I cookie wall e il consenso per scrolling

Le “novità” introdotte dalle linee guida europee 5/2020 dei Garanti europei sul consenso “privacy” riguardano essenzialmente:

    • il riconoscimento dell’incompatibilità con il GPDR dei cd. “cookie wall
    • l’altrettanta invalidità di consensi “privacy” espressi per mero scroll o swipe

Il cookie wall è in sostanza il tradizionale banner che come un muro, di qui la denominazione, permette l’accesso a un sito solo se l’utente esprime in blocco il consenso all’installazione dei cookie.

Viene qui violato il principio della libertà del consenso.

Neppure sono quindi più valide forme di consenso “privacy” manifestato con la semplice prosecuzione della navigazione. Occorre perciò evitare espressioni frequenti nella prassi quali per esempio: “Proseguendo la navigazione accetti l’installazione di cookie” e similari.

Viene qui qui violato il principio di inequivocabilità del consenso.

In realtà, la contrarietà a diritto di cookie wall e di accettazione per mero swipe e scroll appariva già chiara da molto tempo, non può cioè considerarsi una reale novità giuridica.

Derivano dall’analisi delle linee guida europee implicazioni giuridiche sottili e complesse, ad esempio in termini di responsabilità o di manifestazioni valide del consenso. Per un approfondimento da parte dell’avv. Enrico Pelino cfr.:

 

 

CORONAVIRUS: tra sicurezza sul lavoro e privacy 2/2

Parte seconda
INDICAZIONI OPERATIVE

Dopo la prima parte introduttiva vediamo adesso insieme alcuni accorgimenti che imprenditori, commercianti e liberi professionisti devono adottare per garantire la sicurezza sul lavoro e assicurare la tutela dei dati personali.

INFORMAZIONE

L’azienda deve fornire non solo a tutti i lavoratori ma a chiunque acceda ai locali aziendali con apposite e idonee informative le indicazioni relative alle disposizioni dettate dalle Autorità.

In particolare l’informativa dovrà indicare:

• l’obbligo di restare presso il proprio domicilio in presenza di febbre oltre 37.5° o altri sintomi influenzali e di comunicarli all’autorità sanitaria;

• l’impegno a informare il datore di lavoro della presenza di un qualsiasi sintomo influenzale durante l’attività lavorativa

• impegno a rispettare le disposizioni delle Autorità e le disposizioni adottare dall’azienda per l’accesso ai locali: quali ad esempio mantenere la distanza di sicurezza, indossare i dispositivi di protezione individuale (es. mascherina e guanti) e osservare le misure di igiene per le mani

• l’accettazione del fatto di non poter fare ingresso o permanere nei locali aziendali per chi, ad esempio, presenta uno stato febbrile, sintomi influenzali, o negli ultimi 14 giorni sia stato in contatto con persone positive al virus.

NB: le indicazioni riportate sono contenute nei Protocolli adottati nella fase emergenziale, tuttavia non tutte le prescrizioni ivi contenute appaiono essere state allineate con le fonti normative, anche di rango sovraordinato, esistenti, ad esempio in ambito giuslavoristico o privacy. Dunque, anche in questo caso, una corretta adozione di questi accorgimenti dovrebbe passare attraverso il filtro di una consulenza legale.

MODALITÀ DI INGRESSO IN AZIENDA PER DIPENDENTI E FORNITORI ESTERNI

L’imprenditore/datore di lavoro, anche con l’ausilio di collaboratori, in alcuni casi può in altri deve procedere con alcune verifiche sulle persone che intendono accedere in azienda. In particolare:

può controllare la temperatura corporea del personale dipendente prima dell’accesso al luogo di lavoro e in caso di temperatura superiore ai 37.5° deve inibirne l’accesso

• deve vietare l’accesso al dipendente che negli ultimi 14 giorni abbia avuto contatti con soggetti positivi al Covid-19 o provenga da zone a rischio

• prima dell’ingresso in azienda deve ricevere dal personale già risultato positivo al Covid-19 la certificazione di “avvenuta negativizzazione
• deve favorire orari di ingresso/uscita dei dipendenti scaglionati in modo da evitare il più possibile contatti nelle zone comuni, se possibile dedicando una porta di entrata e una di uscita

• deve collocare dispenser contenenti prodotti igienizzanti per le mani in corrispondenza dei punti di accesso e uscita dai locali aziendali

• per i fornitori esterni deve individuare procedure di ingresso, transito e uscita che riducano le occasioni di contatto con il personale

• deve vietare l’accesso agli uffici degli autisti dei mezzi di trasporto

• deve vietare ai fornitori esterni l’utilizzo dei servizi igienici del personale e installarne/destinarne appositi e garantirne adeguata pulizia quotidiana

• deve ridurre l’accesso ai visitatori e in caso di accesso necessario i visitatori dovranno rispettare le regole aziendali

• qualora presente un servizio di trasporto aziendale deve essere garantita e rispettata la sicurezza dei lavoratori lungo ogni spostamento

• in caso di dipendenti di aziende terze positivi al Covid-19 presenti in azienda, l’appaltatore deve immediatamente informarne il committente

• il committente deve dare all’appaltatore completa informativa del protocollo aziendale

NB: anche in questo caso, è corretto avvertire che le prescrizioni sopra indicate fanno parte di quelle emanate in via d’urgenza, ma non sempre si collocano in armonia con la normativa applicabile, di rango superiore. Può ad esempio essere controverso ritenere che il datore di lavoro sia tenuto a conoscere l’esatta patologia Covid-19 del dipendente malato.

TUTELA DEI DATI PERSONALI E DELLA PRIVACY

Anche a prescindere dalle frizioni con il generale quadro normativo applicabile cui si è fatto cenno nei “nota bene”, il rispetto delle disposizioni contenute nei protocolli e nelle linee guida sopra richiamate impone di essere accompagnato dagli adempimenti richiesti dalla normativa sulla tutela dei dati personali.

