%20installazione%20di
%20impianti%20di%20videosorveglianza%20o%20GPS/ModuloUnificato-Autorizzazione-impianti-videosorveglianza-GPS.pdf
Si rimane lievemente perplessi in merito alle modalità di
comunicazione e di informazione prese in considerazione dal
modello. Nella nota in calce, infatti, si specifica che il modello deve
essere obbligatoriamente compilato in digitale e poi inviato per
posta elettronica (!) o PEC all’ufficio competente. Parrebbe dedursi
che soltanto in via facoltativa l’invio del modello potrebbe essere
eseguito a mezzo di posta certificata, laddove, a giudizio di chi
scrive, sarebbe dovuto esser obbligatorio tout court; ma soprattutto
non si prevede la possibilità di firmare il modello digitalmente
chiedendo tra l’altro di allegare un documento di riconoscimento
3
PAGINA 4
in caso di invio a mezzo fax o per posta certificata. Allo stesso
modo, anche per il pagamento dei bolli, si obbliga la consegna a
mano non prevedendo –neanche in via alternativa– la possibilità di
pagamento per via telematica.
In ogni caso, accantonando queste ultime considerazioni
operative, si deve ritenere che senz’altro il modello aiuterà molto le
aziende a regolarizzare la loro posizione nel momento in cui
decidano
di
adottare
sistemi
di
videosorveglianza
o
geolocalizzazione.”
Aggiungiamo, come Pentha Srl, che molta attenzione andrà
dedicata agli allegati previsti dal modello, in quanto sono i
documenti che andavano prodotti in passato e che comunque
vanno ancora presentati a corredo della domanda e quindi:
relazione tecnico descrittiva dell’impianto, planimetrie con coni
esatti di inquadratura per gli impianti di videosorveglianza, elenco
mezzi geolocalizzati, ecc.
Infine il tutto andrà integrato con il proprio piano privacy, in
un’ottica di corretta “compliance”, anche alla luce del Nuovo
Regolamento Europeo sulla protezione dei dati personali.
Fonte: PMI.it - Avv. Emiliano Vitelli
4
PAGINA 5
Le vostre telecamere possono spiarvi
Secondo uno studio di
Gartner, sono circa 464
milioni le telecamere
installate nel mondo, e
sfioreranno il miliardo
entro il 2018
Dovrebbero essere le vostre alleate preferite dell'era hi-tech
per vedere dove i vostri occhi non arrivano, ma sempre più spesso
violano la vostra privacy, e spesso a vostra insaputa.
Se pensate che il problema non vi tocchi personalmente,
forse non sapete che tutto ciò che occorre a un malintenzionato
per impadronirsi della webcam del vostro smartphone e scattarvi
delle foto senza che vi accorgiate di niente è un software
facilmente scaricabile su internet come "Adwind" e un semplice
sms.
E siete proprio sicuri che qualcuno non vi spii dalla webcam
del vostro pc? alcuni ricercatori della Johns Hopkins University
hanno dimostrato che è possibile con il software RAT (Remote
Administration Tool), e tra coloro che l'hanno sperimentato a
proprie spese c'è anche l'ex Miss Teen Usa Cassidy Wolf, che è stata
fotografata (e poi anche ricattata) mentre era nuda nella sua
stanza.
Se di solito i computer sono protetti da antivirus, l'esperto di IT
Kurt Stammberger ha rilevato che quasi tutte le smart tv collegate
a internet non lo sono affatto, e le loro webcam integrate possono
essere facilmente violate e sfruttate da hacker per sottrarre numeri
di carte di credito, o da guardoni a cui piace osservarvi mentre
guardate la tv comodamente seduti sul vostro divano.
E forse non lo sapete, ma potreste essere addirittura
protagonisti di un reality show dentro casa vostra: se non siete certi
che le vostre telecamere siano adeguatamente protette, fareste
meglio a dare un'occhiata a siti come www.exploit-db.com, da cui
è possibile spiare indisturbati migliaia di scene della vita quotidiana
altrui semplicemente con un click, osservando persone spesso
occupate a fare cose che in genere non farebbero mai se solo
dubitassero di essere visti da estranei attraverso le loro stesse
telecamere.
