VERSIONE ITALIANA DEL REGOLAMENTO PRIVACY UE

È finalmente stata pubblicata la versione italiana del futuro Regolamento UE sulla Protezione dei Dati (GDPR) | è la versione approvata il 15 dicembre 2015.

Prima della pubblicazione sulla Gazzetta Ufficiale europea, che avverrà in primavera, saranno introdotte alcune piccole variazioni “tecniche” e di traduzione.

CLICCA QUI PER LEGGERE LA TRADUZIONE DEL FUTURO REGOLAMENTO UE

Regolamento Privacy UE

 

2° CONGRESSO ANNUALE ASSO DPO 2016

Dopo il successo della prima edizione del Congresso Annuale di ASSO DPO, l’Associazione Data Protection Officer si presenta con un nuovo evento che conferma la propria posizione all’interno del panorama Internazionale in materia di Privacy e Data Protection Officer.

Il programma quest’anno prevede due giornate:

  • 18/04   Pre-Congresso con Tavola Rotonda 
  • 19/04   Congresso Annuale

Nel pomeriggio del 18 aprile 2016 presso il Museo di Storia Naturale di Milano organizzeremo una Tavola Rotonda con le principali Associazioni Privacy Europee e alcuni DPO italiani per discutere del Ruolo del Data Protection Officer in Europa.

Il 19 aprile 2016 dalle ore 9.00 alle 17.00, la prestigiosa sede di Palazzo Mezzanotte a Milano – London Stock Exchange Group accoglierà invece il Congresso Internazionale.

Nel centro nevralgico della città si confronteranno come relatori i più importanti Referenti Privacy/DPO di Multinazionali e Autorità Garanti. Un panel di interlocutori a livello Europeo che riconferma l’importanza e l’impatto del nuovo Regolamento Privacy UE.

Visti i posti limitati, soprattutto per il pre-congresso con solo 120 posti disponibili, per premiare i nostri associati sino al 01 febbraio 2016 le iscrizioni saranno concesse in prelazione solo ai soci ASSO DPO.

CLICCARE QUI PER ISCRIVERSI

Quindi vi invito ad iscriverVi entro tale data al fine di evitare di perdere la possibilità di partecipare a questo evento fondamentale e imperdibile per tutti i professionisti della Privacy.

SERVIZIO DI TRADUZIONE SIMULTANEA ITALIANO/INGLESE E INGLESE/ITALIANO
Per maggiori informazioni: www.congressoassodpo.it

Matteo Colombo
Presidente di ASSO DPO

2nd ANNUAL CONGRESS ASSO DPO 2016

After the successful first edition of the ASSO DPO Congress, the Italian Association of Data Protection Officer ASSO DPO is deligthed to announce the next  ASSO DPO Annual Congress which confirms our position  in the international field of Privacy and Data Protection.

This year the Program is divided in two days:

  • 18/04 Pre-Congress Workshop with the Round Table
  • 19/04 Main Annual Congress

On 18th April 2016 afternoon at Natural History Museum we are going to organize a Round Table with the main European Privacy Associations to discuss the Role of the Data Protection Officer in Europe.

On 19th April 2016 from 09:00 a.m. to 17:00 p.m, Palazzo Mezzanotte – the Italian Stock Exchange Headquarter (London Stock Exchange Group – http://www.lseg.com/it/palazzo-en) will be the location of our International Congress.

In the heart of the city, European Data Protection Authorities, Italian and European DPOs will discuss and share their insights on Data Protection. A panel of Speakers at european level will confirm the importance and the impact of the new Regulation in Privacy field.

SIMULTANEOUS TRANSLATION SERVICE ITALIAN / ENGLISH AND ENGLISH / ITALIAN
For more information: www.congressoassodpo.it

Matteo Colombo
ASSO DPO PRESIDENT

Corte di Giustizia Europea e Safe Harbor | che fare ?

La Corte di Giustizia dell’Unione Europea il 06 ottobre 2015 ha dichiarato invalidi i principi privacy del c.d. “Safe Harbor” relativi al trasferimento dei dati negli Stati Uniti d’America.

Per la Corte l’invalidità è basata sul fatto che i dati trasferiti negli Stati Uniti ai sensi dei principi previsti dalla Direttiva Privacy UE non godrebbero di un livello di protezione dei dati personali equivalente a quello assicurato nel territorio dell’Unione Europea (cfr. caso Snowden).