Ad esempio, tutte le attività di “triage” sopra indicate comportano trattamento di dati personali sulla salute, ossia una delle categorie di informazioni maggiormente tutelate (un tempo si sarebbero parlato di dati “supersensibili”). Inoltre comportano il trattamento di dati personali idonei a rivelare relazioni interpersonali, spostamenti, preferenze e di altre informazioni.

Ne deriva l’adozione un processo e di garanzie che assicurino la liceità dei trattamenti e l’osservanza dei diritti dell’interessato (ossia del soggetto persona fisica cui le informazioni si riferiscono) nel rispetto delle disposizioni dettate dal GDPR (Reg. UE 2016/679) e dal Codice privacy.

Allo stesso modo, la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato (dipendente, fornitore o qualunque altro soggetto terzo), costituisce un trattamento di dati personali (art. 4, par. 1, 2 GDPR) che deve essere preceduto da adeguata informativa ed effettuato nel rispetto del principio di “minimizzazione” (art. 5, par. 1 GDPR).

Le FAQ del Garante per la protezione dei dati personali chiariscono per esempio che il Titolare del trattamento:

• deve fornire adeguata informativa privacy agli interessati (dipendenti, fornitori, trasportatori, visitatori, dipendenti di aziende terze e a tutti gli altri soggetti) che fanno accesso nei locali del titolare

non deve registrare il dato relativo alla temperatura ma il solo superamento della soglia di 37.5° e comunque nei soli casi in cui è necessario per documentare il diniego dell’accesso. Questi casi, aggiungiamo tuttavia, possono essere significativi a fini probatori

• nel ricevere le dichiarazioni di interessati che attestino di aver avuto nei 14 giorni precedenti contattati con soggetti positivi al Covid-19 o provenienti da zone a rischio deve raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio. Notiamo tuttavia che la raccolta di tali informazioni va coordinata con le fonti normative soprastanti, ossia da un lato con la necessità di garantire salute e sicurezza nel luogo di lavoro e fotografare il rischio da agente biologico, dall’altra con quella di osservare la dignità del lavoratore, lo Statuto dei lavoratori, la riservatezza. Dunque, occorre evitare automatismi applicativi e adattare il precetto al caso concreto

• deve collaborare in qualità di datore di lavoro con il medico competente e le RLS/RLST al fine di produrre tutte le misure di regolamentazione legate al Covid-19;sempre nel rispetto dei principi di protezione dei dati, può trattare, in qualità di datore di lavoro, i dati personali dei dipendenti solo se sia previsto da disposizioni normative e disposto da organi competenti o su segnalazione del medico competente

• deve comunicare il nome del dipendente positivo al Covid-19 alle autorità sanitarie competenti

• non deve comunicare il nome del dipendente positivo al Covid-19 al Rappresentante dei lavoratori o agli altri dipendenti o a terzi soggetti

• non può richiedere l’effettuazione di test sierologici ai dipendenti salvo che il test non sia disposto dal medico competente

• può offrire ai propri dipendenti, in tutto o in parte, l’effettuazione di test sierologici presso strutture sanitarie senza conoscerne l’esito

• deve individuare i soggetti autorizzati al trattamento dei dati

• deve redigere precise istruzioni per gli autorizzati

• deve effettuare analisi del rischio e prevedere misure adeguate per la conservazione e consultazione in sicurezza dei dati e la tutela della dignità e della riservatezza del lavoratore (es. in occasione della rilevazione febbre tramite termoscanner, della richiesta della dichiarazione di contatto con soggetti positivi o provenienti da zone a rischio, nella predisposizione delle modalità di conservazione dei dati)

• deve valutare eventuale necessità di DPIA nei casi previsti dall’art. 35 GDPR

• deve individuare le corrette modalità di ricezione del certificato di negativizzazione

• deve valutare la opportunità/necessità dell’adozione del cd. “registro delle prenotazioni”, individuato dalle Linee guida per la riapertura delle Attività Economiche e Produttive e coordinarlo con i registri di trattamento già adottati

CORONAVIRUS: tra sicurezza sul lavoro e privacy 1/2

Parte prima
Dal 25 maggio 2020 una significativa parte delle realtà produttive ha finalmente riaperto i battenti e con la riapertura sono arrivate purtroppo le prime, non gradite, sanzioni.

Vediamo allora insieme quale sia in questa fase il rischio giuridico per l’imprenditore e come identificarlo, e dunque contenerlo, in modo da proseguire con serenità l’attività economica e garantire sicurezza sui luoghi di lavoro, tutelando la privacy di dipendenti e terzi e prevenendo la diffusione del contagio.

Il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 24 aprile 2020, che ha aggiornato la versione del 14 marzo 2020, e le “Linee guida per la riapertura delle Attività Economiche e Produttive” del 16 maggio 2020 della Conferenza delle Regioni e delle Province Autonome forniscono indicazioni operative per il contrasto e la diffusione del virus negli ambienti di lavoro non sanitari.

Le misure riportate nei citati documenti, di cui appresso vediamo solamente i principali, devono essere integrate dall’imprenditore con procedure e istruzioni operative specifiche, a seguito di un’attenta valutazione del rischio che coinvolga figure chiave come l’RSPP, il Medico Competente e l’RLS.

Fare ordine nell’incertezza normativa
Va innanzitutto notato che per l’imprenditore un elemento di incertezza nella situazione attuale è costituito dal sovrapporsi di fonti precettive, o in alcuni casi soltanto ritenute tali, di livello e provenienza diversa: DPCM collegati, ma non sempre in maniera eccellente, con soprastanti decreti legge, protocolli sottoscritti da parti sociali richiamati a loro volta da DPCM, ordinanze regionali, ordinanze comunali, linee guida della Conferenza delle Regioni e delle Province Autonome, FAQ amministrative, risposte a quesiti di privati, dichiarazioni istituzionali su social network, misure decise da associazioni di categoria, ecc.

