Responsabile del trattamento

Risultati immagini per titolare trattamento dati 679Responsabile del Trattamento, una delle peculiarità del Regolamento generale sulla protezione dei dati rispetto alla normativa previgente è, certamente, il ruolo del di questa figura.

L'avv. Cristina Virarelli, ha già parlato dei problemi di traduzione, composti grazie all’intervento dell’Autorità Garante, e non mi dilungherò di nuovo su questo, se non per ricordare che le traduzioni di pareri del Gruppo di lavoro dei Garanti (WP29), precedenti al Regolamento, recano ancora i termini “responsabile” e “incaricato” per indicare il “controller” e il “processor” termini che oggi vengono tradotti come “titolare” e “responsabile”. Nel corso di questa breve disamina, trovandomi a richiamare il parere 1/2010 del WP29 renderò sempre con “titolare” e “responsabile” i termini  “controller” e “processor”, sostituendo direttamente la differente e confusoria terminologia utilizzata nelle traduzioni ufficiali.

Il “nuovo” responsabile del trattamento

Il Regolamento generale sulla protezione dei dati non muta di una virgola la definizione di titolare e responsabile del trattamento rispetto alla direttiva 95/45/CE che lo ha preceduto.

Il titolare (“controller”)  era definito nella direttiva come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali (.…)”

Il Responsabile (“processor”) invece era indicato come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento”.

Nel Regolamento generale queste figure sono definite rispettivamente come:

«titolare del trattamento» (controller): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (…).

«responsabile del trattamento» (processor): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

La novità del Regolamento, pertanto, non si annida nelle definizioni, pressoché identiche alle precedenti, ma nella rivoluzione copernicana che, nel suo complesso, il Regolamento fa compiere alla tutela dei dati personali, facendola passare da un approccio basato su adempimenti calati dall’alto a un approccio basato sul rischio, e consegna la protezione dei dati nelle mani del titolare, il quale, grazie al principio di responsabilizzazione, (“accountability”) potrà, nei limiti e dentro i parametri delineati dal Regolamento, adottare le misure che ritiene più opportune e comprovare il conseguimento degli obiettivi che ha raggiunto nel rispetto dei principi che presiedono il trattamento (lecito) dei dati personali.

Tale nuovo impianto lambisce anche il ruolo del responsabile del trattamento, il quale è insignito di nuovi compiti, condivide in certa misura le responsabilità del titolare in ordine al risarcimento del danno a terzi, ed è oggetto di autonome sanzioni amministrative, a differenza di quanto avveniva con il codice privacy, ove la sanzione amministrativa era sempre diretta contro il titolare.

Non solo: la nomina a responsabile è obbligatoria e non più facoltativa.

L’individuazione del responsabile non avviene più, quindi, a discrezione del titolare, ma è un atto dovuto. Non solo: la designazione del responsabile emerge ex se dallo stato di fatto: il titolare e il responsabile regoleranno i loro rapporti contrattualmente, ma non sarà possibile forzare l’assetto contrattuale per definire i reciproci ruoli: l’assetto contrattuale rispecchierà, invece, il concreto “potere” che questi soggetti eserciteranno sul trattamento dei dati personali, prendendo o meno decisioni in ordine alle finalità e ai mezzi del trattamento stesso.

Le garanzie di affidabilità del responsabile, ove si esternalizzi un servizio, pertanto, dovranno essere valutate attentamente già in fase di affidamento, dato che, come già avveniva con il codice privacy, il trattamento potrà essere affidato dal titolare solo a chi presenti “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Responsabile interno o responsabile esterno?

I primi commentatori del Regolamento hanno evidenziato come il ruolo del responsabile del trattamento tratteggiato nel Regolamento sia cucito addosso al solo Responsabile esterno, notando come vi siano i talune indicazioni che non hanno senso se trasferite all’interno del rapporto di lavoro – su tutte, a titolo esemplificativo, si riporta l’obbligo di predisporre una idonea contrattualistica che preveda anche che il responsabile “metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato” (art. 28 c. 3 lett. h del Regolamento).

Nel tempo, però, questa posizione prima piuttosto uniforme si è frastagliata e oggi vi sono autorevoli commentatori che ritengono che sia possibile anche configurare un responsabile interno.

Tali argomentazioni poggiano sia sul fatto che la figura del responsabile interno non è espressamente esclusa dalla normativa europea, sia su alcune interpretazioni letterali, sia, infine, su talune annotazioni organizzative.

Il dato letterale

Per ricavare l’inquadramento del responsabile all’interno della struttura del titolare si può fare riferimento al tenore letterale della traduzione italiana del Regolamento, dandone una lettura aderente al diritto interno, risultato che si ottiene enfatizzando  i termini ’”organismo” o “servizio”, che nel nostro Paese possono, in effetti, richiamare un qualche affidamento all’interno della struttura del titolare. E’ lecito domandarsi però se sia opportuno interpretare il dato letterale di una sola traduzione senza interrogarsi sul senso di tali espressioni nelle altre lingue ufficiali, e senza valutare il significato che possano avere acquisito sul piano europeo.

Anzi sul piano europeo si è affermata l’interpretazione opposta: l’ICO, ad esempio, ha richiamato la precedente definizione di responsabile contenuta nel “Data Protection Act” (il codice privacy del Regno Unito, per intenderci, che escludeva espressamente che il ruolo potesse di responsabile essere affidato a dipendenti del titolare) sostenendo che la formulazione del Regolamento (che pure non riporta espressamente l’esclusione dei dipendenti)  nulla  muta rispetto all’individuazione di titolare e responsabile ivi contenute (cfr. ICO GDPR guidance: Contracts and liabilities between controllers and processors: “a processor is a natural or legal person or organisation which processes personal data on behalf of a controller.

If you are not sure whether you are a controller or a processor, please refer to our guidance Data controllers and data processors. Although it is based on the Data Protection Act 1998 (DPA), the parts of the guidance setting out how to determine who is the controller and who is the processor are still relevant under the GDPR.”

Fonte: https://ico.org.uk/media/about-the-ico/consultations/2014789/draft-gdpr-contracts-guidance-v1-for-consultation-september-2017.pdf)

Neppure il CNIL, che ad oggi presiede il WP29, pare sposare un simile orientamento: nella guida ai responsabili che ha pubblicato nel settembre 2017 per agevolare l’applicazione del Regolamento (GUIDE DU SOUS-TRAITANT EDITION SEPTEMBRE 2017) non solo si riferisce espressamente alla sola figura del responsabile esterno, inquadrando i rapporti tra titolare e responsabile più volte in termini di fornitore e cliente, ma richiama anche, espressamente, il Parere 1/2010 (WP 169)  sui concetti di titolare e responsabile del trattamento, dimostrando di ritenerlo ancora attuale.

Il Parere 1/2010 del Gruppo di lavoro Art. 29

Il Parere del WP29 richiamato dal CNIL aveva già affrontato il problema dell’inquadramento del responsabile come soggetto interno o esterno, in particolare indagando se quel trattare i dati “per conto” del titolare possa includere anche i soggetti interni alla sua struttura (argomento che potrebbe utilizzarsi anche oggi, per sostenere la compliance al Regolamento di un ruolo interno).

Ebbene, diceva il WP29 che l’esistenza di un responsabile del trattamento dipende da una decisione presa dal titolare del trattamento. Quest’ultimo può decidere o di trattare i dati all’interno della propria organizzazione – ad esempio attraverso collaboratori autorizzati a trattare i dati sotto la sua diretta autorità-, o di delegare tutte o una parte delle attività di trattamento a un’organizzazione esterna, cioè, come indica la relazione della proposta modificata della Commissione, a una “persona giuridicamente distinta dal titolare ma che agisce per conto di quest’ultimo“.

E’ chiara, quindi, l’intenzione del legislatore, esternata nella relazione della Commissione richiamata dal WP29, e la mera trasposizione della definizione dalla Direttiva al Regolamento non può autorizzare a presumere che l’intenzione del legislatore sia mutata.

Concludeva quindi il WP29 “Il presente parere analizza anche il concetto di “responsabile del trattamento“, la cui esistenza dipende da una decisione presa dal titolare del trattamento. Quest’ultimo può decidere o di trattare i dati all’interno della propria organizzazione o di delegare tutte o una parte delle attività di trattamento a un’organizzazione esterna. Per poter agire come responsabile del trattamento occorrono pertanto due requisiti: da un lato essere una persona giuridica distinta (rectius: entità giuridica distinta – nella versione francese è “une entité juridique distincte” n.d.r.) dal titolare del trattamento, e dall’altro elaborare i dati personali per conto di quest’ultimo. Questa attività di trattamento può essere limitata a un compito o a un contesto molto specifico, oppure può lasciar spazio a un certo margine di discrezionalità sul modo di servire gli interessi del titolare del trattamento, permettendo al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi più adeguati” (riporto anche il testo in inglese, per dare modo al lettore di valutare come il riferimento alla “persona giuridica” non vada inteso in senso tecnico: “This opinion also analyzes the concept of processor, the existence of which depends on a decision taken by the controller, who can decide either to process data within his organization or to delegate all or part of the processing activities to an external organization. Therefore, two basic conditions for qualifying as processor are on the one hand being a separate legal entity with respect to the controller and on the other hand processing personal data on his behalf. This processing activity may be limited to a very specific task or context or may accommodate a certain degree of discretion about how to serve the controller’s interests, allowing the processor to choose the most suitable technical and organizational means.”)

A livello europeo, pertanto, l’interpretazione lascia poco margine ai dubbi: la figura del responsabile interno non è data.

L’esperienza italiana

Per contro, l’Italia ha sempre ammesso il ruolo di responsabile interno.

Un disallineamento, rispetto al WP29, che affondava le radici in epoca ben precedente al parere del 2010, e che si basava sull’ampio margine di discrezionalità concesso dalla direttiva.

Discrezionalità che non sussiste con il Regolamento: ove agli Stati è concesso operare deroghe e personalizzazioni è espressamente indicato (e non sono poche ipotesi), si guardi, in proposito la definizione di titolare. Tale deroga non è presente, però, nella definizione di responsabile.

Trarre la configurabilità di un responsabile interno (con il carico di oneri, -mi si passi il gioco di parole- responsabilità e sanzioni che questi reca con sé in base al Regolamento), in via interpretativa sulla sola assenza di un divieto in tal senso appare, quindi, piuttosto azzardato.

Senza considerare il noto brocardo “Ubi lex voluit dixit, ubi noluit tacuit”: quando il legislatore ha inteso assegnare un ruolo a soggetti sia interni che esterni alla struttura del titolare lo ha detto espressamente, come nel caso del data protection officer (cfr art. 37 comma 6).

La guida del Garante  

Quanto detto sin qui basta a escludere la  configurabilità di un ruolo interno del responsabile?

Ad avviso di chi scrive basterebbe, se avessimo la certezza che il parere 1/2010 reso dal WP29 sarà mantenuto fermo una volta insediatosi il Board; innanzi tutto, quindi, occorrerebbe sapere se il ridetto parere sopravviverà, negli stessi termini,  al 25 maggio 2018: certo, a guardare le indicazioni che provengono dall’ICO e dal CNIL si potrebbe optare per il sì, ma non possiamo ancora dirlo con assoluta certezza. Vi sono indizi sul piano nazionale che facciano propendere, invece, per il mantenimento di questa figura? A guardar bene, in effetti, qualche dubbio viene… vi sono delle indicazioni pratiche che possono indurre questa convinzione  e ciò per due ordini di ragioni:

  • da un lato il Garante per la protezione dei dati personali ha annunciato di voler mantenere la figura dell’incaricato, e appare arduo a chi scrive immaginare strutture importanti composte di soli incaricati, senza responsabili. Dal punto di vista pratico, la figura di un soggetto sovraordinato agli incaricati potrebbe essere opportuna. E’ altamente probabile che, in assenza di “liberalizzazioni” sul punto (ad esempio lasciando libertà di assegnare ruoli di maggior o minore “responsabilità” agli incaricati, o eliminandoli del tutto, sulla scorta di altri paesi europei), l’esigenza di prevedere la figura del responsabile interno emerga dal basso, ovvero dalla presenza degli incaricati e dalle necessità organizzative che ne conseguono.
  • Dall’altro lato il Garante nella sintetica “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, che ha pubblicato sul proprio sito istituzionale, non ha evidenziato alcuna novità in ordine al ruolo del responsabile, e se l’Autorità avesse voluto prendere una posizione netta in merito avrebbe potuto farlo senza difficoltà: invece ha laconicamente affermato nel capitolo dedicato al titolare e al Responsabile, sotto il paragrafo “cosa non cambia” che “Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano)”.  Eppure il Codice parlava di responsabili come di soggetti “preposti dal titolare”, ammettendo pacificamente l’esistenza del responsabile interno, e dichiarava espressamente che la nomina era facoltativa. Inoltre le responsabilità definite dal Regolamento, ad avviso di chi scrive, non appaiono affatto così facilmente sovrapponibili a quelle della direttiva.

Tuttavia, se il Garante suggerisce una certa continuità tra i ruoli, evidentemente dobbiamo attenderci una continuità tra i ruoli: significa dunque che verrà ritenuto ammissibile il responsabile negli stessi termini del Codice italiano? Ossia un ruolo anche interno e facoltativo?

Che fare?

Come abbiamo visto sopra vi sono ragioni sistematiche, di matrice europea, che indurrebbero a preferire di non forzare l’interpretazione delle norme, in favore di una figura di cui buona parte dell’Europa è riuscita a fare a meno sino ad oggi senza inficiare la protezione dei dati. Dall’altra parte, però occorrerebbe da un lato che il Board restasse ancorato all’interpretazione offerta dal WP29, dall’altra che l’Italia trovasse il coraggio di “abbandonare la strada vecchia per la nuova” cosa che non è mai stata troppo nelle corde del nostro Paese. Non è impossibile, quindi, che l’Italia  mantenga l’impianto che le è più noto, ammettendo la permanenza del responsabile interno (almeno fino a che qualcuno non domandi un intervento chiarificatore sovranazionale).

Invero, il fatto che non sia giunta alcuna netta indicazione dall’Autorità su un aspetto tanto importante dal punto di vista organizzativo, se non un laconico riferimento al mantenimento dell’impianto pregresso in un’ottica di continuità, spinge a ritenere che non vi saranno mutamenti di rilievo sul punto: il passaggio da una figura sia “interna” sia “esterna” ad una solo “esterna”, e il passaggio da una figura facoltativa ad una obbligatoria avrebbero meritato un certo rilievo nel paragrafo della guida dedicato al “che cosa cambia”, ma non ve n’è traccia. Sono invece evidenziati i subresponsabili e gli obblighi di nomina del DPO e del rappresentante nello Stato.

Sarà quindi prudente, per le imprese, controllare le nomine di responsabili e incaricati, adeguando la contrattualistica relativa alla designazione del responsabile alle indicazioni offerte dal Regolamento, anche se, ove tale adempimento si rivolgesse all’interno della struttura del titolare, meriterebbero attenzione alcuni punti, da valutare in chiave giuslavoristica, afferenti le autonome responsabilità che si assume il dipendente, i nuovi compiti e poteri decisionali che sono connessi al ruolo di responsabile e la loro compatibilità con l’inquadramento e le mansioni già svolte dal dipendente (nonché rispetto alla retribuzione)  e la possibilità di incorrere  in autonome sanzioni, nonché le responsabilità in ordine al risarcimento del danno, per condotte assunte in qualità di dipendente, che, probabilmente, verranno prese in considerazione dal legislatore nella sua opera di armonizzazione sul piano del diritto interno (AGGIORNAMENTO: la nuova formulazione dell’articolo 29 del Codice privacy pare superare molte di queste discrasie, si veda “aggiornamento” in calce).

Perdurando l’incertezza e facendosi strada il sospetto malizioso che il legislatore nazionale abbia in mente di prendersi qualche licenza sul responsabile del trattamento, sarà più facile per i titolari, nel brevissimo tempo che ci separa dall’applicazione del Regolamento, revocare o modificare secondo la propria discrezione le nomine interne (comunque possibili fin tanto resta in vigore il Codice della privacy) ove si rivelassero superflue, che approntarle ex novo alla vigilia del 25 maggio 2018.