Se pensate di installare un sistema di videosorveglianza per
difendervi dai ladri e per tutelare la vostra privacy, affidatevi a un
esperto di protezione dei dati, altrimenti correte il rischio che
proprio attraverso le telecamere riusciate involontariamente a
rendere più facile il lavoro di chi sta pensando di derubarvi o di
ficcare il naso nella vostra sfera privata.
Fonte: Metro News, articolo a cura di Nicola Bernardi,
presidente di Federprivacy
5
PAGINA 6
Il keylogger travestito da caricabatterie Usb
Una nuova minaccia informatica va diffondendosi, tanto che
l'FBI ha ritenuto necessario emanare un avviso per mettere in
guardia il pubblico.
Cattura tutto ciò che
viene digitato sulle
tastiere wireless
Si tratta dell'apparizione di dispositivi, all'apparenza del tutto
simili ai normali caricabatterie USB di smartphone e tablet, il cui
scopo è però intercettare ogni tasto premuto sulle tastiere wireless
presenti nel loro raggio d'azione.
Questi dispositivi sono i diretti discendenti di KeySweeper,
costruito con Arduino a scopo dimostrativo dall'hacker Samy
Kamkar.
Possono passare pressoché inosservati in qualunque ambiente
lavorativo: l'aspetto consente loro di venir scambiati per
caricabatterie distrattamente dimenticati inseriti nella presa di
corrente.
I dati vengono raccolti quando dalla tastiera vengono inviati
al ricevitore posto nel computer e possono venire conservati
all'interno del dispositivo stesso fino al suo recupero, oppure
trasmessi tramite una connessione cellulare. Kamkar ha sviluppato
anche uno strumento web per gestire il dispositivo.
«Se strategicamente posizionati in un ufficio o in altri luoghi in
cui qualcuno potrebbe adoperare dispositivi senza fili» - scrive l'FBI «potrebbero essere utilizzati per raccogliere informazioni personali,
proprietà intellettuali, segreti industriali, password e altre
informazioni delicate. Poiché i dati vengono intercettati prima di
raggiungere la CPU, chi si occupa della sicurezza potrebbe non
venire a capo di quali informazioni sensibili vengano sottratte».
Attacchi come quelli portati da KeySweeper e soci
funzionano con qualsiasi dispositivo che non usi una crittografia
forte, e il bersaglio d'elezione è costituito dalle tastiere Microsoft,
che usano un protocollo RF proprietario che sfrutta la banda dei
2,4 GHz.
Il gigante di Redmond ha però precisato che tutti i prodotti
successivi al 2011 sono al sicuro, poiché essi adottano la crittografia
AES; i prodotti più vecchi, basati su standard meno sicuri, sarebbero
invece vulnerabili.
6
PAGINA 7
L'FBI sottolinea però un ulteriore pericolo: se il danno che
dispositivi simili a KeySweeper possono fare è limitato per le ragioni
indicate da Microsoft, nulla vieta che si possano costruire dispositivi
con lo stesso camuffamento ma con finalità più dannose.
«Dato che Arduino è modulare e programmabile, un hacker
potrebbe facilmente cambiare delle parti o alterare il codice e
trasformare una minaccia secondaria in qualcosa di davvero
problematico, per esempio sostituendo il chip “nRF” con qualche
forma di sniffer Wi-Fi» scrivono gli investigatori.
Qui il link al video dimostrativo di KeySweeper.
https://www.youtube.com/watch?v=WqkmGG0biXc
Fonte: ZEUS News - www.zeusnews.it - 06-06-2016
7
PAGINA 8
Marketing diretto senza consenso: più facile se c'è il
legittimo interesse
Il bilanciamento degli
interessi è opera del
regolamento europeo
sulla protezione dei dati
(n. 679/2016), entrato in
vigore il 24 maggio
2016, ma operativo dal
25 maggio 2018
L'attività promozionale costituisce un legittimo interesse
dell'imprenditore, che deve comunque rispettare le norme a
protezione dei dati (dall'informativa al diritto di opposizione degli
interessati e alle misure di sicurezza).