In questa situazione, rischia di venire penalizzata la certezza del diritto. Per questo è importante farsi assistere da un professionista giuridico, che potrà, se necessario, individuare anche linee efficaci per contestare misure sanzionatorie in un contesto di regole non sempre scolpite con precisione.
Qui di seguito comunque ci soffermeremo su alcuni punti soltanto con un approccio semplificato e per macrotemi.

COVID-19 E SICUREZZA SUL LAVORO

Il contagio da coronavirus (SARS-Cov-2) in occasione di lavoro è qualificato come “infortunio sul lavoro” con conseguente attivazione della tutela assicurativa INAIL.

Sebbene nei casi di accertata infezione da coronavirus in occasione di lavoro gli oneri degli eventuali eventi infortunistici, ex art. 42, co. 2, D.L. n. 18 del 17/03/2020, convertito con L. n. 27 del 24/04/2020, gravano sulla gestione assicurativa e non incidono sul premio pagato dal singolo datore di lavoro, come precisato anche nelle circolari INAIL n. 13 del 3/4/2020 e n. 22 del 20/5/2020, di non poco momento sono i rischi che gravano sul datore di lavoro in caso di contagio.

Quando il contagio si ritiene avvenuto in occasione della prestazione lavorativa?

Come indicato nelle sopra indicate circolari dell’INAIL, non può desumersi alcun automatismo ai fini dell’ammissione a tutela dei casi denunciati. Occorre verificare che l’azione di fattori microbici o virali, come appunto nel caso di specie, sia in rapporto con lo svolgimento dell’attività lavorativa, attraverso un accertamento rigoroso dei fatti e delle circostanze che facciano desumere che il contagio sia avvenuto in occasione di lavoro.

Sulla base dunque di un giudizio di ragionevole probabilità viene riconosciuta l’origine professionale del contagio. Il riconoscimento è, precisa l’INAIL, totalmente avulso da ogni valutazione sull’imputabilità di eventuali comportamenti omissivi del datore di lavoro che possano essere stati causa del contagio.

L’INAIL ha azione di regresso nei confronti dell’imprenditore?
L’INAIL sul punto chiarisce espressamente che l’attivazione dell’azione di regresso non può basarsi sull’intervenuto riconoscimento dell’infezione da coronavirus. E’ richiesta una violazione da parte del datore di lavoro delle misure di contenimento del rischio di contagio contenute nei protocolli regionali e nazionali e nelle linee guida di cui all’art. 1, co., 14 D.L. n. 33 del 16/5/2020. Il regresso non può dunque considerarsi un automatismo.
Quali implicazioni sulla responsabilità civile e penale?
Il contagio in occasione della prestazione lavorativa, specie (ma non esclusivamente) ove sia collegabile all’inosservanza delle disposizioni contenute nelle linee guida e nei protocolli governativi e regionali e in altre fonti (anche preesistenti rispetto alla normativa emergenziale emanata per contrastare l’emergenza epidemiologica da Covid-19) dalle quali sorgano obbligazioni di porre in essere determinate condotte, può esporre l’imprenditore/datore di lavoro a:
• responsabilità civile
• responsabilità penale
• responsabilità amministrativa dell’ente con elevatissime sanzioni pecuniarie, e gravi misure interdittive (si pensi ad esempio a quelle emanate in applicazione del GDPR e del Codice privacy).
Come incide la denuncia di infortunio sul lavoro da contagio con tali responsabilità?
Se da un lato L’INAIL chiarisce, correttamente, che l’attivazione dell’assicurazione da infortunio sul lavoro non determina automaticamente responsabilità anche civile o penale, sussistendo presupposti diversi, tuttavia corre l’obbligo di segnalare che le implicazioni reciproche tra i diversi ambiti di responsabilità costituiscono comunque materia complessa, sulla quale il nostro consiglio è di procedere con assistenza legale.

COVID-19 E TUTELA DEI DATI PERSONALI

Le misure da adottare per contrastare la diffusione del contagio richiedono in alcuni casi il trattamento dei dati personali di dipendente, clienti, fornitori, utenti e visitatori. È questo ad esempio il caso in cui sia presa la temperatura corporea e siano effettuate domande di “triage” (provenienza, sussistenza di relazioni con soggetti a rischio, stato di salute, ecc.).

Alcune di queste domande, ancorché raccomandate da soggetti istituzionali, vanno coordinate con la normativa giuslavoristica e privacyistica, prima di essere adottate.

In particolare, invitiamo a fare attenzione a un punto chiave: attenersi scrupolosamente alle disposizioni contenute nelle linee guida e nei protocolli non autorizza a “dimenticare” le norme in materia di protezione dei dati personali, e il mancato rispetto della privacy e della riservatezza espone l’imprenditore/datore di lavoro al rischio di:
procedimenti di reclamo/segnalazione davanti all’Autorità Garante
– irrogazione di ordinanza-ingiunzione e di misure correttive con conseguenti elevatissime sanzioni, individuabili anche nella fascia che arriva, nel massimo edittale, fino a venti milioni di euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore
– responsabilità risarcitoria in sede civile per danno da violazione dei dati personali.

Si pensi alla diffusione di dati sanitari che può inavvertitamente derivare dall’avere misurato la temperatura di un soggetto in uno spazio pubblico o le implicazioni privacy che derivano dalla scelta di conservare le informazioni sulla temperatura o altri dati di triage e di farlo per una certa durata temporale.

 

Ancora sul personal data breach INPS

Il doppio personal data breach INPS è stato già oggetto di un breve approfondimento, che può essere letto qui.

In sostanza, è emerso che:

    1.  gli eventi di violazione sono ben due;
    2.  le persone fisiche che hanno subito le violazioni centinaia;
    3.  la gravità del rischio per gli interessati è stata sottostimata dall’INPS;
    4.  le categorie di dati personali pregiudicate riguardano anche dati altamente personali e dati sensibili;
    5.  sono state colpite anche categorie vulnerabili di soggetti, come minori e portatori di disabilità.

