Call Us +39 011 55.84.111

Il Garante si pronuncia sulla qualificazione soggettiva dell’Organismo di Vigilanza ex D. Lgs. 231/2001 secondo la normativa privacy

di Luca Egitto e Letizia Catalano

Lo scorso 12 maggio il Garante per la protezione dei dati personali ha espresso il suo parere sulla qualificazione soggettiva dell’Organismo di Vigilanza (“OdV”) affermando che l’OdV, in quanto parte dell’impresa, non sia qualificabile né come titolare né come responsabile al trattamento e che, ai fini dell’osservanza delle norme in materia di protezione dei dati, l’inquadramento soggettivo dell’OdV sia assorbito da quello dell’ente di cui l’OdV stesso è parte.

Leggi tutto...

Datore di lavoro e test sierologici Covid-19, quali risposte ha dato il Garante Privacy?

di Chiara Agostini e Giacomo Pataracchia

Cosa può fare il datore di lavoro in materia di test sierologici Covid-19?

Il datore di lavoro, secondo le indicazioni fornite dal Garante Privacy nelle proprie FAQ relative al trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria, può:

  • richiedere ai propri dipendenti di effettuare test sierologici solamente solo se disposti dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle autorità sanitarie;
  • offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito;
  • ove coinvolto dal dipartimento di prevenzione locale, veicolare ai propri lavoratori l’invito ad aderire alle campagne di screening avviate dalle autorità sanitarie competenti a livello regionale relative ai test sierologici Covid-19.

Quali dati può trattare il datore di lavoro?

Il Garante Privacy precisa, inoltre, che il datore di lavoro:

  • non può trattare, salvo i casi espressamente previsti dalla legge, i dati relativi alla diagnosi e all’anamnesi familiare del lavoratore;
  • può trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro.

Chi può fare le visite e gli accertamenti?

Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Link alla fonte

Leggi tutto...

Il Garante privacy spagnolo ha sanzionato la compagnia aerea Vueling per non aver fornito agli utenti la possibilità di opporsi e di gestire l’utilizzo dei cookie presenti sul proprio sito web

La agencia Española de Protección de Datos (di seguito, “AEPD”) ha sanzionato Vueling con una multa pari a 30.000 euro (riducibile a 18.000 euro in caso di pagamento immediato in un’unica soluzione) per non aver dato agli utenti del proprio sito web la possibilità di gestire le proprie preferenze sulle tipologie di cookie installati, ovvero di opporsi al relativo utilizzo.

In particolare, il banner cookie presente nella pagina iniziale del sito di Vueling, non ancora modificato alla luce del provvedimento sanzionatorio, specifica che l’utente può accettare l’utilizzo dei cookie tecnici e di profilazione acconsentendovi espressamente, ovvero continuando nella navigazione. Sul lato destro del banner, inoltre, vi è un unico button con il quale viene fornita all’utente la sola opzione di accettare i cookie, mentre non vi è alcuna menzione circa la possibilità di opporsi. 

Leggi tutto...

Olanda: multa da 460mila euro all’Haga Hospital per violazione del GDPR

L’Haga Hospital, situato a L’Aia, ha ricevuto una sanzione pari a 460 mila euro dal Garante per la protezione dei dati personali olandese (di seguito, “Garante”), a causa dell’insufficienza delle misure di sicurezza poste a tutela dei file dei pazienti, emersa a seguito del ricovero di una star di un reality televisivo, le cui cartelle cliniche erano state visionate da decine di membri dello staff, non autorizzati ad accedere a tali categorie particolari di dati personali.

Leggi tutto...

Il Garante per la protezione dei dati personali chiarisce il contenuto delle comunicazioni da inviare agli interessati in caso di data breach

Il Garante per la protezione dei dati personali (di seguito, “Garante Privacy”), con provvedimento n. 106 del 30 aprile 2019, adottato nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa da una società operante nel settore delle telecomunicazioni, ha chiarito che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.

Leggi tutto...

In vigore il regolamento n. 1/2019, concernente le procedure interne che disciplinano compiti e poteri demandati al Garante per la protezione dei dati personali

Obiettivo del regolamento n. 1/2019 è fissare termini e procedure in caso di ricezione di segnalazioni o reclami, per le attività ispettive e per l’approvazione di regole deontologiche e codici di condotta.

Con la delibera n. 98 del 4 aprile 2019, pubblicata sulla Gazzetta Ufficiale n. 106 dell'8 maggio 2019, il Garante per la protezione dei dati personali ha adottato il regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante stesso, nonché all'adozione di provvedimenti correttivi e sanzionatori (di seguito, “Regolamento”).