Il regolamento fissa una nuova griglia di condizioni di
legittimità del trattamento. Oltre al consenso e ai casi in cui il
trattamento è direttamente previsto da una norma, il regolamento
in esame prevede che il legittimo interesse del titolare del
trattamento sia condizione sufficiente a giustificare il trattamento. Il
regolamento non fornisce un elenco tassativo dei casi di legittimo
interesse, anche se dà alcuni esempi. Tra questi casi è indicato il
marketing diretto.
Per avere una indicazione sul concetto di legittimo interesse e
altri esempi una fonte autorevole è il parere n. 6 del Gruppo
europeo di Lavoro Privacy denominato «articolo 29».
Rispetto all'ordinamento italiano la novità del regolamento
europeo riguarda in particolare il marketing postale e quello
realizzato attraverso utenze non registrate negli elenchi (per queste
ultime vale già il regime dell'opt out tramite il registro delle
opposizioni).
Ma cerchiamo di approfondire l'argomento.
L'articolo 6 del regolamento europeo prevede che il
trattamento dei dati è lecito, tra altre ipotesi, quando è necessario
per il perseguimento del legittimo interesse del titolare del
trattamento o di terzi, a condizione che non prevalgano gli interessi
o i diritti e le libertà fondamentali dell'interessato che richiedono la
protezione dei dati personali, in particolare se l'interessato è un
minore.
La norma è spiegata dal considerando n. 47 (premesso
all'articolato).
Due le esemplificazioni delle premesse al regolamento:
costituisce legittimo interesse trattare dati personali strettamente
necessari a fini di prevenzione delle frodi; infine può essere
8
PAGINA 9
considerato legittimo interesse trattare dati personali per finalità di
marketing diretto.
Tuttavia l'esonero dal consenso non è un lasciapassare
incondizionato. Il regolamento prevede, infatti, che, qualora i dati
personali siano trattati per finalità di marketing diretto, l'interessato
ha il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale
trattamento, sia con riguardo a quello iniziale o ulteriore, compresa
la profilazione nella misura in cui sia connessa a tale marketing
diretto.
Fonte: Italia Oggi del
Antonio Ciccia Messina
1° giugno 2016 - Articolo a cura di
9
PAGINA 10
Video con targa auto leggibile: attenzione alla
privacy!
Riportiamo un interessante articolo tratto dal sito
“Dashcamitalia.it”
(http://dashcamitalia.it/blog/privacy/targaauto-privacy/) che tratta di un argomento a cui la tecnologia,
riteniamo, darà sempre un maggior rilievo in futuro, e cioè le
telecamere per auto, le cosiddette “Dash cam”.
Privacy e targhe:
riflessioni sull’argomento
“Ho deciso di pubblicare questo articolo dopo aver
constatato sulla rete, ed in particolare su Youtube, la pericolosa
abitudine di postare dei video che lasciano “in chiaro” la targa
auto oppure i volti delle persone, video realizzati con telefonini,
telecamere ma anche … dashcam, dimenticando che
sull’argomento la Corte di Cassazione ben si è espressa.
Il problema di fondo è che chiunque posta sul web un video,
contenente le targhe leggibili di veicoli o dei volti delle persone, è
a rischio di sanzioni da parte del Garante della Privacy, perchè chi
pubblica può avere trattato in maniera illecita i dati personali ed il
Garante della Privacy in tema di sanzioni … non scherza!