Dunque un quadro serio, che può ben determinare responsabilità risarcitoria in capo all’INPS. Il risarcimento del danno “privacy” richiede una serie di condizioni giuridiche per essere configurabile, sulle quali il nostro studio è lieto di fornire assistenza. Chiedici gratuitamente un preventivo.

Sui due data breach INPS, l’avv. Enrico Pelino è stato intervistato il 26 maggio 2020 da Ius Law web radio, la radio dell’avvocatura. Per ascoltare l’intervista, clicca qui (verrai rimandato direttamente sul sito della radio dell’avvocatura).

COVID-19 – Fase 2 – Riapertura attività economiche e produttive

Che cosa sapere, che cosa fare

Dal 18 maggio 2020 siamo entrati nel pieno della Fase 2 e si ritorna lentamente verso la normalità. Finalmente riaprono bar, ristoranti, pizzerie, negozi, parrucchieri ed estetisti, poi sarà la volta di stabilimenti balneari, attività corsistiche e ricreative svolte in piscine e palestre, ma con alcuni accorgimenti da adottare per proseguire in sicurezza l’attività e contenere la diffusione del contagio.

Non dimenticare la normativa sulla protezione dei dati personali

Devi sapere che il rispetto di alcune misure determina l’applicazione della normativa sulla protezione dei dati personali, ossia del cd. “GDPR” (regolamento UE 2016/679) e del Codice privacy (d.lgs. 196/2003).

Quali? Ad esempio, rispetto a determinate tipologie di attività, le misure di contenimento approvate richiedono la raccolta e la conservazione di un registro delle presenze per 14 giorni, dunque un trattamento di dati personali.

Perché devi occuparti anche della normativa sulla protezione dei dati personali? Perché escludere dal trattamento dati ultronei, informare in maniera semplice e corretta i clienti, evitare violazioni di riservatezza (es. clienti che vengono a conoscere i nomi di altri clienti) è fondamentale non solo per la tua immagine e per il rapporto di fiducia con la clientela, ma anche per evitare il rischio sanzionatorio, che è particolarmente elevato.

Anche la possibilità di misurare la temperatura corporea all’ingresso costituisce un trattamento di dati personali, di rilevanza particolare perché si tratta di dati relativi alla salute.  Anche in questo caso deve svolgersi con riservatezza e discrezione, e applicando le regole della normativa. La conservazione delle informazioni di temperatura è consentita solo per alcune tipologie di interessati, a certe condizioni e per un tempo determinato.

Come possiamo aiutarti

Il nostro studio legale ha un’expertise consolidata in materia di protezione dei dati e può prestarti assistenza sui trattamenti di dati svolti nel contrasto al Covid-19, predisponendo:

    • informative, anche integrando quelle eventualmente già fornite (l’informativa deve essere comprensibile anche alla clientela non italiana)

    • individuazione degli autorizzati

    • istruzioni agli stessi

    • analisi del rischio e misure per una conservazione e consultazione in sicurezza

    • collegamento con il registro dei trattamenti esistente, per svolgere il trattamento in conformità

    • DPIA, se del caso (è obbligatoria solo in presenza di determinati fattori)

Puoi contattarci per un preventivo gratuito e senza impegno.

Ecco anche alcune indicazioni operative sotto forma di FAQ per fornire pratici chiarimenti su come mettere in atto le misure di sicurezza e rispettare la normativa.

A) Ho un ristorante (trattoria, bar, pizzeria, self-service, pub, pasticceria, gelateria)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Devi predisporre una informativa sulle misure di prevenzione.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Negli esercizio che dispongono di posti a sedere, privilegiare l’accesso tramite prenotazione e conservare per 14 giorni l’elenco dei clienti che si sono presentati al locale.

    • Garantire la distanza di 1 metro tra le sedute oppure adottare barriere fisiche adeguate a prevenire il contagio.

    • Il personale di servizio a contatto con i clienti deve utilizzare la mascherina.

    • I clienti devono indossare la mascherina tutte le volte che non sono seduti al tavolo.

Cosa devo fare per un sicuro servizio al tavolo?
    • Al termine di ogni servizio devi disinfettare le superfici e devi evitare utensili riutilizzabili se non igienizzati (es. saliere, oliere etc).

Posso consegnare il menù ai clienti?
    • È preferibile rendere consultabile il menù online, oppure il menù deve essere in stampa plastificata in modo da poter essere igienizzato ogni volta o cartaceo a perdere.

Posso servire la consumazione al banco?
    • Sì, ma solo se può essere assicurata la distanza interpersonale di 1 metro tra i clienti.
Posso allestire un buffet?
    • No, la consumazione a buffet non è consentita.
Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico, possibilmente al tavolo. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

B) Ho attività di catering
    • Oltre ad adeguarti al rispetto di tutto quanto previsto per le attività con servizio in sede (vedi FAQ A) Ho un ristorante), devi rispettare le misure di prevenzione disposte dall’organizzazione del tuo cliente.

C) Ho uno stabilimento balneare: che cosa devo fare per lavorare nel rispetto della normativa?
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Privilegiare l’accesso allo stabilimento tramite prenotazione e conservare per 14 giorni l’elenco dei clienti presenti.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire l’accesso allo stabilimento in modo ordinato mantenendo 1 metro di distanza tra gli utenti.

    • Disinfettare regolarmente e con frequenza le aree comuni, spogliatoi, cabine, docce, servizi igienici e assicurarla dopo la chiusura dell’impianto.

Come devo posizionare gli ombrelloni?
    • Non è importante l’allestimento della spiaggia (a file orizzontali o a rombo), ma occorre assicurare un distanziamento tra gli ombrelloni in modo da garantire 10m2 per ogni ombrellone.

Come devo posizionare lettini e sedie a sdraio?
    • Quando non sono posizionate nel posto ombrellone deve essere garantita una distanza di almeno 1,5m.

Devo disinfettare le attrezzature?
    • Sì, ad ogni cambio persona o nucleo familiare lettini, sdraio, ombrelloni etc. vanno disinfettati. In ogni caso la sanificazione deve essere garantita ad ogni fine giornata.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico, eventualmente in fase di prenotazione. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

È possibile fare sport in spiaggia?
    • È vietato praticare attività ludico-sportive di gruppo che possono dar luogo ad assembramenti, ma sono consentiti sport individuali, nel rispetto del distanziamento interpersonale. Per gli sport di squadra (es. beach-volley) sarà necessario rispettare le disposizioni delle disposizioni competenti.

D) Ho una struttura alberghiera (hotel, agriturismo, bed&breakfast): che cosa devo fare per lavorare nel rispetto della normativa?
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Devi predisporre una informativa, anche privacy, sulle misure di prevenzione, che sia comprensibile anche per gli stranieri.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi garantire il rispetto del distanziamento interpersonale di 1 metro in tutte le aree comuni.

    • Devi favorire la differenziazione dei percorsi di ingresso e uscita dalla struttura.

    • La postazione della reception può essere dotata di barriere fisiche. In ogni caso devi favorire i pagamenti elettronici e la gestione delle prenotazioni online, eventualmente con sistemi automatizzati di check-in e check-out.

    • Il servizio di ricevimento deve provvedere alla fine di ogni turno di lavoro alla pulizia del piano di lavoro e delle attrezzature utilizzate.

    • Devi garantire la disinfezione frequente degli ambienti e delle superfici toccate con maggiore frequenza (es. corrimano, interruttori, maniglie).

    • Devi mettere a disposizione dei clienti all’interno della struttura prodotti igienizzanti per le mani.

    • Gli ospiti all’interno della struttura devono indossare le mascherine.

    • Il personale deve utilizzare sempre le mascherine in presenza dei clienti e comunque in ogni caso quando non può essere rispettata la distanza interpersonale di 1 metro.

Posso fornire in uso al clienti oggetti (es. asciugacapelli)?
    • Sì, ma devi disinfettare ogni oggetto fornito in uso prima e dopo ogni utilizzo.

È possibile utilizzare gli ascensori?
    • Sì, ma nel rispetto della distanza interpersonale e con l’utilizzo della mascherina. Possono essere previste eventuali deroghe in caso di componenti dello stesso nucleo familiare/gruppo di viaggiatori.

Devo prestare particolare attenzione al microclima?
    • Sì, è fondamentale verificare le caratteristiche di areazione dei locali e degli impianti di ventilazione (ad es. garantire areazione naturale, aumentare la frequenza di manutenzione degli impianti, attivare l’ingresso e l’estrazione dell’aria almeno un’ora prima e fino a un’ora dopo l’accesso del pubblico, etc.).

E) Ho un’attività di servizi alla persona (parrucchiere, estetista, barbiere)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Consentire l’accesso tramite prenotazione e conservare per 14 giorni l’elenco delle presenze.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro tra le singole postazioni di lavoro e tra i clienti.

    • Se possibile, delimitare con barriere fisiche l’area di lavoro.

    • Sia il cliente che l’operatore per tutto il tempo in cui per l’espletamento della prestazione devono mantenere una distanza inferiore a 1 metro devono utilizzare le mascherine (fatti salvi per l’operatore eventuali dispositivi individuali ad hoc es. mascherina FFP2, visiera protettiva, guanti monouso, etc.).

    • L’operatore nella prestazione del trattamento deve utilizzare guanti diversificati da quelli usati nel contesto ambientale.

Devi assicurare una adeguata disinfezione delle superfici di lavoro e delle attrezzature prima di servire un nuovo cliente.

Posso mettere a disposizione dei clienti riviste e giornali?
    • No, occorre eliminare dal locale giornali, riviste e materiale informativo di uso promiscuo.

    • I clienti devono indossare la mascherina tutte le volte che non sono seduti al tavolo.

Come estetista devo adottare ulteriori e specifici sistemi di protezione?
    • Sì, nell’erogazione di una prestazione che richiede una distanza ravvicinata devi indossare la visiera protettiva e la mascherina FFP2 senza valvola.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

F) Ho un’attività di commercio al dettaglio (abbigliamento, scarpe, utensileria, cose per la casa)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro tra i clienti.

    • Assicurare la pulizia e disinfezione quotidiana delle aree comuni.

    • In caso di vendita di abbigliamento: devono essere messi a disposizione della clientela guanti monouso da utilizzare obbligatoriamente per scegliere in autonomia, toccandola, la merce.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

G) Ho uno studio professionale: avvocato, commercialista, geometra, consulenza ecc.
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Promuovere il contatto con i clienti tramite modalità di collegamento a distanza.

    • Favorire l’accesso dei clienti tramite prenotazione.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro sia tra le singole postazioni di lavoro sia tra i clienti. Dove questo non può essere garantito deve essere utilizzata la mascherina.

    • L’area di lavoro se possibile deve essere delimitata da barriere fisiche.

    • L’attività di front office per gli uffici ad alto flusso di clienti esterni può essere svolta esclusivamente nelle postazioni dedicate e dotate di vetri o pareti di protezione.

    • Per le riunioni (con utenti interni e/o esterni) bisogna favorire prioritariamente le modalità a distanza; in alternativa deve essere garantito il rispetto della distanza interpersonale di 1 metro e in caso di durata prolungata anche l’uso della mascherina.

    • Assicurare la pulizia e disinfezione delle superfici di lavoro e delle attrezzature prima di servire un nuovo cliente.