Accountability e tendenza alla burocratizzazione

E’ evidente che l’accountability e l’approccio basato sul rischio vanno in senso opposto rispetto alla burocratizzazione della privacy, che è stata la maggiore accusa da sempre rivolta alla nostra normativa nazionale. L’esperienza italiana sul punto, specialmente in ordine ai ruoli interni, non ha avuto un buon esito: un gran numero di imprese ha percepito la protezione dei dati personali come una serie di oneri burocratici da assolvere e non come un elemento da valorizzare.

Se il resto d’Europa lascia il titolare libero di gestire la propria organizzazione interna come meglio crede, permette alle imprese di competere anche sotto questo profilo: tanto più l’impresa sarà brava a proteggere i dati, tanto più sarà avvantaggiata sulla concorrenza.

L’Italia sembrava avere un discreto vantaggio in ordine all’applicazione del GDPR, date le molteplici somiglianze del proprio pregresso impianto normativo con il Regolamento, soprattutto in ordine all’acquisizione del consenso e alla tutela dei diritti dell’interessato, ma se non supera il proprio approccio tradizionale, accordando maggior fiducia ai titolari, rischia di vanificare l’esperienza maturata. L’indagine comparativa recentemente condotta dall’Autorità olandese, restituisce un’Italia fanalino di coda nella tutela dei dati personali, accanto alla Romania, mentre, come sempre, a guidare la volata, ci sono Germania e Olanda (“With the group of countries compared in this research, Germany is frontrunner in most aspects and Italy and Romania are at the other end of the spectrum. The Netherlands perform above average in most aspects”). Sarà bene che il legislatore nazionale rifletta attentamente in ordine alle procedure che intende aggiungere all’impianto regolamentare europeo  (anche al di là della mera riproposizione dei ruoli interni),  mantenendosi quanto più possibile in armonia con il resto dell’Unione, in modo da non relegare l’accountabilty ad una scialba funzione di precostituzione di documenti con sola funzione probatoria, che, mutilando nettamente la discrezionalità del titolare, finirebbe col ricondurre la responsabilizzazione nell’alveo sterile di  una piatta e blanda sfaccettatura della  responsabilità.

Continua a Leggere→

Responsabile Protezione Dati, obblighi e poteri

Risultati immagini per responsabile protezione dati 679Il Regolamento generale sulla protezione dei dati modifica profondamente la figura del responsabile del trattamento, pur mantenendone ferma la definizione rispetto alla precedente direttiva da cui era derivata anche la normativa italiana.

Il Dlgs 196/03, all’articolo 4, definiva “responsabile”, “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”, mentre l’Art. 29 del Codice privacy, rubricato “Responsabile del trattamento” disponeva:

  1. “Il responsabile è designato dal titolare facoltativamente.
  2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
  3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
  4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
  5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.”

Il Regolamento generale sulla protezione dei dati, invece, si occupa del responsabile del trattamento all’articolo 28, individuandone analiticamente doveri e responsabilità, ma i suoi compiti, come vedremo più specificamente nel prosieguo, non si esauriscono nel citato articolo. Tuttavia basterà, per ora, limitarsi a riportare la definizione offerta dall’articolo 4 del medesimo Regolamento per poter già evidenziare alcune preliminari differenze: «responsabile del trattamento» è, per il legislatore europeo, “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

La prima differenza (già da molti evidenziata) rispetto alla normativa italiana (nella formulazione dell’articolo 29 del Codice privacy sopra riportata, antecedente alla novella del 20 novembre 2017), riguardava il passaggio da un ruolo “facoltativo” a uno “obbligatorio” nel senso che nel Regolamento -ove, peraltro, è molto aumentata la capacità del titolare del trattamento di operare scelte discrezionali (seppure nel rispetto dei parametri dettati dal Regolamento stesso)-  è precluso al titolare operare una scelta discrezionale in ordine alla  designazione del responsabile del trattamento. Il titolare può, in una fase antecedente, scegliere se operare o meno l’esternalizzazione di un servizio, ma non può, una volta che abbia optato per l’esternalizzazione, scegliere se nominare o meno il responsabile del trattamento: il ruolo di responsabile emerge ex se, in base all’atteggiamento che il soggetto concretamente assume rispetto alle attività di trattamento che gli sono state delegate da parte del titolare.

Il Codice della privacy, invece, qualifica espressamente come “facoltativa” la nomina del responsabile. In ordine alla nomina dei soggetti esterni, nel tempo, la facoltatività della designazione è stata mitigata da diverse eccezioni, derivanti da alcuni provvedimenti generali del Garante (in conseguenza dei quali si era aperto anche un certo dibattito in ordine al travalicamento, da parte dell’Autorità, dei limiti segnati dalla legge).

Al di là della discussione in ordine alla fonte del potere del Garante di dettare norme in contrasto con l’impianto normativo nazionale (seppure in via di eccezione), di fatto abbiamo avuto interventi del Garante che, ponendo un obbligo di designazione che scaturiva dal concreto assetto dei trattamenti operato dal titolare, gettavano le fondamenta di un impianto molto simile a quello tratteggiato dal Regolamento generale sulla protezione dei dati, in cui non ha alcun rilievo che le parti si qualifichino contrattualmente come titolari o come titolare e responsabile. Queste qualificazioni, infatti, sono del tutto irrilevanti se non riflettono il potere di disposizione che i contraenti esercitano sui dati: saranno l’assetto dei trattamenti operati di fatto e il potere decisionale che questi soggetti sono in grado di dispiegare in ordine alle finalità e ai mezzi dei trattamenti, a qualificarne il ruolo, definendoli come titolare o responsabile.

Come si riconosce, però, il titolare, rispetto al trattamento? E cosa differenzia il titolare dal responsabile?¹

Il titolare è colui che decide in ordine alle finalità e ai mezzi del trattamento (in altre parole decide per quale scopo trattare i dati e con quali modalità operare i trattamenti), mentre il responsabile (del trattamento) si limita a trattare i “ dati personali per conto del titolare del trattamento”, secondo la definizione offerta dall’articolo 4 del Regolamento.

La definizione, quindi, ricalca perfettamente quella già contenuta nella direttiva 95/46/CE.

A questo punto è lecito domandarsi se, rispetto al Codice della privacy, vi siano mutamenti significativi (nel codice infatti la definizione era quella di soggetto “preposto” al trattamento) e se sia ancora possibile individuare il responsabile all’interno della struttura del titolare o se invece tale ruolo potrà essere ricoperto solo da un soggetto giuridicamente distinto dal titolare, quindi un soggetto esterno. Tale problematica (già trattata su queste pagine)², sebbene sia destinata a rimanere sullo sfondo per l’impatto pratico che dispiega sull’organizzazione del titolare, non è oggetto della presente analisi, che sarà limitata a individuare le novità introdotte dal Regolamento rispetto al ruolo del Responsabile del trattamento, senza declinarlo nelle peculiarità del nostro ordinamento, salvo quanto si dirà brevemente ora.

Il nuovo articolo 29 del Codice della privacy

Nel dibattito in ordine alla configurabilità o meno del responsabile interno, infatti, si è appena registrato un sorprendente intervento del legislatore nazionale il quale, con la Legge europea, ha pensato bene di modificare ed integrare anche l’articolo 29 del Codice della Privacy.

La Legge 20 novembre 2017, n. 167  “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017”³  all’articolo Art. 28 reca la modifica dell’articolo 29 del Codice della Privacy, disponendo quanto segue:
“Modifiche al codice in materia di protezione dei dati  personali, di cui al decreto legislativo 30 giugno 2003, n. 196
1. Al codice in materia di protezione dei dati personali, di cui al decreto legislativo  30 giugno  2003,  n.  196,  sono  apportate  le seguenti modificazioni:

a) all’articolo 29:

1) dopo il comma 4 e’ inserito il seguente:

«4-bis. Fermo restando quanto previsto ai commi 1, 2, 3 e  4, il titolare  può  avvalersi,  per  il  trattamento  di  dati,  anche sensibili, di  soggetti  pubblici  o  privati  che,  in  qualità  di responsabili del trattamento, forniscano le garanzie di cui al  comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la  tipologia dei dati, la durata del trattamento, gli obblighi e i diritti  del responsabile  del  trattamento  e  le  modalità  di  trattamento;  i predetti atti sono adottati in conformità a schemi tipo  predisposti dal Garante»;

2) il comma 5 e’ sostituito dal seguente:

«5. Il responsabile effettua il trattamento attenendosi  alle condizioni stabilite ai sensi  del comma  4-bis  e  alle  istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui  al  comma 2, delle proprie istruzioni e di quanto stabilito negli atti  di  cui al comma 4-bis»⁴;

E’ evidente l’intento del legislatore di  distinguere un soggetto interno da uno esterno, e spostare l’asse della discrezionalità della nomina: la nomina del responsabile è discrezionale, dice in sostanza il comma 4 bis (richiamando il comma 1, che enuncia la facoltatività della designazione), tuttavia, se il responsabile si avvale di soggetti pubblici o privati esterni per i trattamenti, deve nominarli responsabili.

Infatti, il titolare esercita la sua discrezionalità nel momento in cui decide di avvalersi di soggetti  esterni (“il titolare  può  avvalersi,  per  il  trattamento  di  dati,  anche sensibili, di  soggetti  pubblici  o  privati”), ma una volta che abbia scelto di chi avvalersi, non può scegliere se nominare o meno il prescelto responsabile: i soggetti esterni, infatti, operano solo in qualità di responsabili del trattamento.

C’è da domandarsi come la norma potrà trovare applicazione in assenza dei citati schemi tipo che l’Autorità dovrebbe emanare (presumibilmente ai sensi dell’articolo 28 comma 8, che, peraltro richiama il meccanismo di coerenza), e come faranno i titolari e i responsabili ad avvantaggiarsi sulla imminente scadenza in ordine alla contrattualizzazione dei trattamenti, in assenza degli schemi tipo che la norma impone (almeno fino al 25 maggio 2018, quando la norma interna in contrasto con il Regolamento potrà comunque essere disapplicata), ma tali interrogativi esulano dal tema del presente articolo, e meritano un’analisi mirata e certamente più dotta di quella che chi scrive potrebbe tentare.

C’è da domandarsi, anche, che senso possa avere una modifica di tale tenore, alla vigilia dell’applicabilità del Regolamento. A chi scrive pare che non abbia alcuna evidente utilità,  se non quella di preservare, accanto alla nomina a responsabile esterno, anche una nomina a responsabile “interno”⁵ che mantenga la sua natura facoltativa a si discosti dal novero delle responsabilità dettate dai data processing agreement (accordi sul trattamento), sommariamente richiamati nell’articolo solo per la parte che riguarda i responsabili esterni.

Il legislatore sembra far trasparire la pervicace intenzione di lasciar sopravvivere l’articolo 29 del Codice della Privacy, e l’impianto delle nomine interne (scritte) che reca con sé, senza scossoni o discontinuità di rilevo (al netto della compatibilità di tale scelta con la struttura europea edificata dal Regolamento -quando non proprio con la lettera del RGPD- che come detto, non è oggetto della presente disamina), pertanto, le novità in ordine al ruolo di responsabile del trattamento si moduleranno, con ogni probabilità, sul solo responsabile esterno.

I limiti del responsabile nel Regolamento

Prima di addentrarci nell’analisi del ruolo di responsabile del trattamento delineato dal Regolamento, occorre evidenziare i limiti entro cui tale ruolo si configura, puntualizzando che:

  1. Un soggetto che tratti i dati personali per conto del titolare è responsabile rispetto ai trattamenti che effettui, appunto, per conto del titolare, ma resta titolare autonomo dei trattamenti che effettui per proprio conto (ovvero dei quali decide in autonomia finalità e mezzi – come nel caso dei propri dipendenti, ad esempio);
  2. Un responsabile che, violando il Regolamento, determini finalità e mezzi dei trattamenti che effettui per conto del titolare sarà considerato titolare del trattamento in questione.

La nuova “responsabilità del responsabile” del Trattamento nel Regolamento

La prima novità di rilievo rispetto alla normativa previgente riguarda il fatto che il Codice della privacy si rivolgeva esclusivamente al titolare, prevedendo che solo al titolare fosse imputata la responsabilità per eventuali mancanze⁶.

Invece il Regolamento coinvolge entrambi gli attori del trattamento, “responsabilizzandoli”.

In tal senso va letto l’articolo 28 del Regolamento, che elenca i compiti del responsabile, enfatizzando la collaborazione che questi è tenuto a prestare al titolare e prevedendo una sua peculiare responsabilità diretta⁷.

In tal senso si legge anche l’obbligo di tenere i registri del trattamento per conto del titolare, posto dall’articolo 30 comma 2 del RGPD, o, ancora, l’obbligo di designare il responsabile della protezione dei dati (o data protection officer) dettato dall’articolo 37 sempre del RGPD.

Cosa deve fare in concreto il responsabile del trattamento?

L’Autorità francese per la protezione dei dati (Commission Nationale de l’Informatique et des Libertés) ha pensato di pubblicare una guida che, in maniera semplice e schematica, aiuti i responsabili del trattamento ad orientarsi tra i nuovi obblighi. L’autorità individua gli obblighi dei responsabili, che schematizza secondo 3 grandi insiemi (obbligo di tracciabilità e trasparenza, obbligo di garantire la sicurezza dei dati, e obbligo di avvisare, assistere e consigliare il titolare), ai quali aggiunge il fatto di dover tenere in considerazione anche gli obblighi riferiti alla protezione dei dati sin dalla progettazione e per impostazione predefinita, seppure questi ultimi,  prima facie, sembrino gravare sul solo titolare.

Tracciabilità e trasparenza

Innanzi tutto la CNIL evidenzia il fatto che il rapporto tra titolare e responsabile sia tracciabile e trasparente, effetto che si ottiene, ai sensi dell’articolo 28 del Regolamento, contrattualizzando i reciproci obblighi.

In particolare il responsabile del trattamento ha necessità di ricevere per iscritto le istruzioni in ordine ai trattamenti che effettui per conto del titolare, dato che dovrà poter dimostrare che tratta i dati personali soltanto su istruzione documentata del titolare del trattamento.

Sempre per iscritto il responsabile dovrà essere autorizzato dal titolare ad avvalersi di un sub-responsabile, nel caso in cui voglia designarne uno.

Inoltre il responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento.

Infine, dovrà anche tenere il registro dei trattamenti per conto del titolare per cui tratti i dati.

Sicurezza dei dati

Uno specifico obbligo del responsabile è quello riferito alla sicurezza dei dati: il responsabile del trattamento non ha solo l’obbligo di adottare tutte le misure che consentano un livello di sicurezza dei dati personali che sia adeguata al rischio, ma deve anche garantire la riservatezza dei trattamenti (anche vincolando alla riservatezza i propri dipendenti), deve informare il titolare del trattamento di tutte le violazioni di dati di cui sia venuto a conoscenza,  e una volta terminata la prestazione di servizi, secondo le istruzioni ricevute dal titolare, dovrà cancellare tutti dati o restituirli al titolare, e cancellare tutte le copie esistenti (a meno che non sussista un obbligo di conservazione dettato dalla legge).

Avvisare, assistere e consigliare il titolare

Al responsabile sono posti in capo anche obblighi che implicano una collaborazione col titolare che si concreta nell’avvisare, assistere e consigliare il titolare in merito al trattamento; ad esempio, in ordine al fatto di dover dare avviso al titolare, se il responsabile del trattamento ritiene che un’istruzione ricevuta dal titolare violi una qualche norma sulla protezione dei dati, ne informa immediatamente il titolare.

Egli, inoltre deve prestare assistenza la titolare per consentirgli di evadere le richieste inerenti l’esercizio dei diritti degli interessati (“tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato”).

Tenendo conto della natura del trattamento e delle informazioni a sua disposizione, dovrà aiutare il titolare a garantire la conformità con i requisiti di sicurezza del trattamento, notifica delle violazioni di dati e valutazioni di impatto sulla protezione dei dati.

Privacy by design e by default

Inoltre il responsabile dovrà tener conto del rispetto degli obblighi che discendono dai principi di privacy by design e privacy by default, cui è tenuto il titolare ai sensi dell’articolo 25 del Regolamento. Infatti, sebbene tale obbligo gravi formalmente sul solo titolare, la strumentalità che caratterizza il ruolo del responsabile ed il fatto che egli debba offrire le  garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato, implica che nel momento in cui offre un servizio al titolare (di qualsiasi tipo, anche attraverso, ad esempio, una applicazione):

  1. il responsabile, sin dalla fase di progettazione, metta in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati (privacy by design).
  2. metta in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità (privacy by default).

