Proctoring, dati biometrici e violazioni

Ascolta l’intervista dell’avv. Enrico Pelino a Ius Law Web Radio.

Con un recente provvedimento (qui), il Garante per la protezione dei dati personali ha sanzionato l’Università Bocconi per € 200.000, in seguito a rilevate violazioni dei dati personali in un sistema di proctoring, utilizzato per lo svolgimento di prove d’esame.

Il proctoring è tecnicamente l’attività di vigilanza volta ad assicurare che il candidato rispetti le regole e non utilizzi ausili di vario genere per facilitarsi.

In ambito di didattica a distanza (DAD) esistono varie soluzioni software che permettono di riprodurre tale vigilanza in ambienti naturalmente sottratti a controllo, quali appunto i sistemi informatici utilizzati dall’esaminando e i luoghi fisici in cui essi si trovano. Tipicamente tali sistemi prevedono un’acquisizione visiva dell’ambiente, il blocco della navigazione dell’esaminando al fine di evitare consultazione di materiale non ammesso, e, per quello che qui maggiormente interessa, la rilevazione di comportamenti considerati sospetti, che potrebbero rivelare condotte elusive. Inoltre, c’è l’ovvia esigenza di comprendere se il candidato non venga sostituito da terzi durante la prova, esigenza che richiede la memorizzazione di informazioni per successivo raffronto.

Dati biometrici, profilazione, base giuridica

I dati personali raccolti sono dunque di regola per loro natura dati biometrici (cfr. artt. 4.14 e 9.1 GDPR), quantomeno in parte, poiché permettono di individuare soggetti in base all’elaborazione di caratteristiche fisiche e/o comportamentali. Viene inoltre in considerazione nella maggior parte dei casi una profilazione, che pone delicati rischi di discriminazione e più in generale attiva la necessaria disamina sull’osservanza dei principi del GDPR, innanzitutto in termini di proporzionalità.

Altra questione complessa è quella della base giuridica del trattamento, che al momento, almeno nella prospettazione che emerge dal provvedimento citato, non sembra mai sostenibile, tanto che la si individui nel consenso tanto che la si costruisca sull’interesse pubblico rilevante, ossia rispettivamente sugli artt. 9.2.a o 9.2.g GDPR in combinato disposto con l’art. 2-sexies Cod. priv.. Per approfondimenti su questi temi e molti altri sollevati dal provvedimento rimandiamo all’intervista.

Obbligo di green pass e diritti

A far data dal 22 settembre 2021 con modifica al DL 52/2021 è stato introdotto l’obbligo di green pass (certificazione verde) in maniera pressoché generalizzata per lo svolgimento di attività lavorativa. Ci occupiamo qui dell’applicazione al settore privato, definita dall’art. 9-septies del citato decreto.

La generalizzazione dell’obbligo rivela, a parere di chi scrive, forzature estreme. La novella normativa parifica infatti irragionevolmente situazioni disuguali, e questo già varrebbe a determinarne il contrasto con il principio di ragionevolezza e con l’art. 3 Cost.

I contesti di lavoro sono diversissimi tra loro e altrettanto irriducibili a unità vi appaiono le modalità e la frequenza di relazione interpersonale, dunque il rischio di contagio.

L’esclusione di una valutazione dei rischi in concreto

In maniera contraddittoria rispetto alla dichiarata ratio perseguita, la novella esclude ogni ragionevole forma di valutazione in concreto del rischio e il coinvolgimento, che dovrebbe essere invece necessario, del principale soggetto competente a valutarlo in azienda, ossia il medico del lavoro.

L’art. 9-septies sembra infatti applicarsi a prescindere dall’apprezzamento del medico e da una valutazione effettiva.

Neppure tiene conto dell’impiego dei dispositivi di protezione individuale, o DPI, che costituiscono altrove nella più generale normativa strumenti fisici idonei di contrasto alla diffusione del virus, e dunque di abbattimento del rischio connesso. Ciò appare irrazionale.

L’art. 32 Cost.

Le conseguenze per il lavoratore non munito di valido green pass sono invero gravissime e ne colpiscono in maniera che appare sproporzionata i diritti fondamentali, costituzionalmente garantiti. È appena il caso di notare che non appare richiamabile a supporto l’art. 32 Cost., non sussistendo al momento nel nostro Paese alcun generale obbligo vaccinale in relazione al Covid-19, fatte salve alcune specifiche categorie professionali.