Tale Regolamento, che giunge a quasi un anno di distanza dall’entrata in vigore del regolamento europeo n. 2016/679 (GDPR), rappresenta un passaggio fondamentale per completare il quadro normativo nazionale relativo alla materia in oggetto.

Procedendo con la disamina del contenuto del testo, vediamo che all’interno dei primi articoli del Regolamento, dedicati alle disposizioni generali, si stabilisce che nell’effettuare il controllo sulla liceità e correttezza dei trattamenti, il Garante si dovrà ispirare ai princìpi di trasparenza, ragionevolezza, proporzionalità e non discriminazione ed inoltre, nel corso delle istruttorie avviate, dovrà necessariamente tenere conto della natura e della gravità degli illeciti, valutando gli effetti e l’entità del pregiudizio che essi possono comportare per uno o più interessati, le probabilità di comprovarne la sussistenza e le risorse disponibili. 

Con riferimento alle procedure da seguire in caso di ricezione di un reclamo o di una segnalazione, a cui è dedicato il Capo II del Regolamento, si chiarisce che la presentazione di un reclamo o di una segnalazione non comporterà necessariamente l'adozione di un provvedimento del Collegio. Infatti, in prima battuta, dovrà essere effettuata un’istruttoria preliminare condotta dal dipartimento, servizio o unità organizzativa a cui verrà assegnato il reclamo / segnalazione, volta a verificare la sussistenza di idonei elementi in ordine alle presunte violazioni e alle misure richieste dall’istante.

Per quanto concerne le procedure riguardanti le attività di controllo ed ispettive, disciplinate nel Capo III, si prevede che il Garante potrà avviare tali attività anche d’ufficio tramite un’istruttoria preliminare finalizzata a verificare la sussistenza di idonei elementi in ordine a possibili violazioni della disciplina rilevante in materia di protezione dei dati personali. Nel corso dell’attività ispettiva, della quale potrà essere dato preavviso al titolare del trattamento, il Garante avrà facoltà di:

  • controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
  • richiedere informazioni e spiegazioni;
  • accedere alle banche dati ed agli archivi;
  • acquisire copia delle banche dati e degli archivi su supporto informatico.

Il Regolamento disciplina, inoltre, il procedimento riguardante l’adozione di regole deontologiche ai sensi dell’art. 2-quater del Codice Privacy (D.Lgs. 196/2003, così come modificato dal D.Lgs. 101/2018), la cui idoneità dovrà essere valutata preliminarmente dal Garante considerando:

  • l'appartenenza alle categorie interessate degli organismi che intendono adottare regole deontologiche in qualità di soggetti rappresentativi, nonché la sussistenza del presupposto della rappresentatività anche in relazione ai settori determinati nei quali le stesse dovrebbe operare;
  • la sussistenza di un interesse qualificato in capo ai soggetti interessati.

Infine, il V Capo si sofferma brevemente sui codici di condotta la cui approvazione segue, per quanto applicabile, il procedimento previsto per l’approvazione delle regole deontologiche, il VI Capo analizza gli altri provvedimenti adottabili dal Garante quali pareri e autorizzazioni, mentre il VII Capo è dedicato alle disposizioni finali.

A seguito dell’approvazione di tali procedure interne, non ci resterà che aspettare di valutarne le applicazioni ai casi concreti i quali, man mano, formeranno una casistica che aiuterà tutti i soggetti coinvolti ad indirizzare la propria attività.

Link alla fonte

Leggi tutto...

Una recente sentenza chiarisce le condizioni di accesso da parte del datore di lavoro all’account di posta aziendale del dipendente

In data 26 marzo 2019, il Tribunale di Roma, dopo aver ripercorso l’orientamento giurisprudenziale prevalente  italiano e quello della Corte Europea dei diritti dell’uomo, si è espresso in merito alla liceità e alle condizioni di accesso ai messaggi di posta elettronica  presenti nell’account di posta elettronica aziendale di un dipendente da parte del datore di lavoro e, conseguentemente, ha indicato a che condizioni i documenti tratti dalla corrispondenza via e-mail intercorsa sull’indirizzo aziendale in uso al dipendente e inoltrata/ricevuta dalla postazione d’ufficio sono utilizzabili dal datore di lavoro, sia ai fini della contestazione disciplinare che della prova in giudizio.  

Leggi tutto...
Sottoscrivi questo feed RSS

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy

Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bologna
R&P Legal
Via D’Azeglio, 19
40123, Bologna - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy