REGOLAMENTO PRIVACY UE: ULTIMI PASSI

su 30 novembre 201530 novembre 2015 da Matteo Colomboin DPO, Regolamento UELascia un commento

Oggi, 30 novembre 2015, si è tenuta la Commissione LIBE (Libertà civili, giustizia e affari interni), nel corso della quale gli attori coinvolti hanno sintetizzato lo stato dei lavori relativi al futuro Regolamento Privacy UE.

La negoziazione sul futuro Regolamento dovrebbe terminare nei prossimi due Triloghi, che si terranno uno il 10 dicembre e l’altro il 15 dicembre 2015.

I relatori, tra i quali vi è Jan Philipp Albrecht, hanno riferito che sono stati raggiunti accordi pressoché definitivi sul Capo 1 (Disposizioni Generali), ad eccezione dell’ambito di applicazione, Capo 2 (Principi), Capo 3 (Diritti dell’interessato), Capo 6 (Autorità di Controllo indipendenti), Capo 7 (Cooperazione e Coerenza), Capo 8 (Ricorsi, Responsabilità e Sanzioni), Capo 9 (Disposizioni relative a specifiche situazioni di trattamento dati: stato di salute, rapporti di lavoro, ricerca scientifica) e Capo 10 (Atti delegati).

Mancano, ad oggi, accordi sui seguenti principali istituti:

Data Protection Officer: l’obiettivo è di non lasciare ai singoli Stati la facoltatività della nomina, ma di ricercare uno standard, seppur minimo, di obbligatorietà della nomina per settori specifici;
Data Breach: si deve trovare un accordo sugli indicatori di rischio che ne facciano scattare l’obbligatorietà;
Consenso: si sta cercando un accordo su come debba essere espresso, quando debba essere ripetuto e su quale debba essere l’informativa minima;
Ricerca scientifica: si sta discutendo su quale debba essere la tutela, soprattutto per dati sensibili raccolti in occasione di ricerche epidemiologiche;
Sanzioni: si è trovato un accordo generale sulla percentuale di sanzione, che dovrebbe pari nel massimo al 2% del fatturato mondiale annuo, ma si sta ancora discutendo su come raggiungere un’armonizzazione da parte di tutte le Autorità Garanti nazionali nella relativa applicazione.

Si è raggiunto un importante accordo per quanto riguarda l’anonimizzazione dei dati, la portabilità dei dati ed il principio generale dell’approccio basato sul rischio (P.I.A.).

Rimane un tema che, seppur questo Regolamento permetterà un’armonizzazione importante e necessaria per il mercato digitale europeo, vi sono ben 68 casi di apertura alle singole normative statali che potranno derogare al Regolamento (Es. diritto del lavoro, sicurezza pubblica, salute, ecc.).

Il Regolamento sarà approvato all’inizio del 2016 ed avrà efficacia decorsi due anni (inizio 2018).

Autori: Matteo Colombo e Laura Asnaghi

Dossier Sanitario: STOP agli accessi indiscriminati ai dati dei pazienti

su 27 novembre 201527 novembre 2015 da Matteo Colomboin Dossier Sanitario, Garante PrivacyLascia un commento

IL CASO

Il Garante Privacy, all’esito di accertamenti ispettivi nei confronti dell’Azienda Usl 11 di Empoli, ha dettato una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura. Le irregolarità emerse nel corso di accertamenti ispettivi riguardavano, in particolare:

l’informativa: carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier;

il consenso: costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda;

gli accessi indiscriminati al sistema informatico: ogni medico della struttura poteva consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

LA DECISIONE

Con Provvedimento doc. web n. 4449114 il Garante Privacy ha prescritto all’Azienda entro il 31 marzo 2016 di:

adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti. Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica). Il personale amministrativo potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni;
modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi per contestare all’Azienda l’applicazione delle sanzioni amministrative previste dal Codice privacy.

Fonte: http://www.garanteprivacy.it/

Autore: Matteo Colombo

Illecito il reindirizzamento automatico dei messaggi di posta elettronica del dipendente dopo la cessazione / sospensione del rapporto di lavoro

su 26 novembre 201527 novembre 2015 da Matteo Colomboin Garante PrivacyLascia un commento

ILLECITO IL REINDIRIZZAMENTO AUTOMATICO DEI MESSAGGI DI POSTA ELETTRONICA DEL DIPENDENTE DOPO LA CESSAZIONE / SOSPENSIONE DEL RAPPORTO DI LAVORO SU INDIRIZZI DI POSTA ELETTRONICA AZIENDALE DI ALTRI DIPENDENTI.

NECESSARIA L’ADOZIONE DI UN REGOLAMENTO SULL’USO DEGLI STRUMENTI INFORMATICI AZIENDALI

Garante Privacy – Provvedimento n. 456 del 30 luglio 2015

IL CASO

Degli ex dipendenti hanno presentato ricorso al Garante Privacy lamentando che, dopo la cessazione del rapporto di lavoro con la società, gli account di posta elettronica loro assegnati venivano automaticamente reindirizzati a dei dipendenti dell’azienda utente dell’azienda. Inoltre, i ricorrenti hanno lamentato di aver appreso solo in occasione della produzione in un giudizio civile di un significativo numero di e-mail da parte della società, che quest’ultima aveva avuto accesso ai messaggi di posta elettronica dei lavoratori.

LA DECISIONE

Il Garante ha affermato il principio per cui dopo la cessazione del rapporto di lavoro, gli account di posta elettronica riconducibili a persone identificate o identificabili devono essere rimossi tramite disattivazione e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento (e non eventuali account privati riferiti agli ex dipendenti).

Non è conforme alla normativa privacy il reindirizzamento automatico dei messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato (o in ipotesi di non meglio precisata “sospensione” del rapporto stesso) su indirizzi di posta elettronica aziendale attribuiti ad altri dipendenti.

In merito all’accesso alle caselle di posta elettronica dei dipendenti da parte del datore di lavoro, il Garante ha, inoltre, ribadito che il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità e, in applicazione dei principi di liceità e correttezza dei trattamenti di dati personali, informare in modo chiaro e dettagliato circa le consentite modalità di utilizzo degli strumenti aziendali e l’eventuale effettuazione di controlli anche su base individuale.

L’assenza di un Regolamento / Policy scritta al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.

L’informativa ai dipendenti deve riguardare anche le modalità (compresi i tempi) di conservazione dei contenuti e dei file di log relativi alla posta elettronica in transito sugli account aziendali nonché le operazioni di trattamento che possono essere effettuate dall’amministratore di sistema per finalità connesse alla fornitura del servizio.

Fonte: http://garanteprivacy.it

Autore: Matteo Colombo

Regolamento Privacy UE | A che punto siamo sul Data Protection Officer?

su 13 novembre 201513 novembre 2015 da Matteo Colomboin DPO, Regolamento UE, Senza categoria, Unione EuropeaLascia un commento

In questi giorni ho avuto modo di leggere un interessante articolo pubblicato da IAPP (International Association of Privacy Professionals) e di confrontarmi con alcuni colleghi DPO che lavorano a Bruxelles.

La domanda che tutti ci poniamo è:

Alla fine del Trilogo la figura del DPO sarà obbligatoria o solo suggerita ?

Come sapete negli ultimi 3 anni sono state redatte 3 diverse versioni di bozze di Regolamento Privacy UE ed in particolare quelle di: Commissione Europea, Parlamento Europeo e Consiglio d’Europa.

Se inizialmente le bozze di Regolamento della Commissione e del Parlamento parlavano di DPO obbligatorio per una serie di aziende, l’ultima versione del Consiglio d’Europa (CDE) ha rivisto sostanzialmente l’articolo 35 prevedendo la figura del DPO facoltativa ad eccezione di disposizioni specifiche dei singoli Stati membri.

In questi mesi, in sede di Trilogo, la divisione delle parti è rimasta, ma entro fine dicembre 2015 dovranno terminare i lavori e gli Stati arriveranno ad una posizione comune che, sia pure di compromesso, dovrà essere trovata.

I “rumors” dicono che un accordo potrebbe essere trovato rendendo la figura del DPO obbligatoria in due casi:

Numero di persone interessate. Dalle iniziali 5.000 si dovrebbe passare ad una cifra compresa fra 50.000 e 500.000 (quindi grandi DB – si pensi al marketing o alla P.A.);
Tipologia dei dati trattati. Ossia nel caso in cui l’attività principale del Data Controller riguardasse il trattamento di dati speciali (ex dati sensibili e giudiziari) ed in particolare dati sanitari. A ciò si aggiungano i Data Controller che trattano dati finanziari o dati di minori.

13 novembre 2015

Autore: Matteo Colombo

PRIVACY DPO

Mese: novembre 2015

REGOLAMENTO PRIVACY UE: ULTIMI PASSI

Dossier Sanitario: STOP agli accessi indiscriminati ai dati dei pazienti

Illecito il reindirizzamento automatico dei messaggi di posta elettronica del dipendente dopo la cessazione / sospensione del rapporto di lavoro

Regolamento Privacy UE | A che punto siamo sul Data Protection Officer?

Condividi:

Condividi:

Condividi:

Condividi: