LE PROCEDURE PER I DATORI DI LAVORO CHE CONSERVANO GREEN PASS
Le ultime direttive pubblicate sulla Gazzetta ufficiale a fine novembre 2021, permettono ai datori di lavoro di ricevere il documento del Green Pass dai lavoratori su base volontaria. Infatti è stato approvato il disegno di conversione in legge, con modificazioni, del D.L. 21 settembre 2021, n° 127, recante “Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening” . Attenzione che questa procedura prevede per l’azienda una serie di implicazioni in termini di Privacy: non solo il documento che contiene dati particolari dovrà essere conservato prevedendo metodi di sicurezza fisica e informatica, ma serve anche un’Informativa ad hoc, bisogna nominare degli Incaricati, aggiornare la Policy sul controllo del Green Pass e ancora va aggiornato il registro dei trattamenti.
BOARD UE PUBBLICA LINEE GUIDA SU TRATTAMENTO DATI PAESI TERZI
Dopo le sentenze Shrems il board europeo dei Garanti, EDPB, ha ritenuto opportuno pubblicare le nuove Linee Guida 05/2021 sul trattamento di dati in paesi terzi e ha avviato una consultazione pubblica che termina alla fine di gennaio 2022. I requisiti per inviare dati personali di cittadini Ue all’estero (cioè extra-Ue) sono che il titolare o il responsabile siano soggetti all’applicazione del Regolamento Ue 2016/679. I dati devono passare da titolare a responsabile e da responsabile a responsabile non possono essere messi a disposizione da un interessato. Quindi l’interessato non è considerato un esportatore dei dati di cui si occupano le Linee guida. Insomma il trasferimento per essere tale deve avvenire tra aziende con qualifiche specifiche anche su base contrattuale.
All’interno di un gruppo di imprese nuovamente il trasferimento si considera tale se avviene tra titolari e responsabile (non tra contitolari ad esempio). Infine l’importatore dei dati deve avere sede in un paese terzo, anche se non sottoposto a GDPR. Gli esperti di legislazione hanno già rilevato alcune incongruenze che saranno risolte in sede di consultazione.
CYBERSECURITY: OLTRE MILLE ATTACCHI NEL PRIMO SEMESTRE 2021
Secondo il Rapporto Clusit 2021 a livello globale ci sono stati 1.053 attacchi gravi nei primi sei mesi del 2021 e si tratta solo di quelli che sono di dominio pubblico. La punta dell’iceberg dunque. Il danno stimato è di 6 trilioni di dollari. Questi numeri ci invitano a valutare l’importanza per il titolare di mettere in atto tutte le sicurezze informatiche a protezione dei dati personali di cui è in possesso. Quindi con l’IT è bene aggiornare i programmi e gli antivirus e valutare l’opportunità di intrusion test fatti da ditte esterne. Inoltre servono Audit semestrali interni per verificare lo stato dell’arte.
GARANTE LUSSEMBURGO MULTA SOCIETA’ CON DPO INCOMPETENTE
Come sappiamo il GDPR prevede che il DPO data protection officer o RPD, Responsabile della protezione dei dati (da non confondere col Responsabile del trattamento dei dati che soggiace al Titolare) deve avere delle competenze relative alla Privacy e alla relativa giurisprudenza. Ora il Garante Privacy del Lussemburgo (CNPD) ha sanzionato un’azienda lussemburghese con 18 mila euro a causa del suo DPO non abbastanza preparato e ha stabilito che gli RPD devono avere almeno tre anni di esperienza prima di assumere l’incarico. Aver stabilito la durata dei 3 anni ha creato non poche polemiche un po’ dappertutto in Europa. Molti si chiedono a cosa corrisponda questo periodo se non ci sono dei paletti specifici rispetto alla preparazione che il futuro DPO deve attestare. Resta che mancano delle certificazioni europee per i DPO, al momento solo Spagna e Francia hanno provveduto.
ATTENZIONE ALLE PASSWORD: VIOLATA COMPAGNIA OLANDESE
Come avevamo già raccontato nell’ultimo notiziario di novembre, se andate sul sito del Garante trovate anche delle spiegazioni su come creare delle password sicurehttps://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4248578. Consigli sicuramente da seguire con attenzione. Ormai la modalità più complessa è quella delle frasi che includano anche caratteri speciali. Infatti usando le password 12345678 una compagnia aerea olandese ha avuto una violazione sui dati di oltre 83 mila passeggeri. L’hacker è riuscito a entrare dagli account di due dipendenti che avevano usato appunto password debolissime. La compagnia Transavia è stata multata con 400 mila euro. Nei dati c’erano anche specifiche sulla disabilità dei passeggeri, i bagagli trasportati, i servizi aggiuntivi richiesti.
DIPENDENTE CHE TRAFUGA DATI VIENE SANZIONATO IN CIVILE E PENALE
La Cassazione italiana con la sentenza 33809/2021 ha condannato un dirigente che prima del suo licenziamento aveva provveduto ad accaparrarsi dati commerciali dell’azienda, presenti nel suo pc e quindi aveva restituito il pc parzialmente cancellato. L’azienda ha poi scoperto vagliando l’hard disk che il dipendente, precedentemente direttore commerciale, aveva inviato dei dati riservati a esterni. Oltre agli evidenti danni civili, l’ex lavoratore sarà tenuto a pagare anche quelli penali secondo l’art.635 bis del Codice penale, in base alla condanna per “danneggiamento di informazioni, dati e programmi informatici”. L’episodio rimarca una delle basi del sistema privacy e cioè che tutti i dipendenti, specie quelli autorizzati al trattamento in qualità di Incaricati/Delegati sono tenuti alla riservatezza dei dati che trattano per conto del Titolare.
OK DEL GARANTE PER SPERIMENTAZIONE VOTO COMITATI ALL’ESTERO
E’ molto interessante la pronuncia del Garante a favore della sperimentazione del voto elettronico per il rinnovo dei Comitati degli elettori all’estero https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9721434. Tra gli aspetti più interessanti del via libera del Garante alla sperimentazione c’è che il voto avviene in blockchain e che la piattaforma open viene resa pubblica testabile 30 giorni prima del voto. Ci sono poi degli aspetti di sicurezza informatica e riflessioni su quanto già predisposto dalla Raccomandazione CM/Rec (2017) 5 del 14 giugno 2017 del Comitato dei Ministri del Consiglio d’Europa circa la segretezza del voto. E’ scontato prevedere che questa è l’anticamera per il voto elettronico per gli italiani residenti all’estero.
MEDICO SANZIONATO CON 10 MILA EURO PER “BUCATO” DI RICETTE
Un medico è stato sanzionato dal Garante con 10 mila euro per aver ripetutamente steso le ricette preparate per i pazienti a una corda con mollette all’aperto e fuori del suo studio, a mò di bucato. Le ricette erano facilmente leggibili per i passanti. Alcuni pazienti hanno segnalato l’anomalia ai carabinieri e il medico è stato sanzionato. Ricordiamo che medici e avvocati sono “esentati” dalle procedure del GDPR proprio perché già il loro lavoro prevede la massima discrezione, il segreto professionale e la tenuta dei dati giudiziari e sanitari con la massima sicurezza.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore Franco Angeli, 2021), acquistabile anche in digitale sul sito francoangeli.it.