H) Ho una palestra
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Redigere un programma delle attività il più possibile pianificato (es. con prenotazione), regolamentare gli accessi in modo da evitare assembramenti e conservare per 14 giorni l’elenco delle presenze.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Organizzare spogliatoi e docce in moda da assicurare la distanza di 1 metro.

    • Devi mettere a disposizione di frequentatori/ospiti/clienti prodotti igienizzanti per le mani, prevedendo l’obbligo dell’igiene delle mani all’ingresso e in uscita.

    • Garantirne la frequente pulizia e disinfezione dell’ambiente anche più volte al giorno e comunque la disinfezione degli spogliatoi, compresi gli armadietti, a fine giornata.

Devo prestare particolare attenzione al posizionamento degli attrezzi e delle macchine?
    • Sì, l’accesso agli attrezzi, alle macchine e alle diverse aree deve essere organizzato in modo da garantire.

    • la distanza di almeno 1 metro tra le persone mentre non svolgono attività fisica.

    • la distanza di almeno 2 metri tra le persone durante l’attività fisica.

Devo disinfettare le macchine e gli attrezzi?
    • Sì, dopo l’utilizzo da parte di ogni singolo soggetto devi procedere alla disinfezione della macchina o degli attrezzi usati.

E per gli attrezzi e le macchine che non possono essere disinfettate?
    • Gli strumenti che non possono essere disinfettati non devono essere utilizzati.

È possibile utilizzare in palestra scarpe usate in strada?
    • No, occorre utilizzare in palestra apposite calzature esclusivamente destinate a questo scopo.

È possibile l’uso promiscuo degli armadietti?
    • No. Inoltre gli indumenti e oggetti personali devono essere riposti nella borsa personale anche qualora depositati negli appositi armadietti e devono essere messi a disposizione degli ospiti sacchetti per riporre gli effetti personali.

Devo prestare particolare attenzione al microclima?
    • Sì, è fondamentale verificare le caratteristiche di areazione dei locali e degli impianti di ventilazione (ad es. garantire areazione naturale, aumentare la frequenza di manutenzione degli impianti, attivare l’ingresso e l’estrazione dell’aria almeno un’ora prima e fino a un’ora dopo l’accesso del pubblico, etc.).

I) Gestisco una piscina (gioco acquatico, solarium)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi privilegiare l’accesso tramite prenotazione e conservare per 14 giorni l’elenco delle presenze.

    • Devi predisporre opportuna segnaletica, anche attraverso monitor e/o maxi-schermi, per sensibilizzare gli utenti riguardo ai comportamenti.

    • Redigere un programma delle attività il più possibile pianificato in modo da dissuadere eventuali condizioni di aggregazioni.

    • Regolamentare i flussi degli spazi di attesa e nelle varie aree in modo da favorire il rispetto del distanziamento sociale di 1 metro.

    • Devi favorire la differenziazione dei percorsi di ingresso e uscita dalla struttura.

    • Devi organizzare spogliatoi e docce in moda da assicurare la distanza di 1 metro.

    • Devi mettere a disposizione di frequentatori/ospiti/clienti prodotti igienizzanti per le mani, prevedendo l’obbligo dell’igiene delle mani all’ingresso e in uscita.

    • Garantirne la frequente pulizia e disinfezione delle aree comuni, spogliatoi, cabine, docce, attrezzature (es. lettini, sedie, attrezzature galleggianti etc.).

È possibile l’uso promiscuo degli armadietti?
    • No. Inoltre gli indumenti e oggetti personali devono essere riposti nella borsa personale anche qualora depositati negli appositi armadietti e devono essere messi a disposizione degli ospiti sacchetti per riporre gli effetti personali.

Devo prestare particolare attenzione allo spazio riservato ad ogni persona?
    • Sì, l’accesso ai frequentatori dell’impianto deve avvenire in modo da garantire il rispetto della densità di affollamento calcolata.

    • per le aree solarium e verdi, con un indice di non meno di 7mq di superficie di calpestio a persona.

    • in vasca, con un indice di 7mq di superficie di acqua a persona.

Sono necessari controlli sull’idoneità dell’acqua?
    • Sì, prima dell’apertura della vasca deve essere eseguita un’analisi di tipo chimico e microbiologico dell’acqua.

Sono previsti parametri relativi alla presenza di cloro?
    • Sì, al fine di assicurare un livello di protezione dall’infezione il limite del parametro cloro attivo libero in vasca deve essere compreso tra 1,0 – 1,5 mg/l; cloro combinato ≤ 0,40 mg/l; pH 6.5 – 7.5.

    • La frequenza dei controlli sul posto dei parametri è non meno di due ore.

Come devo posizionare lettini e sedie a sdraio?
    • La disposizione delle attrezzature deve garantire la distanza di almeno 1,5m tra le persone non appartenenti allo stesso nucleo familiare o conviventi.

Devo disinfettare le attrezzature?
    • Sì, ad ogni cambio persona o nucleo familiare lettini, sdraio, ombrelloni etc. vanno disinfettati. In ogni caso la sanificazione deve essere garantita ad ogni fine giornata.

È consentito il funzionamento di giochi acquatici?
    • No, le piscine finalizzate a giochi acquatici vengono convertite in piscine per la balneazione. Nel rispetto delle prescritte misure di sicurezza sono consentiti toboga, vasche torrente e scivoli morbidi.

 

 

 

FAQ Personal data breach INPS – Che cosa sapere, che cosa fare

Tra il 1° e il 2 aprile 2020 (ma verosimilmente già dal 31 marzo) si sono verificati ben due imponenti personal data breach (violazioni di dati personali) nella piattaforma INPS predisposta per chiedere i bonus disposti dal d.l. 17 marzo 2020, n. 18 in materia di Covid-19.

In particolare, le due violazioni hanno riguardato:

    • I dati personali di soggetti richiedenti il bonus attraverso portale INPS;
    • I dati personali di soggetti che hanno presentato richiesta dello specifico “bonus baby-sitting”

Le violazioni hanno permesso a un elevato numero di utenti di conoscere dati personali di altri soggetti che hanno utilizzato il portale INPS. Alcune di queste informazioni risultano poi essere circolate perfino sui canali social (es. Facebook, Twitter).

Tra le categorie di dati personali figurano, tra le altre, informazioni identificative e di contatto, inclusi numeri di telefoni cellulari, dichiarazioni ISEE, dichiarazioni connesse con lo stato di disoccupazione, il fascicolo previdenziale, certificati di malattia e, riguardo al secondo episodio di violazione, anche informazioni relative a minori e a interessati in condizione di disabilità.

Il Garante ha rilevato:

    • sussistere difformità, da ritenersi grave, tra le dichiarazioni di cui ha ricevuto notifica dall’INPS e la realtà effettiva del personal data breach;
    • sussistenza della probabilità di un rischio elevato per le vittime dei due personal data breach.

Pubblichiamo qui alcune brevi informazioni che lo studio legale Grieco Pelino Avvocati ha predisposto in forma di FAQ, per fornire pratici chiarimenti e indicazioni a coloro che ne sono stati vittime.

A) Ho ricevuto la comunicazione con cui sono stato informato dall’INPS di essere vittima di una violazione dei dati personali. Che cosa significa?

Significa che una violazione di sicurezza ha compromesso la riservatezza dei tuoi dati, rendendoli accessibili a terzi. La comunicazione che l’INPS ti ha inviato costituisce un obbligo di legge a tua garanzia, previsto da una disposizione europea, l’art. 34 GDPR (regolamento UE 2016/679). Il Garante per la protezione dei dati personali ha espressamente prescritto all’INPS di provvedere alla comunicazione della violazione a tutti gli interessati entro 15 giorni dal provvedimento del 14 maggio 2020, dunque entro il 29 maggio 2020.

B) Non ho ricevuto la comunicazione di cui sopra da parte dell’INPS. Potrei essere stato ugualmente vittima del personal data breach?

Non si può escludere che tu sia stato ugualmente vittima dell’evento. Con riferimento al primo personal data breach, il Garante ha per esempio contestato la sussistenza di un numero di soggetti colpiti dalla violazione maggiore di quello dichiarato dall’INPS. Puoi rivolgere una richiesta di accesso ai dati personali all’INPS e ottenere conferma oppure smentita del tuo coinvolgimento nell’evento. Possiamo assisterti in questa attività, se lo desideri.

C) Ho ricevuto la comunicazione o sono comunque vittima del personal data breach. Che cosa devo fare?

L’INPS è tenuto a indicarti che cosa devi fare. In particolare deve comunicarti:

      • la natura della violazione dei dati (ivi inclusa la tipologia dei tuoi dati personali oggetto di violazione, elemento questo direttamente collegato con il rischio);
      • un punto di contatto (DPO o altro) a cui hai il diritto di chiedere (e ottenere) informazioni precise e ulteriori aggiornamenti;
      • le probabili conseguenze della violazione che hai subito (es. furto o abuso d’identità, violazione di codici di accesso, indebiti utilizzi dei tuoi dati personali, ecc.);
      • le misure adottate o da adottare per attenuare/eliminare le conseguenze negative del personal data breach.

Lo scopo di questa comunicazione, che non deve essere un atto di mera forma, è di permetterti di comprendere che tipo di violazione hanno effettivamente subito i tuoi dati, che cosa devi verosimilmente temere, come l’INPS sta provvedendo alla soluzione/mitigazione degli effetti negativi e come tu stesso puoi provvedere alla soluzione/mitigazione degli effetti negativi.

In ogni caso, possiamo assisterti in questa fase.

D) Ho subito un danno in conseguenza del personal data breach. Che cosa devo fare?

Se hai subito un danno in conseguenza del personal data breach, potresti avere diritto al risarcimento del danno patito. Il risarcimento può essere chiesto unicamente all’Autorità giudiziaria (Tribunale).

Costituiscono per es. danni: stato di ansia e di preoccupazione, perdite economiche, discriminazione, circolazione dei tuoi dati in rete senza controllo, esclusione dalla presentazione della domanda in quanto la stessa risultava già depositata, ecc.

Se desideri ricevere assistenza sui tuoi diritti o ritieni di avere subito un danno o di voler procedere comunque in via amministrativa nei confronti dell’INPS, puoi contattarci senza impegno ai recapiti di studio, saremo lieti di fornirti supporto.

Applicazioni di tracciamento anti-Covid19 e data protection

Dal mese di marzo 2020, si è aperto anche in Italia un acceso dibattito sull’architettura, sulle garanzie e sui requisiti che le app di tracciamento dei contagi devono soddisfare.

Il nostro studio legale ha partecipato attivamente all’individuazione dei profili giuridici. Ci piace fornirne una sintesi, ritenendola di interesse.

La lettera aperta del 25 marzo

Il 25 marzo scorso, in particolare, abbiamo indirizzato a vari soggetti istituzionali una lettera aperta, scritta assieme al collega Andrea Lisi, alla quale hanno aderito primari colleghi ed esperti della materia.

In quell’occasione abbiamo evidenziato come fosse necessario distinguere tra una finalità di ricostruzione dei contatti (contact-tracing) e una finalità repressiva di sorveglianza della quarantena.

Abbiamo anche evidenziato che il raggiungimento degli obiettivi di ricostruzione dei contatti dipendono dalla disponibilità immediata di tamponi. Dunque l’analisi privacy non può essere disgiunta dal programma di diagnosi, e quest’ultimo dovrebbe entrare nella valutazione d’impatto (DPIA).

Si rimanda, per maggiori approfondimenti, al testo della lettera (qui il pdf dal sito di Anorc).

Il Garante per la protezione dei dati personali, gentilmente rispondendoci nella persona del presidente Soro, ha sostanzialmente confermato la correttezza di entrambi questi punti fondamentali, pur non giungendo a pronunciarsi espressamente in merito alla DPIA.

