In altre parole: sono lecite telecamere e altri strumenti di controllo sul posto di lavoro?

fonti: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9358266

L'articolo SIAMO SPIATI SUL POSTO DI LAVORO? proviene da JEMIB Junior Enterprise Milano Bicocca.

Uno dei principi cardine e più innovativi del GDPR è il principio di accountability, che sposta sulle aziende l’onere della prova di compliance alla normativa (in precedenza, erano le varie autorità nazionali istituite ad hoc a dover fornire prova della presunta non compliance di un’azienda). Inoltre, il GDPR prevede che siano le aziende stesse, nel fornire tale prova, ad elaborare i mezzi ritenuti idonei ad assicurare la conformità delle pratiche aziendali alla normativa.

Tale principio ha il grande vantaggio di rendere sempre attuale una regolamentazione difficilmente aggiornabile, trattandosi di una legge di rango europeo, garantendone la stabilità e l’attualità per gli anni a venire, anche in un ambito così dinamico come quello del trattamento dei dati personali.

A tal fine, il GDPR necessità di un elevato grado di generalità che si traduce nella vaghezza delle disposizioni che riguardano i sistemi di protezione imposti ai Titolari dei dati personali (figura prevista dal Regolamento all’articolo 4, il quale la definisce la persona fisica, giuridica o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali), i quali hanno di fatto grande discrezionalità in merito all’adeguatezza delle misure di sicurezza da implementare.

Questo, per contro, si traduce in un’oggettiva difficoltà per i Titolari e gli esperti del settore nell’applicazione del Regolamento, come si è visto nelle recenti sanzioni che il Garante della Privacy italiano, nei primi due mesi del 2020, ha irrogato nei confronti di due giganti nei rispettivi settori, EniGL e TIM, per un valore totale di circa 40 milioni di euro.

I due provvedimenti del Garante offrono numerosi spunti di riflessione, sui quali non ho modo di soffermarmi in maniera approfondita in questa sede e, per questo motivo, mi limiterò a indicarne alcuni dei più interessanti, senza pretese di esaustività:

1.       Non basta una buona nomina a Responsabile del trattamento ex art. 28 GDPR a liberare il Titolare da ogni responsabilità, risultando invece necessari controlli continui, oltre ad un’adeguata formazione e procedure volte a individuare per tempo ogni possibile deviazione dalla regola (il che pone interessanti interrogativi per quanto riguarda la responsabilità di quei Titolari che si avvalgono, ad esempio, di fornitori di servizi in cloud).

2.       Il dissenso specifico vince sul consenso generico. Per lungo tempo molti esperti del settore avevano, invece, ritenuto che il principio cardine in materia di consenso fosse quello cronologico, ma la sanzione ad Eni ha sancito che un dissenso specifico precedente è idoneo a superare un consenso generico successivo.

3.       Ogni cessione di dati, anche a pagamento, dev’essere coperta da consenso, il che rende l’acquisto di database dai vari list provider (pratica adottata da un grandissimo numero di aziende) pressoché impossibile, almeno nelle modalità in cui quest’attività è stata svolta fino ad ora.

4.       Una società oggi adeguata non è libera per gli eventuali trattamenti illeciti del passato, pprincipio pericoloso, dato che la grandissima maggioranza delle aziende non era pronta e compliant all’entrata in vigore della nuova normativa, nonostante i 2 anni di tempo concessi a tale scopo dalla pubblicazione del GDPR dal legislatore europeo.

Mi preme, però, sottolineare come aziende del calibro di Eni e TIM non siano state certo colte impreparate dalle ispezioni del Garante e che le ragioni dietro alle 2 sanzioni non sono delle mere inadempienze, ma delle critiche alle scelte coscientemente fatte dalle due società nel tentativo di rispettare i principi del GDPR.

In conclusione, è importante notare come proprio da questi fatti emerga un possibile punto di scontro tra la disciplina italiana e il Regolamento Europeo per la Protezione dei Dati Personali, per via del fatto che nel nostro ordinamento le sanzioni dovrebbero rispettare, tra gli altri, i fondamentali principi di legalità e tassatività, con obiettiva certezza della norma, e di personalità e colpevolezza. Non sono mancate a riguardo voci in dottrina pronte a sostenere come il GDPR abbia introdotto nell’ordinamento italiano un “monstrum” giuridico ad altissimo rischio di incostituzionalità.

Martino Pozza

#JEMIBreview

L'articolo IMPARARE DAGLI ERRORI ALTRUI: LA LEZIONE DELLE SANZIONI DEL GARANTE A ENI E TIM proviene da JEMIB Junior Enterprise Milano Bicocca.

COS’É IL GDPR?
Dal 25 maggio 2018 è entrato in vigore il General Data Protection, un nuovo Regolamento Europeo meglio noto come GDPR che ha l’obiettivo di creare una regolamentazione uniforme relativa al trattamento dei dati personali all’interno dell’Unione Europea, pur garantendo agli Stati dell’UE di mantenere o introdurre ulteriori condizioni in materia di privacy.

QUALI SONO LE NOVITÁ INTRODOTTE?
Questo regolamento risolve la complessa questione delle norme sui dati personali facendo sì che le regole di protezione dei dati si applichino a tutti i soggetti che trattano dati relativi ai cittadini europei.
Tra le novità che inserisce il GDPR vi è un rafforzamento dell’Autorità centrale per la garanzia dei dati personali e infine la previsione di nuove figure professionali all’interno delle aziende.
Ad esempio, viene prevista una nuova figura professionale da inserire in azienda, chiamata “Data Protection Officer”che ha una funzione di consulenza e vigilanza sull’applicazione del GDPR.
Vengono anche definite le nuove figure che all’interno di un’impresa si occupano del trattamento dei dati: il Titolare o “controller” è la persona fisica o giuridica, che determina le finalità e i mezzi del trattamento dei dati personali, il Responsabile che tratta i dati personali per conto del titolare e infine gli Incaricati, ossia coloro autorizzati dal titolare o dal responsabile a compiere operazioni di trattamento.
Il Titolare e il Responsabile hanno l’obbligo di redigere per la propria impresa il “registro dei trattamenti” ovvero un registro che permetta di censire le banche dati e i singoli trattamenti effettuati nell’attività lavorativa. Per garantire al meglio la sicurezza dei dati personali raccolti, il regolamento introduce metodi di pseudonimizzazione (un termine complesso che definisce l’atto di conservare i dati in una forma che impedisca l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive) o cifratura dei dati che obbligano le aziende a redigere informative sul trattamento dei dati chiare e comprensibili, specificando quale sarà il loro utilizzo finale.
Gli interessati che cederanno i loro dati alle varie imprese avranno infine il diritto di chiedere al Titolare l’accesso ai dati che li riguardano, ottenerne la cancellazione o addirittura revocarne il consenso.
Nel caso accada un “data breach”, ossia una violazione dei dati personali raccolti dalle imprese che comporti accidentalmente o in modo illecito la distruzione, la perdita, l’accesso o la divulgazione non autorizzata dei dati personali trasmessi, il Titolare deve entro 72 ore notificare tempestivamente alle Autorità Garanti la violazione, pena gravi sanzioni.
Come avete potuto capire è un regolamento piuttosto complesso che le aziende devono affrontare compiendo revisioni sui dati raccolti e trattati e studiando una strategia per raccoglierli e proteggerli, ed è proprio per questo che l’area legale di JEMIB affianca le aziende in questo cambiamento aiutandole a redigere privacy policy chiare e trasparenti per mantenere la fiducia dei loro clienti o dei loro dipendenti.

#JEMIBreview

Roberta Iraci

L'articolo IL GDPR E I NUOVI ADEMPIMENTI IN MATERIA PRIVACY proviene da JEMIB Junior Enterprise Milano Bicocca.