Infatti, il problema principale rilevato è che gli accordi di Safe Harbor non hanno impedito alle Autorità Pubbliche Americane di monitorare e di accedere ai dati europei trasferiti negli Stati Uniti, anche in circostanze che non si possono considerare necessarie.

L’Autorità Garante Italiana ha evidenziato come sia necessario fornire una risposta coordinata a livello europeo anche da parte delle varie DPA, le quali stanno valutando le modalità più efficaci per individuare linee-guida comuni applicabili ai trasferimenti dei dati verso gli Stati Uniti d’America.

Cosa dovremo fare?
Dovremo bloccare il trasferimento e il trattamento dei dati negli Stati Uniti per quelle società che basano il principio di adeguatezza solo sull’essere certificate "Safe Harbor"? 

La decisione non blocca o sospende automaticamente il trasferimento dei dati verso gli Stati Uniti. Tale potere spetta alle competenti autorità nazionali, ovvero per quanto concerne l’Italia al Garante per la protezione dei dati personali.

Tuttavia, alla luce della decisione della Corte di Giustizia dell’Unione Europea, è verosimile che i trasferimenti di dati verso gli Stati Uniti basati esclusivamente sul regime “Safe Harbor” potranno essere  oggetto di contestazione.

Le aziende, a parere di chi scrive e di altri autorevoli DPO,  in attesa di una presa di posizione politica a livello UE e dei Garanti Privacy, anche attraverso una decisione del WP29, dovrebbero:

  • rivedere ed analizzare i dati trasferiti negli Stati Uniti ai sensi del “Safe Harbor”, ivi compresi gli accordi con i fornitori americani che fanno affidamento su tali principi;
  • limitare questi trasferimenti di dati a ciò che è essenziale per il business della società;
  • adottare le c.d. “standard contractual clauses” | contratti tipo espressamente approvati dalla Commissione Europea e già utilizzati dalle società.
  • prevedere la possibilità di presentare richiesta per Binding Corporate Rules (BCR), strumento volto a consentire il trasferimento dei dati solo tra società facenti parti dello stesso gruppo di imprese.

Tutto ciò sperando che questa decisione non faccia venir meno anche la legittimità in futuro di tali strumenti.

Le aziende ed i propri Data Protection Officer che si trovano in questa condizione dovrebbero quindi compiere una dettagliata verifica di conformità interna | audit sulle modalità in cui i dati vengono trasferiti negli Stati Uniti e dovranno cercare di minimizzare i rischi di future contestazioni.

07 ottobre 2015

Job Act e Privacy

Oggi, 17 settembre 2015, è stato finalmente pubblicato sul sito del Governo Italiano: http://www.governo.it/backoffice/allegati/79287-10412.pdf il testo definitivo della riforma dell’art. 4 dello Statuto dei Lavoratori.

Titolo II
Disposizioni in materia di rapporto di lavoro e pari opportunità

Capo I Disposizioni in materia di rapporto di lavoro

ART. 23
Modifiche all’articolo 4 della legge 20 maggio 1970, n. 300 e all’articolo 171 del decreto legislativo 30 giugno 2003, n. 196)

L’articolo 4 della legge 20 maggio 1970, n. 300 è sostituito dal seguente:

ART. 4. Impianti audiovisivi e altri strumenti di controllo

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.

Commento: E’ quindi possibile utilizzare da parte delle aziende impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, previa concertazione con le parti sindacali nelle modalità descritte, limitatamente alle 3 ipotesi elencate e più precisamente:
a) Esigenze organizzative e produttive;
b) Sicurezza del lavoro;
c) Tutela del patrimonio aziendale.
Permane il divieto di utilizzo di impianti audiovisivi e di altri strumenti che abbiano quale finalità unica e esclusiva il controllo a distanza del lavoratore.

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Commento: l’esclusione dell’accordo sindacale si amplia, oltre che a strumenti di registrazione accessi e delle presenze (vedi badge) a quegli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (computer | smartphone | posta elettronica ecc.).

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Commento: E’ questa una delle parti più contestate perché stabilisce che se viene data idonea informativa al lavoratore ai sensi dell’art. 13 e se si seguono i dettami del TU Privacy (compresi Provvedimenti e Linee guida specifici) le informazioni raccolte dall’azienda potranno essere utilizzabili per tutti i fini connessi al rapporto di lavoro compresi i fini disciplinari.

Questo cambia approccio rispetto all’indirizzo giurisprudenziale che sino ad oggi ha escluso l’utilizzabilità dei dati ottenuti con controlli difensivi, per provare l’inadempimento contrattuale del lavoratore e rispetto alla Raccomandazione del 1°aprile 2015 del Consiglio d’Europa, che fra l’altro auspica la minimizzazione dei controlli difensivi svolti attraverso strumenti elettronici.

Ultimo baluardo per un divieto di controllo massivo degli strumenti di lavoro rimane quindi l’applicazione dei fondamentali principi Privacy (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione) ai quali probabilmente il Garante Privacy dedicherà uno o più nuovi Provvedimenti specifici alla luce della riforma del Job Act.

4. L’articolo 171 del decreto legislativo 30 giugno 2003, n. 196, è sostituito dal seguente:

“ART. 171. Altre fattispecie.

1. La violazione delle disposizioni di cui all’articolo 113 e all’articolo 4, primo e secondo comma, della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della legge n. 300 del 1970”.

Commento: La riforma introduce una sanzione specifica per i casi di inosservanza dell’art. 4 dello Statuto dei Lavoratori ossia quella prevista dall’art. 38 della stessa legge. Pertanto, salvo che il fatto non costituisca più grave reato, la sanzione sarà l’ammenda da 154 a 1.549 euro o l’arresto da 15 giorni a un anno, con applicazione di entrambe le pene (sia l’ammenda e sia l’arresto) nei casi più gravi e ferma restando la possibilità, per il giudice, di quintuplicare l’ammenda (facendola quindi arrivare a 7.745 euro) qualora dovesse ritenerla inefficace negli importi ordinari, sulla base delle condizioni economiche del datore di lavoro.

Matteo Colombo

Privacy: nuova Legge dello Stato Russo: che fare ?

Legge Federale russa n. 242 del 21 luglio 2014

shopware2

Il 1 settembre 2015 è entrata in vigore la Legge Federale russa n. 242 del 21 luglio 2014.
La nuova legge sulla localizzazione dei dati personali prescrive che tutti i dati personali dei cittadini russi trattati da società estere, siano conservati e trattati in Russia senza esenzioni per i dati commerciali. L’operatore estero dovrà garantire che la registrazione, la sistematizzazione, il salvataggio, l’archiviazione, l’aggiornamento e il recupero dei dati personali dei cittadini russi debbano essere effettuati solo in database situati nello Stato Russo.

Chi è soggetto a tale Legge?

  1. Le società estere con presenza legale in Russia;
  2. Le società estere non presenti legalmente in Russia ma che forniscono servizi on-line ai cittadini russi (es. e-commerce).

A titolo esemplificativo rientrano nell’applicazione normativa:

a) utilizzo di siti web registrati e/o ubicati in Russia;
oppure
b) utilizzo di un sito internet in lingua russa;

e almeno una delle seguenti opzioni:

  1. siti che offrono la possibilità di effettuare pagamenti in rubli;
  2. annunci pubblicitari per la promozione di un sito internet in Russia;
  3. strategie di marketing che coinvolgono cittadini russi.

Principali azioni da intraprendere:

  • Risk Assessment per stabilire se la società tratta dati come previsto dalla Localisation Law russa
  • policy interne e definire dove far risiedere i dati in Russia
  • informative e consensi specifici
  • notifica alla Local DPA (Roskomnadzor)
  • Data Transfer Agreement

Fonte: http://eng.rkn.gov.ru/

Dossier Sanitario Elettronico

DataGuidance, editor inglese leader mondiale in materia Privacy che si avvale della collaborazione di importanti Privacy Officer internazionali, ha pubblicato un articolo scritto dall’A.D. di Labor Project srl e Presidente di ASSO DPO, Dott. Matteo Colombo, sul tema del Dossier Sanitario Elettronico.

Cliccare qui per registrarsi al sito di DataGuidance e leggere l’intero articolo

Cliccare qui per leggere un estratto dell’articolo

 DataGuidance