Approfondiamo
motivazioni
questa
sentenza,
comprendendo
le
La sentenza, di seguito indicata, della Corte di Cassazione
nasce per motivazioni completamente diverse dalla circolazione
stradale (la causa penale era relativa alla condanna di un
investigatore e del relativo cliente), ma si basa sulla considerazione
che il numero di targa di un veicolo, anche se è un elemento di
dominio pubblico giacché è visibile a tutti, resta comunque un
dato personale poichè si configura come “numero di
identificazione personale“, come a titolo di esempio lo è il numero
di telefono di una persona.
Per questo la Corte di Cassazione, con sentenza 44940 del 2
dicembre 2011, ha ritenuto dato personale “anche il numero di
targa del veicolo, a nulla rilevando che esso sia visibile a tutti
quando l’auto (ma vale anche per un motoveicolo, un
ciclomotore, … ndr) circola per strada. Ciò che rileva, ovviamente
non è il numero in sè, ma il suo abbinamento ad una persona. Del
resto, in tal senso si è orientata la giurisprudenza di questa di Corte,
ad es. con riferimento al numero di utenza cellulare di un soggetto.
Anche in questo caso, per altro, soccorre la stessa lettera della
legge (art. 4, comma 1, lettera b) che qualifica “dato personale”
Pentha servizi Integrati per le imprese PAG. 10
PAGINA 11
qualunque informazione relativa ad una persona (fisica),
identificata o identificabile, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale”.
Definizione di dato personale
Per conoscere la definizione di dato personale è semplice: la
troviamo all’art. 4 del Codice in materia di protezione dei dati
personali (il c.d. Codice Privacy) e viene definito come “qualunque
informazione relativa a persona fisica, identificata o identificabile,
anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale”.
Viene definito trattamento, qualunque operazione o
complesso di operazioni, effettuati anche senza l’ausilio di strumenti
elettronici,
concernenti
la
raccolta,
la
registrazione,
l’organizzazione, la conservazione, la consultazione, l’elaborazione,
la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una
banca di dati.
Ricapitolando:
la targa dell’auto è considerata un numero di identificazione
personale poichè con la targa è possibile risalire alle generalità
della persona intestataria e proprietaria del veicolo, tramite visura
al PRA (Pubblico Registro Automobilistico)
una fotografia od un video che contengono delle persone
riconoscibili o la targa leggibile di un’auto sono considerati
trattamento di dati personali.
Persone fisiche e privacy
Il Codice Privacy, all’art. 5 (Oggetto ed ambito di
applicazione) comma 3, specifica che “il trattamento di dati
personali effettuato da persone fisiche per fini esclusivamente
personali è soggetto all’applicazione del presente codice solo se i
dati sono destinati ad una comunicazione sistematica o alla
diffusione. Si applicano in ogni caso le disposizioni in tema di
responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.”
Cosa significa?
PAGINA 12
In pratica che una persona fisica (escludendo quindi tutte le
imprese) che scatta fotografie e/o realizza video che riprendono
persone in un luogo pubblico od accessibile NON è soggetto al
rispetto integrale del Codice Privacy, dovendo comunque solo
evitare di cagionare danni in conseguenza del trattamento dei
dati e custodire i suddetti dati personali con diligenza.
Tutto qui?
In realtà no, perchè il Codice Privacy limita il campo di azione
alle persone fisiche, specificando che il trattamento dei dati deve
essere:
per fini esclusivamente personali
senza comunicazione sistematica
senza diffusione.
Cioè?
Di fatto la ripresa o la foto non deve avere finalità
professionale e/o commerciale nè pretesa diversa dal fine
personale (ad es. raccolta di fot per un proprio album, visione tra
amici od in famiglia, …)
Per comunicazione sistematica il Codice Privacy intende il
dare conoscenza dei dati personali a uno o più soggetti
determinati diversi (ad es. familiari, amici, collaboratori)
dall’interessato, dal rappresentante del titolare nel territorio dello
Stato, dal responsabile e dagli incaricati, in qualunque forma,
anche mediante la loro messa a disposizione o consultazione, con
azioni ripetute, programmate.
Per diffusione il Codice Privacy intende il dare conoscenza dei
dati personali a soggetti indeterminati, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione; tipico
esempio sono i video caricati su Youtube che possono essere visti
da chiunque.
Se non si rispettano le 3 condizioni il Codice Privacy deve
essere applicato integralmente, con tutte le conseguenze del
caso.
Pubblicazione di video on line
PAGINA 13
Ma tutto questo cosa c’entra?
C’entra eccome … perchè se una persona carica in rete un
video (od una fotografia) nel cui contenuto vi è la ripresa di un
soggetto identificato o identificabile oppure la targa auto leggibile,
di fatto sta facendo una diffusione di dati personali (il viso, la targa,
…), ragion per cui non sta facendo trattamento dei dati per fini
esclusivamente personali senza comunicazione sistematica o
diffusione (art. 5, comma 3, del Codice Privacy), di conseguenza la
persona che ha fatto il video deve ottemperare a tutte le norme
stabilite nel Codice Privacy, tra cui l’informativa ai sensi dell’art. 13,
il consenso esplicito al trattamento dei dati, le modalità di
trattamento e conservazione, … con il rischio che il soggetto ripreso
possa avanzare pretese risarcitorie per i danni cagionati alla sua
immagine dovuti alla diffusione del video ovvero che il Garante
della Privacy condanni la persona che ha postato il video a
sanzioni dell’ordine di migliaia di euro.
E per i video ripresi delle dashcam?
In questo caso, se si utilizzano le dashcam come telecamera
difesa automobilista, cioè con le finalità di aumentare la tutela e la
sicurezza di chi guida (persona fisica), l’uso personale è evidente;
se non si pubblicano on line i video oppure se vengono pubblicati
“censurati” in corrispondenza di volti e della targa auto, così da
evitare dati personali, non ci sono problemi. In caso di incidente
stradale od altro evento significativo, che essendo casuali non
possono essere considerati sistematici o programmabili, il video,
che conterrà quasi sicuramente la targa auto della controparte e
magari anche persone di passaggio estranee all’evento, può
essere fatto visionare ai soggetti definiti della catena assicurativa
(periti, Compagnie, liquidatori e giudice) ai fini del giusto
risarcimento,
non
configurandosi
la
fattispecie
della
comunicazione sistematica; i soggetti della catena assicurativa
sono tenuti comunque al segreto professionale del contenuto della
comunicazione occasionale.
Ecco perchè nel nostro blog dashcamitalia.it procediamo
sempre, per ottemperare alle norme sulla privacy, alla
cancellazione delle targhe leggibili dei veicoli, dei volti delle
persone riprese dai video ovvero alla trasformazione degli stessi dati
in forma anonima, tramite mascheramento, rendendo i video privi
di dati personali.
Per chi ha ancora intenzione di postare video con targa auto
visibile dico solo … meditate prima di farlo!”
Fonte: Blog dashcamitalia.it - Gabriele - The blogger
PAGINA 14
Cronaca: garantire sempre riservatezza bambino
malato
No a troppe informazioni che rendono identificabile un
bambino malato. Il diritto del minore alla riservatezza prevale sul
diritto di cronaca e neanche il consenso dei genitori autorizza il
giornalista a riportare informazioni che possano nuocere al suo
sviluppo.
Il minore va tutelato da
forme di
comunicazione lesive
dell'armonico sviluppo
della sua personalità
Lo ha ribadito [doc. web n 5029484] il Garante privacy nel
definire un'istruttoria avviata d'ufficio a seguito della pubblicazione
su alcune testate di diversi dati identificativi di una bambina
(fotografie, il nome, il luogo di residenza, l'età, il nome e il cognome
della madre, il nome della scuola frequentata), associati a precise
indicazioni della patologia di cui soffre.
Il Garante ha tuttavia ritenuto di non dover adottare alcun
provvedimento inibitorio, poiché le testate, appena avuta notizia
dell'avvio dell'istruttoria, hanno eliminato gli articoli dalla rete o
oscurato i dati che rendevano identificabile la bambina.
La vicenda descritta negli articoli affronta, a parere
dell'Autorità, un tema di indubbio interesse pubblico, riguardando il
dibattito in corso sul rapporto rischi benefici delle vaccinazioni.
Nel riportare la notizia, i giornalisti devono però tener conto
delle regole che disciplinano il rapporto tra attività giornalistica e
protezione dei dati personali e delle garanzie poste a tutela dei più
piccoli.
In particolare, quelle del codice deontologico e della Carta
di Treviso che considerano il diritto del minore alla riservatezza
primario rispetto al diritto di cronaca e stabiliscono che in caso di
bambini malati, il giornalista deve porre "particolare attenzione e
sensibilità nella diffusione delle immagini e delle vicende" per
evitare forme di sensazionalismo lesive della loro personalità.
E, anche se in questo caso la diffusione di dati personali è
avvenuta con il consenso dei genitori, questo elemento, sottolinea
l'Autorità, non è di per sé sufficiente a legittimare l'identificabilità
del minore.
PAGINA 15
Il consenso parentale non esime infatti il giornalista dal
valutare il potenziale pregiudizio che può derivare dalla
pubblicazione di informazioni così dettagliate.
Il giornalista è chiamato ad adottare le cautele di volta in
volta più opportune per tutelare il minore, senza per questo
abdicare al ruolo fondamentale di denuncia e informazione della
collettività.
Tale principio, più volte affermato dall'Autorità, trova
conferma anche nella Carta di Treviso, secondo cui, "a prescindere
dall'eventuale consenso dei genitori, il minore non va coinvolto in
forme di comunicazioni lesive dell'armonico sviluppo della sua
personalità".
Fonte: Newsletter Garante – 27 maggio 2016
PAGINA 16
Anagrafe nazionale studenti, ok a consultazione da
parte dell'Università
. E' quanto ha indicato il Garante per la protezione dei dati
personali in un parere [doc. web n. 5029548] reso al Miur, nel quale
ha però chiesto specifiche garanzie.
Sarà possibile per le
Università utilizzare
l'Anagrafe nazionale
degli studenti (Ans) per
verificare la veridicità
dei titoli autocertificati
dagli studenti
L'Ans, istituita per la realizzazione del diritto-dovere all'istruzione
e alla formazione e per la prevenzione e il contrasto alla
dispersione scolastica, opera presso il Miur, registrando i dati sui
percorsi scolastici, formativi e in apprendistato dei singoli studenti e
i dati sulle loro valutazioni, a partire dal primo anno della scuola
primaria.
Col parere reso il Garante ha respinto la richiesta del Ministero
di conservare a tempo illimitato, per ogni studente censito nell'Ans
che giunge al termine del percorso scolastico, le informazioni
relative, nello specifico, al codice fiscale, al codice della scuola
che rilascia il titolo di studio, al tipo di titolo, al voto conseguito,
all'anno solare di conseguimento. Il Codice privacy prevede infatti
che la conservazione dei dati personali non possa essere protratta
oltre il tempo strettamente necessario al perseguimento dello
scopo prefissato.
L'allungamento del periodo di conservazione dei dati, finora
previsto fino al termine dell'anno solare successivo alla conclusione
di ogni ciclo scolastico, dovrà essere motivato dal Miur che dovrà
fissare uno specifico lasso di tempo oltre il quale i dati dovranno
essere cancellati o resi anonimi.
Il Garante ha raccomandato al Ministero che per l'accesso
all'anagrafe da parte del personale incaricato dalle università
vengano previste rigorose misure in ordine al tracciamento e alla
conservazione dei log relativi agli accessi, nel rispetto delle misure
tecniche ed organizzative adottate a protezione dei dati degli
studenti contenuti nell'anagrafe.
Con un altro parere [doc. web n 5029436], il Garante ha dato
il via libera all'integrazione dell'Ans con le informazioni degli alunni
delle scuole d'infanzia relative a sezione della classe e numero
giorni/orario settimanale di frequenza. Tali dati risultano infatti
pertinenti e non eccedenti rispetto alle finalità perseguite.
PAGINA 17
No allo spam elettorale sulle mail dei dipendenti
comunali
Un candidato non può
usare a fini di
propaganda elettorale
i dati personali in suo
possesso per ragioni
istituzionali
È quanto ha ribadito il Garante privacy in un provvedimento
con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei
dipendenti comunali nella sua disponibilità ai tempi del suo
mandato.
La vicenda risale alle amministrative dello scorso anno,
quando una dipendente comunale, aprendo la mail di lavoro,
scopre che l'ex assessore al personale si candida alle elezioni
regionali e chiede il suo voto. La scena si ripete più volte probabilmente la stessa mail è stata spedita a tutto il personale
comunale - e alcuni dipendenti, che si ritengono lesi nei loro diritti, si
rivolgono al Garante per la protezione dei dati personali. I
dipendenti segnalano all'Autorità che gli indirizzi mail sono stati
acquisiti da un indirizzario di posta elettronica che non è pubblico,
essendo ad esclusivo uso interno dell'amministrazione e nella
disponibilità dell'ex assessore al personale in virtù dell'incarico
precedentemente ricoperto.
Per questo motivo ritengono che i loro dati personali siano
stati trattati in modo non corretto e in violazione delle regole
dettate dal Garante privacy in materia di propaganda elettorale.
Tesi condivisa dall'Autorità che, nell'emettere il provvedimento di
divieto, ha ritenuto l'operato dell'ex assessore illecito sotto diversi
profili. In primo luogo, perché il trattamento dei dati è avvenuto in
violazione del principio di finalità: gli indirizzi mail comunali, infatti, il
cui scopo è quello di consentire il contatto per l'assolvimento delle
funzioni istituzionali, non possono essere utilizzati per il
perseguimento di altre finalità (non compatibili con quelle che ne
hanno giustificato la raccolta originaria),
come appunto la
propaganda elettorale. Così come non possono essere utilizzati
liberamente da chi ricopre incarichi pubblici e detiene questi dati
solo per lo svolgimento dei propri compiti istituzionali. In secondo
luogo perché, come affermato dal Garante in più occasioni, i
partiti, le liste o i singoli candidati non possono utilizzare indirizzi di
posta elettronica senza il consenso specifico e informato dei
destinatari. Consenso che, nel caso in esame, non risulta acquisito,
come non risulta che i destinatari siano stati informati sull'uso che
veniva fatto dei loro dati.
Con un autonomo procedimento l'Autorità provvederà a
verificare i presupposti per l'applicazione della sanzione
amministrativa prevista per l'omessa informativa e la mancata
acquisizione del consenso.
PAGINA 18
Il Garante UE boccia il Privacy Shield
Secco e deciso, il
Garante europeo
Giovanni Buttarelli,
respinge al mittente il
pacchetto di riforme
per lo scambio di dati
tra Stati Uniti e Unione
europea
«Apprezzo gli sforzi che sono stati fatti per sostituire il Safe
Harbour, ma il Privacy Shield in questa forma non è abbastanza
solido per superare la valutazione della Corte». «Sono necessari
miglioramenti significativi, se la Commissione intende adottare una
decisione soddisfacente che rispetti l’essenza dei principi chiave
della protezione dei dati, con particolare riguardo ai criteri di
necessità, proporzionalità e ai meccanismi di ricorso».
Inoltre, è «il caso di sviluppare una soluzione di più lungo
termine nel dialogo transatlantico». In ottobre una sentenza della
massima magistratura europea ha di fatto bocciato l’«Approdo
sicuro» (e volontario), il grande database in territorio americano in
cui da 15 anni i colossi globali del web andavano a immagazzinare
le informazioni personali dei loro clienti, americani e no. Non
garantiva la sufficiente privacy, ha sentenziato la Corte, che, con
la delibera, ha lasciato un buco che un intesa raggiunta in aprile
ha cercato di colmare. Tutti hanno fretta perché lo «scudo», fra le
altre cose, serve a tutelare i dati personali degli europei che hanno
sottoscritto la partecipazioni a network a stelle e strisce, a partire da
Facebook.