Ad esempio il responsabile dovrà garantire che non sia obbligatorio, dal punto di vista tecnico, compilare un campo il cui conferimento di dati è facoltativo, ma dovrà anche implementare sistemi di cancellazione automatica, di minimizzazione dei dati, di cancellazione automatica e selettiva dei dati personali contenuti in banche dati dopo un certo periodo di tempo, o di gestione dei diritti di accesso o autenticazione su richiesta degli interessati.

Cosa dovranno cominciare a fare i responsabili del trattamento per adeguarsi al Regolamento?

1. capire se occorre nominare un DPO

Il primo passo che suggerisce la  CNIL è comprendere se il responsabile deve nominare un data protection officer (responsabile per la protezione dei dati).

La nomina è obbligatoria in tre ipotesi principali:

  • il l trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  • l’attività principale, effettuata per conto del titolare, comporta il monitoraggio regolare e sistematico degli interessati su larga scala;
  • l’attività principale effettuata per conto del titolare consiste nel trattamento di dati sensibili (categorie particolari di dati personali) o giudiziari (dati relativi a condanne penali e a reati) su larga scala.

Le indicazioni per definire meglio il campo di obbligatorietà della designazione del DPO si traggono dalle Linee – guida sui responsabili della protezione dei dati (RPD o DPO) pubblicate dal Gruppo di Lavoro Articolo 29 che, al paragrafo 2.2, si dedica alla designazione del DPO da parte del responsabile, fornendo anche alcuni esempi.

La CNIL ricorda che è una buona prassi nominare il DPO, anche nei casi in cui tale designazione non sia obbligata dalla legge.

Chi scrive rammenta che le norme nazionali possono individuare altri casi in cui la nomina del data protection officer sia obbligatoria, e che, in ogni caso, tranne quando sia evidente che un soggetto non è tenuto a nominare un DPO, il WP29 raccomanda a titolari e responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un DPO, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti.

Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione (accountability).

2. Analizzare e rivedere i contratti

I contratti dovranno contenere (per iscritto):

  • l’oggetto e la durata della prestazione che il responsabile effettuerà per conto del titolare;
  • la natura e la finalità del trattamento;
  • il tipo di dati personali trattati per conto del titolare;
  • le categorie di interessati,
  • gli obblighi e i diritti del titolare del trattamento
  • gli obblighi e i diritti del responsabile del trattamento, come previsti dall’articolo 28 del Regolamento.

La CNIL fornisce anche alcuni esempi di clausole, essenzialmente ricalcate sull’articolo 28 del Regolamento, che possono essere inserite nei data processing agreement fino a quando non saranno adottate dalla Commissione Europea  le clausole standard, secondo quanto disposto dall’art. 28.7 del RGPD.

3. dotarsi di un registro dei trattamenti

Il responsabile del trattamento, quando previsto dal Regolamento,  deve tenere un registro dei trattamenti che effettua per conto del titolare.

Il registro, che deve essere tenuto per iscritto,  deve contenere:

  • il nome e i dati di contatto di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento;
  • il nome e i dati di contatto del responsabile stesso o dei responsabili del trattamento, se sono più di uno;
  • il nome e i dati di contatto del responsabile della protezione dei dati (data protection officer) se applicabile;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, e la documentazione delle garanzie adeguate su cui si fondano;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del Regolamento.

La CNIL evidenzia come se il responsabile svolge trattamenti per proprio conto, dovrà tenere un altro registro, relativo a quei trattamenti dei quali è titolare: in questi casi andranno tenuti non uno, ma due registri.

È il caso di ricordare che il tema del registro dei trattamenti è stato affrontato anche dal Garante privacy nella sua “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”.  Il Garante ha ricordato che il registro deve avere forma scritta, ma che questa può essere anche elettronica, ed ha richiamato l’attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all’art. 38 del Codice privacy e quelli che devono costituire il registro dei trattamenti ex art. 30 Regolamento; ha anche dato atto che l’Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni.

Il Garante ha ricordato, altresì, l’opportunità di procedere, comunque, a una ricognizione dei trattamenti effettuati, catalogandoli sulla base degli elementi sopra elencati e ciò anche prima di predisporre il registro vero e proprio e a prescindere dai limiti dimensionali dell’impresa.

Obblighi del responsabile che nomini un sub-responsabile

Il responsabile del trattamento può designare un altro responsabile del trattamento previa autorizzazione scritta del titolare del trattamento.

l’autorizzazione può essere:

  • specifica, cioè accordata per un solo particolare sub-responsabile, oppure
  • generale, e in questo caso il responsabile del trattamento dovrà informare il titolare del trattamento di eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

Al sub-responsabile, mediante un contratto, sono imposti gli stessi obblighi in materia di protezione dei dati contenuti nel contratto stipulato tra il titolare del trattamento e il responsabile del trattamento.

E’ importante che il responsabile si avveda che qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, sarà egli stesso a doverne rispondere al titolare: il responsabile iniziale, infatti, conserva nei confronti del titolare del trattamento la piena responsabilità per il corretto adempimento del sub-responsabile.

Ruolo del responsabile in una violazione dei dati

La violazione dei dati personali è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il responsabile del trattamento, venuto a conoscenza di una violazione, ne informa il titolare del trattamento senza ingiustificato ritardo.

Il titolare a quel punto potrà trovarsi a dover notificare la violazione all’Autorità, ai sensi dell’articolo 33 del RGPD, e, nei casi di cui all’articolo 34 RGPD, anche a comunicarla all’interessato.

A norma dell’articolo 28 RGPD il responsabile deve assistere il titolare nel garantire la conformità dei trattamenti alle norme che presiedono alla loro sicurezza, comprese quelle inerenti la violazione dei dati personali. Le linee guida in tema di violazione dei dati personali pubblicate in bozza dal Gruppo di lavoro articolo 29 (in fase di consultazione pubblica sino al 28 novembre 2017) hanno chiarito che il contratto tra titolare e responsabile può quindi prevedere anche la possibilità che il responsabile effettui notifiche e comunicazioni per conto del titolare.

Quindi nel caso in cui vi sia una pattuizione che preveda espressamente tale ipotesi nel contratto che lega titolare e responsabile, il responsabile potrà anche ricevere istruzioni in ordine alle modalità di effettuazione della notifica della violazione all’Autorità e alla comunicazione agli interessati.

Ruolo del responsabile nella valutazione di impatto

A dover effettuare la valutazione di impatto sulla protezione dei dati a norma dell’articolo 35 RGPD è il titolare, e la relativa responsabilità gli pende in capo e non può essere traslata sul responsabile.

L’unico obbligo che si configura in capo al responsabile riguarda  il fatto che quest’ultimo deve assistere il titolare nella conduzione della DPIA fornendo ogni informazione necessaria. Questa forma di assistenza dovrà essere prevista nel contratto con il titolare.

Il responsabile beneficia dello sportello unico?

Anche il responsabile stabilito in UE, in caso di trattamenti transfrontalieri, può beneficiare dello  “sportello unico” che gli consente di rapportarsi, per lo più, con una sola Autorità territoriale che viene denominata “capofila”.

Il criterio per l’individuazione dell’autorità capofila è quello dello stabilimento principale, che per il responsabile è il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento in cui sono condotte le principali attività di trattamento.

Il responsabile che non è stabilito in UE è comunque soggetto al Regolamento?

Anche se non è stabilito in UE, il responsabile del trattamento è soggetto al Regolamento se:

  • tratti, per conto del titolare, dati di interessati che si trovano nell’Unione offrendo loro beni o servizi, anche gratuiti
  • monitori, per conto del titolare, il loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’Unione

In questi casi il responsabile deve nominare un rappresentante nell’unione che funga da interlocutore per le autorità di controllo e per gli interessati.

Che succede se il responsabile del trattamento viene meno ai suoi obblighi?

