H&M: 50 MILA EURO PER TELECAMERE IRREGOLARI
La famosa catena di abbigliamento H&M, con 166 punti vendita in Italia e 4.317 dipendenti, è stata multata per 50 mila euro per aver utilizzato impianti di videosorveglianza non ancora autorizzati da un accordo sindacale o dal via libera della Direzione provinciale del lavoro, che hanno monitorato oltre 500 dipendenti. Su segnalazione dei lavoratori, il Garante è intervenuto con una lunga ispezione nel 2022, scoprendo diverse irregolarità anche in materia sindacale. L’azienda ha infatti collocato le telecamere anche in zone di passaggio dei lavoratori o nel retro-negozio. La società ha risposto precisando di aver installato correttamente tutti i cartelli che avvertivano della presenza delle telecamere. Dall’ispezione però è risultato che in ogni negozio c’erano almeno 3 telecamere, per un massimo di 27 in alcuni punti vendita, ma sopratutto, in alcuni casi, l’installazione degli impianti era avvenuta anche diversi mesi prima dell’effettiva firma dell’accordo sindacale o dell’autorizzazione dell’Ispettorato del lavoro (necessaria prima dell’installazione). Anzi in alcuni negozi proprio l’intervento della Direzione provinciale ha comportato la disinstallazione dell’impianto. Un’altra violazione verificata dagli ispettori è stata che le telecamere di un negozio a Milano conservavano le immagini per tempi molto superiori alle 24 ore menzionate negli accordi, addirittura le immagini sono risultate conservate per alcune settimane (un errore tecnico di settaggio, secondo l’installatore, che però non manleva il titolare dalla responsabilità di controllo della data retention). La vicenda dimostra come sia necessario prevedere gli step in anticipo (il concetto di privacy by design), quindi è opportuno prevedere col DPO anche una DPIA (Valutazione d’impatto) prima dell’installazione dell’impianto di videosorveglianza se ci sono rischi per i diritti e le libertà degli interessati. E sopratutto l’impianto va montato solo dopo le necessarie autorizzazioni (sindacali o della Direzione provinciale del lavoro, quindi devono esserci mappa, informative, policy adeguate all’impianto specifico di un dato punto vendita). La violazione dello Statuto dei lavoratori comporta sempre sanzioni: le telecamere possono essere poste solo a tutela del patrimonio del Titolare, non per controllare i lavoratori.
WHISTLEBLOWING: TENIAMO A MENTE LE SCADENZE DI LUGLIO E DICEMBRE
Il 15 luglio 2023 le aziende pubbliche o private con oltre 249 dipendenti e il 17 dicembre 2023 quelle con meno di 249 dipendenti sono tenute ad ottemperare alle disposizioni del Decreto legislativo 24/2023 del marzo 2023 che prevede un canale criptato per le denunce su illeciti amministrativi, contabili, truffe, frodi, appropriazioni illecite, di cui il lavoratore o collaboratore o consulente sia venuta a conoscenza in ambito lavorativo. In sostanza l’azienda deve attivare, con il tecnico informatico o la società che utilizza, un canale dedicato dove il denunciante possa inserire la segnalazione a titolo anonimo. Entro 7 giorni il segnalante deve avere anche un riscontro della segnalazione fatta e nei tre mesi successivi sapere quali azioni sono state intraprese. In seconda istanza, se la questione non avesse alcun esito all’interno dell’azienda, può rivolgersi a un canale esterno attivato da Anac, l’Autorità nazionale anticorruzione. Anac ha anche poteri sanzionatori ed è vietato rivalersi in ogni modo sul lavoratore o licenziarlo.
META IRLANDA MULTA DI 1,2 MILIARDI DI EURO PER TRASFERIMENTO DATI
Il Garante irlandese ha nuovamente multato Meta Irlanda per aver trasferito illegalmente dati di cittadini europei negli Usa: la sanzione è stata della cifra monstre di 1,2 miliardi di euro, per violazione dell’art. 46 del GDPR. Nel provvedimento si ricorda come le sentenze SchremsI e II abbiano bloccato il trasferimento dei dati negli Stati uniti che non vengono più giudicati sicuri. L’Authority ha reputato che le Clausole contrattuali stabilite dall’azienda non fossero comunque idonee a garantire la privacy degli interessati e la corretta conservazione dei dati. L’inchiesta è partita nell’agosto 2021. La pronuncia prevede anche il blocco del trasferimento dei dati. Meta, prima Facebook, ha pagato un totale di 7 miliardi di euro tra sanzioni e multe varie. La penunltima era relativa ad annunci personalizzati inviati agli utilizzatori dei social che erano in pratica costretti al servizio marketing.
ATTACCO HACKER A ASL1 ABRUZZESE
Il Garante Italiano ha ricordato che scaricare banche dati dal dark web è illegale ed è un reato soggetto a sanzioni. La pronuncia è arrivata dopo che l’Asl 1 dell’Abruzzo ha subito una pesante esfiltrazione di dati sanitari per almeno 522 gigabyte. Di mezzo sono finiti referti clinici, analisi genetiche di cittadini delle città di Avezzano, Sulmona e L’Aquila. Come ritorsione contro il mancato pagamento del riscatto per la banca dati sottratta, i criminali hanno pubblicato tutti i dati sul dark web o almeno così dicono. Mentre in generale nel mondo nel 2022 gli attacchi criminali sono cresciuti del 21 per cento, in Italia si assiste a una crescita esponenziale del 169 per cento rispetto al 2021, a causa del fatto che molte aziende preferiscono pagare piuttosto che vedere il loro nome finire sui giornali. Passando al 2023 da inizio d’anno gli attacchi ramsomware sono stati 115 contro 7.702 in tutto il mondo (dato di ramson.insicurezzadigitale.com).
GARANTE SETACCIA ENTI LOCALI SENZA DPO
Come avevamo spiegato il board europeo quest’anno ha indicato di concentrarsi sulla figura del Responsabile della protezione dei dati (RPD) o Data protection Officer (DPO), in inglese. E così anche l’Authority italiana sta passando al setaccio i grandi enti locali che non hanno ancora provveduto a nominare il DPO. Ricordiamo come secondo il GDPR questa figura che si affianca alla dirigenza aziendale è indispensabile per legge in aziende con oltre 250 dipendenti, aziende che fanno marketing e profilazione oppure che trattano dati sanitari, genetici o giudiziari. Il suo ruolo comporta informare, formare e consigliare i vertici aziendali e i dipendenti che trattano dati e vanno autorizzati a tale trattamento; la sua figura viene registrata presso il Garante e tiene i contatti tra Garante e azienda e tra interessati e azienda. Moltissimi enti locali, a partire dai tribunali, non li hanno ancora nominati.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. E’ in libreria il nostro nuovo volume, ‘La Privacy dei dati digitali’, un manuale pratico in aiuto alle aziende e ai Dpo, pubblicato sempre per FrancoAngeli editore.