Per essere efficace, insiste Buttarelli col suo team, il «Privacy
Shield» deve consentire una protezione adeguata contro la
sorveglianza indiscriminata. Allo stesso tempo, «deve rispettare
l’obbligo di supervisione, trasparenza, di ricorso e di assicurare la
protezione dei dati. Il Garante sottolinea come, a suo parere, il
criterio di equivalenza essenziale si applichi nella pratica ai casi di
autoregolamentazione da parte di organizzazioni private, in cui i
dati in transito o trasferiti negli Stati Uniti potrebbero essere valutati
in maniera ordinaria dalle forze dell’ordine e da quelle di
intelligence».
Il Privacy Shield, nei fatti, cerca di evitare il libero accesso dei
servizi americani alle informazioni provate degli europei, cosa
ritenuta «invasiva» da parte della corte in autunno.
In relazione all’adozione del Regolamento europeo in materia
di trattamento dei dati, effettivo negli Stati membri a partire da
maggio 2018, il Garante sottolinea la sua applicabilità a qualsiasi
forma di trattamento dei dati, incluso il trasferimento.
Ne consegue che, in definitiva, se si tiene conto delle
osservazioni e delle preoccupazioni condivise da europarlamentari,
aziende, società civile, Università e altri interlocutori, sarebbe
opportuno che «il legislatore prendesse più tempo in modo da
trovare una soluzione più adeguata e di più ampio respiro».
Fonte: La Stampa
Pentha Memo…
Memorandum sulle scadenze privacy, iniziative, eventi e servizi curati da Pentha e dalla rete di
collaboratori (non è quindi esaustivo di tutti gli adempimenti contabili, fiscali, previdenziali e
societari obbligatori).
Per ulteriori informazioni siamo a completa disposizione ai recapiti in calce.
Data scadenza
Descrizione
Senza scadenza
Revisione ed aggiornamento del piano privacy aziendale (informative, misure minime di
sicurezza, procedure aziendali, ecc.)
31 gennaio 2017
Contributi in conto capitale CCIAA Cuneo per l’area di information and communication
technology – Bando anno 2016 – RENDICONTAZIONE
Maggiori info a questo link: http://www.pentha.eu/news_dettaglio.php?d=1248&sz=0
31 gennaio 2017
Contributi in conto capitale CCIAA Cuneo per la corresponsione di contributi per lo
sviluppo di nuove strategie di marketing – Bando anno 2016
31 gennaio 2017
Contributi in conto capitale CCIAA Cuneo per l’adeguamento al D. Lgs. 81/2008 sulla
normativa sulla sicurezza e salute negli ambienti di lavoro, le certificazioni di prodotto e
di processo, l’ambiente e le certificazioni SOA – DPR 207/2010 – Bandi anno 2016
Pentha s.r.l. Servizi Integrati per le Imprese
Via Vittorio Amedeo II 13 – 3° Piano – 12100 Cuneo
Telefono 0171 489095 – Fax 0171 631346
Web www.pentha.eu Mail [email protected]
http://www.facebook.com/pages/Pentha-srlServizi-Integrati-per-le-imprese/89151469538

Newsletter n. 167 del 20 06 16

Transcript

Documenti analoghi

Accertamenti del Garante: accesso gratuito ad Internet In riferimento

Privacy a scuola

about:blank

Luca Bolognini

Associazione KI NO KENKYUKAI Italia

Abstract Ducato

Privacy - Istituto Comprensivo di Marcheno

Garante per la Protezione dei Dati Personali

CIFAPP - Centro Italiano Formazione e Aggiornamento in Psicologia

Newletter n 179 del 15 02 17

Newsletter n. 152 del 01.04.15