Chiunque subisca un danno materiale o immateriale causato da una violazione del RGPD ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Quindi il responsabile potrebbe essere tenuto a rifondere i danni causati dal trattamento effettuato in violazione della normativa, ma non solo: il responsabile può anche essere destinatario di sanzioni amministrative che possono giungere, a seconda della gravità dell’infrazione commessa sino a 10 o 20 milioni di Euro o, per le imprese,  sino al 2% o al 4% del fatturato globale annuo.

Sanzioni che, a titolo esemplificativo, potrebbero applicarsi nei seguenti casi:

  • se il responsabile agisse travalicando le lecite istruzioni del titolare o contrariamente a tali istruzioni;
  • se il responsabile non aiutasse il titolare a rispettare i suoi obblighi (ad esempio per una notifica di una violazione di dati o per una valutazione di impatto);
  • se il responsabile non mettesse a disposizione del titolare le informazioni che gli consentirebbero di dimostrare il rispetto degli obblighi gravanti sul titolare stesso, o che gli permetterebbero di effettuare l’audit;
  • se il responsabile non informasse il titolare che una sua istruzione costituisce violazione del RGPD;
  • se designasse il sub-responsabile senza essere stato previamente autorizzato dal titolare;
  • se si rivolgesse a un sub-responsabile che non presentasse garanzie sufficienti;
  • se non designasse il DPO essendovi obbligato
  • se non tenesse il registro delle attività di trattamento svolte per conto del titolare

Conclusioni

La figura di responsabile che emerge dal Regolamento è piuttosto complessa, l’intreccio di obblighi e responsabilità necessita di un solido supporto contrattuale, che ne tessa la trama e ne riordini le fila, per consentire ai principali attori del trattamento un’immediata comprensione delle condotte che devono tenere per garantire gli interessati e garantirsi l’immunità dalle sanzioni.

La guida dell’Autorità garante francese che qui si è cercato di seguire quanto più possibile (ma della quale si consiglia la lettura diretta, essendo ben più semplice e sintetica del presente scritto) ha il pregio di schematizzare e semplificare una normativa a tratti frammentata, di lettura non sempre agile, e di darne una visione d’insieme ispirata a indubbia concretezza.

In calce alla guida sono riportate delle clausole esemplificative, che possono ispirare anche la contrattazione nostrana, nei limiti in cui l’infelice, recentissimo, intervento del legislatore non ce lo precluda (ma chi scrive ritiene che la norma, mancando la condizione che la renderebbe applicabile -perché gli schemi contrattuali cui si riferisce non esistono- sia destinata, almeno in parte qua, a non produrre alcun effetto).

Quelli forniti dalla CNIL sono meri esempi, non certo schemi tipo o clausole standard vincolanti, dai quali pertanto ci si può discostare, e che possono essere personalizzati secondo necessità, ma costituiscono un ottimo punto di partenza, riassumendo in un unico documento tutti gli aspetti che si dovranno tenere in considerazione nella redazione dei contratti tra titolare e responsabile in ordine ai trattamenti, compreso il mandato per la notifica per le violazioni di dati, che non emerge ictu oculi dal disposto dell’articolo 28 del Regolamento, ma che potrebbe essere utile nella pratica, soprattutto ove il responsabile abbia una dimensione molto maggiore e una struttura più efficace e organizzata di quella del titolare.

Sanzioni amministrative GDPR

sanzioni amministrative pecuniarie, articolo 83 del regolamento europeo 679/2016

Sanzioni amministrative pecuniarie, ragguagli sull'articolo 83 del nuovo regolamento europeo privacy 679/2016

1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi dell’Articolo 83 del Regolamento Europeo 679/2016 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

  • la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  • il carattere doloso o colposo della violazione;
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  • l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e
  • eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave.

4. In conformità del paragrafo 2 dell'articolo 83, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

  • gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 (condizioni applicabili al consenso dei minori), 11, da 25 a 39, 42 e 43;
  • gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
  • gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4.

5. In conformità del paragrafo 2 dell'articolo 83, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

  • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5 (Principi applicabili al trattamento di dati personali), 6 (Liceità del trattamento), 7 (Condizioni per il consenso ) e 9 (Trattamento di categorie particolari di dati personali) ;
  • i diritti degli interessati a norma degli articoli da 12 a 22;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.

6. In conformità del paragrafo 2 dell'art.83, l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

7. Fatti salvi i poteri correttivi delle autorità di controllo a norma dell'articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

8. L'esercizio da parte dell'autorità di controllo dei poteri attribuiti dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell'Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

9. Se l'ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l'azione sanzionatoria sia avviata dall'autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica.

GDPR (Privacy, 679/2016)

http://nethive.it/wp-content/uploads/2017/11/regolamento-GDPR.pngGDPR, l'Italia, insieme al resto delle nazioni europee, dovrà prepararsi ad un nuovo cambiamento rilevante relativo al trattamento dei dati personali ed alla loro protezione. Questa volta è l'Unione Europea a dettare un nuovo approccio che farà registrare, senza distinzioni, un forte impatto su legislazioni, aziende, cittadini, authority di tutto il continente europeo.
Il nuovo regolamento europeo entrerà in vigore nel 2018 e coinvolgerà tutti coloro che producono, conservano o cancellano dati, promuovendo, addirittura, la creazione di nuove figure professionali specifiche.
Tutti abbiamo appreso del recente provvedimento del garante per la protezione dei dati personali relativo alla necessità di implementare una serie e informazioni e/o comunicazioni relativamente alla presenza di cookie all'interno di portali e siti web (argomento ben noto a tutti i web designer o web agency che si occupano di realizzazione si siti web). 
L’ultimo intervento dell’UE, assolutamente indispensabile nell’era digitale e del web, ha invece come obiettivo la previsione di una regolamentazione comune tra i vari Stati ai quali verrà concesso un periodo di almeno due anni per cercare di coordinare le normative esistenti con il nuovo assetto giuridico di riferimento.

Il Regolamento dell’Unione Europea sulla protezione dei dati (GDPR, 679/2016), è stato approvato nel dicembre 2016 e porterà significativi cambiamenti nel corso di 2/3 anni. Il testo presenta, infatti, alcune novità molto interessanti per il nostro quadro giuridico.

Nell'era di Internet occorreva una regolamentzione dei dati che circolano sui cloud, delle banche dati delle forze dell’ordine intercomunicanti tra loro e dei social network, nasce la GDPR, si era manifestata da tempo l’esigenza di prevedere una regolamentazione che fosse comune tra i vari Paesi, soprattutto, in caso di scambio di dati oltre le frontiere.

Al contempo, tuttavia, alcuni interpreti hanno messo in evidenza la forse eccessiva libertà che il Regolamento lascia agli Stati di integrare e dettagliare il quadro giuridico con il rischio di perdere l’attenzione verso l’uniformità sovranazionale.

L’attenzione del legislatore europeo ha reso necessario l'introduzione della nuova GDPR, rivolta ai privati, alle aziende e al settore pubblico, e mira a garantire un ambiente dei dati sicuro. Riassumendo, le novità che hanno più attirato gli operatori del settore sono le seguenti:

  • il diritto all’oblio;
  • la portabilità dei dati;
  • l'analisi del rischio e la valutazione dell’impatto sulla privacy;
  • l'informativa più dettagliata con maggiori tutele per l’interessato (nonché, obblighi per i controller);
  • la cosiddetta privacy by design;
  • la nascita del Data Protection Officer.

Il regolamento generale sulla protezione dei dati (GDPR) mira sia a rafforzare il livello della loro protezione per le persone fisiche i cui dati personali sono oggetto di trattamento, sia a migliorare le opportunità per le imprese nel mercato unico digitale attraverso la riduzione di oneri amministrativi.

Il rafforzamento dei diritti di protezione offrirà, sicuramente, un maggiore controllo sui dati personali. Si avranno, infatti, norme più specifiche che consentiranno ai responsabili del trattamento di trattare i dati attraverso l'obbligo di consenso delle persone interessate ed una migliore informazione su quanto accade ai dati personali una volta condivisi. Inoltre, se un giovane di meno di 16 anni desidererà utilizzare servizi in linea, il prestatore dovrà verificare il consenso dei genitori.

Per quanto riguarda le imprese, il regolamento prevede un insieme unico di regole valido in tutta l'UE al fine di evitare situazioni in cui norme nazionali possano ostacolare lo scambio di dati transfrontaliero.
Si creeranno, in questo modo, condizioni di concorrenza leale e le imprese saranno incoraggiate a trarre beneficio dal mercato unico digitale.

Aumenteranno le responsabilità, inoltre, dei responsabili del trattamento dei dati. Le autorità pubbliche e le imprese dovranno designare un responsabile della protezione dei dati incaricato di garantire il rispetto delle norme. Il regolamento, inoltre, mira a proteggere i dati personali trattati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

Lo scorso 29 gennaio, durante il convegno organizzato da Europrivacy a Milano, si è discusso circa l'importanza del pianificare la GDPR per essere pronti entro i 24 mesi. Sei grandi campi come risk management, privacy by design, la nuova figura del DPO, data breach, servizi IT e profilazione contro anonimizzazione, si incrociano con le sfide organizzative, di budget, tecnologiche e legislative che si dovranno vincere per stare al passo.

Un punto particolaremente interessante è quello che impone, alle realtà che controllanti, obblighi sia di analisi del rischio e di previsione sull’impatto che certi tipi di trattamenti possono avere sulla privacy, sia di creazione di nuove figure professionali quali, ad esempio, il Data Protection Officer che si dovrà occupare di valutare la situazione della privacy e delle misure di sicurezza sia nel pubblico sia nel privato.

Notevole anche l’attenzione posta sulla privacy by design, ovvero, sulla valutazione del livello di privacy di un prodotto o di un servizio già al momento della sua creazione o attivazione così da radicare il principio di protezione dei dati personali nel prodotto o servizio stesso.
Le misure di privacy by design imposte dalla direttiva europea sono impegnative e chi non si adeguerà a tale regolamento e violerà il trattamento dei dati personali dei cittadini rischia multe parecchio "salate".

Dal 2018, dunque, i cittadini potranno affidarsi alle autorità nazionali per il cosiddetto 'data breache', ovvero, la notificazione delle violazioni. Quello che possiamo affermare sin d'ora è che tutte le novità apportate dal nuovo regolamento europeo avranno, senza alcun dubbio, effetti pratici su tutti i sistemi informatici dal momento che tutti i soggetti che trattano dati personali, piattaforme web comprese, dovranno occuparsi di minimizzare tali trattamenti garantendo, in modo prioritario ed in misura ancora maggiore di quanto fatto sinora, trasparenza, compatibilità e sicurezza

Qui alcuni link utili:

Gazzetta Ufficiale Legge L119

Regolamento EU GDPR 2016/679 Italiano

Il GDPR in Italiano 2016-679UE testo integrale - CyberLaws

Slide Powerpoint nuovo regolamento GDPR L119

Guida alla riservatezza dei dati

http://www.pmi.it/wp-content/uploads/2011/11/Sicurezza-Mobile-150x150.pngSicurezza e Riservatezza dei dati

I dati personali oggetto di trattamento devono essere custoditi in azienda in modo da ridurre al minimo i rischi di illecito accesso, distruzione o perdita attraverso idonee misure di sicurezza, ossia tutti gli accorgimenti tecnici e organizzativi messi in pratica per garantirne protezione, privacy e riservatezza.

Se il Responsabile del trattamento sceglie di utilizzare dispositivi elettronici o programmi informatici per la gestione dei dati deve prevederne l’accesso controllato tramite livelli di autorizzazione e garantire che non si attuino in azienda trattamenti contrari alle norme di legge o diversi da quelli per i quali i dati sono stati raccolti.

Nello specifico il Responsabile dovrà adottare specifici criteri e procedure dettate dall’articolo 33 del Codice Privacy, come ad esempio l’utilizzo di uno username identificativo e password per accedere ai dati, l’utilizzo di software antivirus e per il backup periodico dei dati.

Misure di sicurezza utili ad assicurare la riservatezza

Il trattamento dei dati personali con strumenti elettronici è consentito solo se sono adottate specifiche misure minime fra le quali si individuano:

  • autenticazione informatica;
  • adozione di procedure di gestione delle credenziali di autenticazione;
  • utilizzazione di un sistema di autorizzazione;
  • protezione degli strumenti elettronici e dei dati rispetto al trattamento illecito dei dati stessi e ad accessi non consentiti;
  • adozione di procedure per la custodia di copie di sicurezza;
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Per i dati sensibili e giudiziari sono previste ulteriori misure in aggiunta a quanto già accennato come il Documento Programmatico per la Sicurezza.

L’articolo 34 del Codice della Privacy prevede espressamente che vengano adottate procedure per la realizzazione e la custodia di copie di sicurezza e il ripristino della disponibilità dei dati e dei sistemi. In pratica il Responsabile del trattamento, tramite l’amministratore del sistema informativo, dovrà provvedere a realizzare e custodire copie di backup ossia copie di sicurezza dei dati e delle informazioni contenute su strumenti elettronici, assicurandone la massima riservatezza.

Solitamente le informazioni riservate vengono archiviate su dispositivi esterni cioè non incorporati nell’unità centrale e consentono di trasferire da un computer all’altro grosse quantità di informazioni. Fra questi si possono individuare gli hard disk removibili.

La causa di perdita di dati e informazioni può dipendere da:

  • eventi distruttivi, naturali o artificiali;
  • guasti ai sistemi;
  • malfunzionamenti o degrado dei componenti elettronici;
  • incuria o disattenzione.

Il rischio di perdita o furto di dati, comunque, è anche rappresentato da:

  • comportamenti sleali e fraudolenti;
  • virus informatici; (al momento in crescità)
  • furto di strumenti contenenti dati.

In effetti, quando capita uno dei suddetti eventi, il backup può limitare la perdita del patrimonio di informazioni memorizzate. In tal caso occorre adottare tempestivamente ogni possibile procedura di ripristino dei dati.

Le misure minime di sicurezza obbligatorie previste dalla normativa sono:

  • attivazione di una procedura di backup settimanale;
  • predisposizione di una procedura di disaster recovery ossia di ripristino dei dati in caso di danneggiamento o perdita;
  • installazione di software antivirus e di sistemi firewall;
  • adeguamento della struttura aziendale alle normative in materia di prevenzione e sicurezza.

Se si utilizza un server per la memorizzazione dei dati è necessario che sia collegato ad un gruppo di continuità che consenta di escludere la perdita di dati a causa di sbalzi di tensione o interruzione della corrente elettrica.

I dati inseriti nei backup devono essere custoditi e protetti da accessi indesiderati mediante procedure che inibiscano la lettura dei dati in essi contenuti, magari utilizzando un’applicazione crittografica.

Firma digitale

La firma digitale consente di scambiare documenti informatici aventi validità legale poiché permette la verifica dell’identità del mittente, rende impossibile al mittente disconoscere un documento da lui firmato, rende impossibile al destinatario modificare un documento firmato da qualcun altro.

Possono dotarsi di firma digitale le persone fisiche rivolgendosi ai certificatori accreditati che garantiscono l’identità dei soggetti che utilizzano la firma digitale. I certificatori accreditati sono soggetti pubblici o privati che emettono certificati qualificati conformi alla Direttiva Europea 1999/93/CE e alla normativa nazionale in materia. L’elenco dei certificatori accreditati è disponibile nel sito di DigitPA, l’Ente Nazionale per la digitalizzazione della Pubblica Amministrazione. La verifica della firma può essere effettuata tramite diversi software resi disponibili gratuitamente.

La firma digitale è, in pratica, un sistema a chiavi crittografiche asimmetriche che viene creato mediante un dispositivo con elevate caratteristiche di sicurezza che, in genere, è una smart card. Dal punto di vista tecnico la firma digitale è una sequenza di byte in grado di associare in modo univoco un documento elettronico alla persona che l’ha generato garantendone provenienza, autenticità e integrità.

Sicurezza e riservatezza dei sistemi

Il Codice Privacy prevede concrete disposizioni in merito al trattamento dei dati tramite strumenti informatici. Nello specifico, l’allegato B del Codice contiene il Disciplinare Tecnico ossia una serie di modalità tecniche necessarie ad adottare concretamente le misure minime per la sicurezza dei sistemi. Tali misure dovranno essere adottate dal titolare, dal responsabile o dall’incaricato.