Dieci domande (senza risposta) al Ministro

Il 17 aprile 2020, abbiamo rivolto pubblicamente dieci domande al Ministro per l’innovazione digitale, a firma congiunta dell’avv. Pelino e del collega Fulvio Sanzana di Sant’Ippolito (con un contributo di Roberto Scano).

La richiesta è stata gentilmente ospitata da una testata di primo piano, Agenda Digitale, ed è leggibile qui.

Tra le richieste, figura quella di avere informazioni sulla DPIA, sulla pseudonimizzazione, sulle categorie di dati personali trattati, sulla loro circolazione, sull’interazione con la piattaforma progettata da Google ed Apple.

Sono domande essenziali, che, sfortunatamente, attendono ancora una risposta istituzionale. La valutazione d’impatto, per esempio, deve ritenersi obbligatoria, dal momento che ricorrono ben cinque delle condizioni esaminate nelle linee guida europee dell’EDPB/WP29. Ne sarebbero sufficienti due.

È appena il caso di notare che la DPIA dovrebbe precedere la progettazione e certamente l’implementazione di un’applicazione di tracciamento. Le linee guida richiamate indicano espressamente: “La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note”.

Non solo. Le recentessime linee guida n. 4/2020 dell’EDPB ribadiscono come “debba essere effettuata una valutazione d’impatto [DPIA] sulla protezione dei dati prima di implementare le app in questione”.

Ad oggi non abbiamo alcuna notizia sul rispetto di questo fondamentale adempimento, che, lungi dall’essere un esercizio di forma, costituisce il momento in cui si disegna l’architettura del trattamento. Con una metafora: è come cominciare a edificare una casa senza avere fatto il progetto.

Una nuova lettera aperta

Il 25 aprile 2020, l’avv. Enrico Pelino ha sottoscritto, con i colleghi Andrea Lisi e Fulvio Sarzana di Sant’Ippolito, un’ulteriore lettera al Ministro per l’innovazione tecnologica e la digitalizzazione, chiedendo trasparenza.

Qui la notizia, mentre il pdf della lettera può essere scaricato da questa pagina.

Trasparenza su che cosa? Sulle procedure di selezione dell’applicazione, sui verbali della task force (al momento non accessibili, se non per esiguo estratto), sul contratto con il fornitore (idem), sulla DPIA (ancora), sui flussi di dati personali, sulle categorie degli stessi, sulla pseudonimizzazione.

Abbiamo cioè chiesto di trasformare quella che oggi è a tutti gli effetti una black box in una scatola di cristallo. Non si può chiedere fiducia ai cittadini e invitarli a utilizzare un’applicazione sulla quale si addensa il più fitto mistero istituzionale. Chi domanda fiducia deve insomma fornire trasparenza: prima ancora che un obbligo giuridico, questo è un imperativo istituzionale.

Ad oggi la lettera aperta, nonostante abbia ricevuto amplissima adesione da parte di esperti e studiosi di primissimo livello, tra i quali l’ex presidente del Garante per la protezione dei dati personali, prof. Pizzetti, non ha meritato alcuna risposta.

Vi terremo aggiornati sugli sviluppi.

Le sanzioni nell’era del GDPR: decine di milioni di euro

Gennaio 2020. Il Garante per la protezione dei dati personali ha cominciato a pubblicare le prime ordinanze-ingiunzioni “di peso” comminate a soggetti privati ai sensi del GDPR.

Complessivamente 11,5 milioni di euro nei confronti di Eni Gas e Luce e 27,8 milioni di euro nei confronti di TIM.

Alla prima società è stata contestata attività di telemarketing in carenza di presupposti normativi e la conclusione di contratti all’insaputa degli interessati.

Alla seconda una serie di carenze, perfino dolose, nell’attività di telemarketing, nella gestione della complessiva filiera dei responsabili del trattamento, nell’acquisizione del consenso.

Addirittura, risultava richiesto un unico consenso per più finalità: una violazione per così dire “basilare”, completamente inammissibile già nel sistema previgente al GPDR, eppure replicata.

Per un approfondimento

La mia intervista alla radio dell’avvocatura IusLaw Web Radio condotta dal collega Angelo Marzo sulla sanzione nei confronti di TIM.

Un’intervista più articolata con il collega Elia Barbujani alla stessa radio sui provvedimenti del Garante nei confronti di Eni Gas e Luce.  

Data breach e privacy-by-design

Che cos'è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?

I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell'immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.

Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B - Reasearch to Business. Di seguito una breve sintesi del mio intervento.

Leggi tutto "

Data breach e privacy-by-design

"

Protezione dei dati personali: torna l’interpello preventivo?

Il 9 maggio 2019 è entrato in vigore il nuovo – atteso – regolamento n. 1/2019 del Garante per la protezione dei dati personali sulle procedure interne a rilevanza esterna, dunque innanzitutto su quella di reclamo. Contestualmente, è entrato in vigore anche il gemello regolamento n. 2/2019.Restiamo tuttavia sul primo. La disciplina, di notevole interesse per il pratico, presenta profili di continuità ma anche elementi di novità rispetto al precedente regolamento n. 1/2007. In particolare, vogliamo qui concentrarci sull’istituto noto in passato come “interpello preventivo”. Ricordiamo che l’interpello preventivo andava esperito, nella regolarità dei casi, prima di procedere con ricorso al Garante, pena l’inammissibilità dello stesso.Ebbene, il punto interessante è il seguente: il nuovo regolamento n. 1/2019 ha reintrodotto oppure no l’interpello preventivo che era stato eliminato dalla normazione primaria? Come deve regolarsi oggi l’interessato che richieda tutela amministrativa?Prima di entrare nel vivo della questione, facciamo un rapido cenno al contesto, per fornire una cornice al ragionamento.Leggi tutto "

Protezione dei dati personali: torna l’interpello preventivo?

"