La normativa prevede che il trattamento dei dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autorizzazione per i quali siano, comunque, previsti specifici profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque con cadenza annuale, occorre verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

I dati personali devono essere protetti anche dal rischio di intrusione esterna e dall’azione di programmi in grado di violare la privacy. Per questo dovranno essere predisposti idonei strumenti elettronici che siano in grado di prevenire la vulnerabilità dei sistemi e correggano eventuali difetti, quali antivirus, antispyware e firewall, da aggiornare con cadenza almeno semestrale.

Almeno una volta l’anno occorre provvedere all’aggiornamento dei sistemi in modo da correggere gli errori. Questa operazione potrà essere facilmente compiuta anche tramite il download da Internet di patch o di service pack ossia di nuove versioni dei sistemi operativi e dei vari programmi applicativi.

Gestione password

I soggetti autorizzati ad accedere ai sistemi possono farlo se dotati di credenziali di autenticazione che consistono in un codice associato all’incaricato e una parola chiave riservata e segreta, conosciuta solamente dall’incaricato ovvero con l’utilizzo di smart card individuali. Il codice associato all’incaricato ossia lo user-id o user-name, una volta utilizzato, non può essere assegnato ad altri soggetti, neppure in tempi diversi.

Gli incaricati dovranno essere sensibilizzati ad adottare le necessarie cautele per assicurare la segretezza della parola chiave nonché la diligente custodia dei dispositivi in uso esclusivo dell’incaricato e a non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (i sistemi, a tal fine, permettono di predisporre uno screen saver con richiesta di password).

La parola chiave deve essere composta da almeno otto caratteri ovvero, nel caso in cui lo strumento elettronico non lo permetta, in un numero di caratteri pari al massimo consentito dal sistema. Non deve contenere riferimenti riconducibili all’incaricato e deve essere modificata dall’incaricato stesso al primo utilizzo dello strumento elettronico e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili la parola chiave deve essere modificata ogni tre mesi.

Le credenziali di autenticazione non utilizzate dopo sei mesi dovranno essere disattivate.

Sicurezza archivi cartacei

Particolare importanza rivestono gli archivi cartacei soprattutto nei casi in cui, al loro interno, sono contenuti dai sensibili relativi ai dipendenti, informazioni concernenti procedimenti disciplinari, dati giudiziari relativi a partecipazioni a gare o informazioni connesse alle transazioni commerciali come ad esempio fatture o contratti.

Ai responsabili del trattamento dovranno essere impartite specifiche istruzioni per iscritto che prevedano la custodia di atti e documenti. L’accesso agli archivi contenenti dati sensibili o giudiziari può essere consentito anche dopo l’orario di chiusura ma deve essere controllato. E’ necessario, pertanto, adottare policy finalizzate alla gestione dei dati cartacei contenuti negli archivi. In tal caso è necessario che venga eseguito il controllo degli accessi dei lavoratori, preventivamente autorizzati, nei locali in cui sono custodite tali banche dati. Questa operazione può essere eseguita tramite l’installazione di un lettore badge che consenta il riconoscimento del soggetto autorizzato e ne permetta l’accesso.

Comunicazioni telefoniche e la riservatezza

L’art. 123 del Codice Privacy ha fissato a sei mesi il limite temporale per la conservazione dei dati di traffico telefonico per finalità di fatturazione, pagamenti in caso di interconnessione e di commercializzazione di servizi. E’ prevista, inoltre, la conservazione dei dati di traffico telefonico relativi ai servizi offerti per tutti i fornitori di servizi di comunicazione al fine di accertare e reprimere i reati.

Il fornitore sul quale incombe l’obbligo di conservare i dati di traffico ai sensi dell’articolo 132 del Codice è quello che mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione. Con il termine “servizi di comunicazione elettronica” devono intendersi quelli consistenti nella trasmissione di segnali su reti di comunicazioni elettroniche.

L’obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, nonché i dati inerenti al traffico telematico, esclusi comunque i contenuti delle comunicazioni. In particolare, sono oggetto di conservazione i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione.

Allo scadere dei termini previsti dalle disposizioni vigenti i dati di traffico sono resi non disponibili per le elaborazioni dei sistemi informativi e le relative consultazioni. Dovranno essere cancellate o rese anonime anche le informazioni contenute in data base e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery).

Sicurezza Ransomware e Cryptolocker

La MBLI S.a.S., da sempre attenta alle problematiche legate alla sicurezza da infezioni ed attacchi informatici, da oltre 90 giorni si è spesso imbattuta in richieste di intervento a seguito dell'infezione del famigerato virus Cryptolocker, della famiglia ransomware, ha pensato opportuno sviluppare una apposita offerta relativa alla messa in sicurezza (per quanto possibile), dei sistemi informatici, in modo da preservare i dati e risparmiare una notevole somma di denaro in caso di infezione.

http://www.corrierecomunicazioni.it/upload/images/06_2012/security-120621171518_medium.jpgLa MBLI S.a.S, grazie alla partnership con la iRecovery, azienda specializzata nel recupero dei dati è in grado di recuperare/decriptare i dati corrotti dal Virus, con una percentuale molto vicina al 90% dei casi. Se nella eventualità che esistesse una variante non ancora individuata, i nostri tecnici effettuerebbero delle procedure per la ricerca dei nuovi algoritmi di decryptaggio.

L'offerta consiste nell'effettuare una analisi preventiva atta ad identificare e misurare il grado di sicurezza che ha la Vs. attuale rete, prendendo in considerazione gli elementi hardware (firewall, Switch, Server) e gli elementi software (firewall, antivirus, sistemi di lettura email e software).

Effettuata l'analisi verrà effettuata una relazione tecnica che permetterà di analizzare i costi ed i tempi per la messa in sicurezza dei Vs. preziosi dati, nonchè rassicurare i Vs. clienti che nulla accadrà ai dati che elaborate/archiviate per loro conto, come prevista dalla normativa sulla Privacy.

La MBLI S.a.S., ha inoltre sviluppato un Pacchetto Sicurezza, comprendente un dispositivio hardware e la nostra sicurezza, permette nella maggior parte dei casi di raggiungere un grado di sicurezza soddisfacente ad un costo parecchio interessante. L'offerta è disponbile sul nostro sito nell'area Brochure e Pubblicità oppure potete effettuare il download direttamente dal seguente Link: Offerta Sicurezza.

Non esitate a contattarci ai nostri recapiti o compilando il form, sarete ricontattati nel più breve tempo possibile.

ransomware, Ransomware, 

Il Jobs Act ed il controllo dei lavoratori

Nuove tecnologie e aggiornamenti legislativi sul controllo dei lavoratori

Jobs Act: Ora l’azienda può controllare i dipendenti senza filtro

Computer, tablet, smartphone e badge. Con il Jobs Act, mani libere per il datore di lavoro sul controllo di tutti questi strumenti, senza un precedente accordo sindacale. E sulla base dei dati raccolti, l’impresa potrà prendere provvedimenti disciplinari nei confronti dei dipendenti.

Lo ha messo nero su bianco il governo nel decreto attuativo del Jobs Act, approvato dal governo l'11 giugno scorso, che - di fatto - cancella l'articolo 4 dello Statuto dei lavoratori sui controlli a distanza: "Accordo sindacale o autorizzazione ministeriale - si legge nel testo - non sono necessari per l'assegnazione ai lavoratori degli strumenti utilizzati per rendere la prestazione lavorativa, pur se dagli stessi derivi anche la possibilità di un controllo a distanza del lavoratore".

Il datore di lavoro è libero di utilizzare i dispositivi di controllo indiretto, se utili per lo svolgimento della mansione: le informazioni raccolte possono servire per licenziamenti e sanzioni disciplinari e qunto scritto nel nuovo Jobs Act. E meno tutela della privacy per il lavoratore. Questi gli effetti dello schema di decreto legislativo sul lavoro e pari opportunità, attuativo della legge 183/2014, che riscrive la norma sui controlli a distanza, con una deregulation per l'uso di dispositivi necessari per la mansione da cui possa derivare contestualmente un controllo del dipendente.

Invece, per installare impianti audiovisivi e altri strumenti di controllo servono l’accordo sindacale o l’autorizzazione da parte del ministero del Lavoro (per le imprese con più unità dislocate in una o più regioni).

Leggi tutto: http://www.federprivacy.it/informazione/flash-news/1424-jobs-act-a-privacy-ok-a-controlli-indiretti-senza-filtro.html