Semmai l’art. 32 Cost. garantisce il diritto di non vaccinarsi, in mancanza appunto di disposizione di legge di segno opposto (ivi comma 2).

Se il Legislatore avesse ritenuto realmente necessaria ai fini della salute pubblica la vaccinazione globale, l’avrebbe disposta positivamente, nel dovuto rispetto dell’architettura costituzionale, che non può essere elusa.

Conseguenze per i lavoratori

Vediamo alcune di queste conseguenze. I lavoratori “che risultino privi della predetta certificazione al momento dell’accesso al luogo di lavoro, al fine di tutelare la salute e la sicurezza dei lavoratori nei luoghi di lavoro sono considerati assenti ingiustificati fino alla presentazione della predetta certificazione e, comunque, non oltre il 31 dicembre 2021”, comma 6 dell’art. 9-septies citato.

Per essere assenti ingiustificati occorre cioè essersi presentati sul luogo di lavoro. Formulata così, la disposizione è un esercizio di neolingua. Alla base appare esserci una confusione ontologica, che approda a scelte terminologiche paradossali.

Il lavoratore, assente ingiustificato nei termini (rovesciati) di cui sopra, non perderebbe comunque il lavoro ma il compenso. Non è poco. Sul punto la disposizione normativa di cui al comma 6 precisa: “Senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro”.

Non altrettanto prevede il comma 8, in base al quale “restano ferme le conseguenze disciplinari secondo i rispettivi ordinamenti di settore” per i lavoratori che accedano ai luoghi di lavoro senza possedere ed esibire, su richiesta, la certificazione verde. Il coordinamento, non ineccepibile, con il comma 6 sembra essere rimesso al momento in cui avvengono i controlli, e tutto sommato dunque anche alla casualità della loro effettuazione.

Il rischio del licenziamento e di sanzioni amministrative

Da notare che nell’ipotesi disciplinata dal comma 8, potrebbe non essere escluso perfino il licenziamento, come si è già ipotizzato in un primo studio di Confindustria (pdf). A chi scrive sembra che la sanzione massima mal si concili, per gravità, con la previsione del comma 6, che descrive una condotta oggettivamente limitrofa ma dichiaratamente priva di esito disciplinare.

Non sembra confortare la scelta della sanzione massima neppure la parificazione, invero apodittica, tra mancanza di certificato ed effettivo rischio sanitario per l’azienda, tanto più ove quest’ultimo sia inferito ex lege, dunque in astratto, omettendo le valutazioni che in concreto potrebbero invece smentirlo o ridimensionarlo da parte del medico competente, e prescindendo dalla sussistenza delle altre misure di effettivo contenimento come i DPI.

Appare cioè opportuno per l’imprenditore valutare con prudenza le conseguenze disciplinari, evitando eccessi che potrebbero non sempre risultare agevolmente difendibili in sede contenziosa.

Il lavoratore rischia altresì, nell’ipotesi del comma 8, di essere sanzionato amministrativamente da € 600,00 a € 1.500,00, e questo paradossalmente per avere esercitato il suo diritto di non vaccinarsi, ad oggi riconosciuto dall’art. 32 Cost., ved. sopra.

Distinzioni binarie e contraddizioni

Non c’è spazio qui per affrontare in dettaglio altri temi più tecnici quali il fondamento scientifico del rischio di diffusione del virus, che sembra riguardare purtroppo anche i vaccinati, i quali possono ben contrarre il patogeno, sviluppare carica virale e talvolta anche la malattia, cfr., ex multis, CDC, Outbreak of SARS-CoV-2 ecc., in particolare ivi parte sul “viral load”.

Tale evidenza fa cadere o mette quantomeno in serio dubbio le distinzioni binarie tra rischio e carenza di rischio sulle quali il Governo sembra avere edificato la normazione straordinaria.

Nessuna novità peraltro. Serie perplessità sulla coincidenza tra vaccinazione e immunità erano state espresse già nel febbraio 2021 dall’OMS e ritenute dirimenti in aprile dalle Autorità di controllo europee per la protezione dei dati personali rispetto alla certificazione comprovante la vaccinazione, da non assumere quale certificazione di immunità.

La tesi che il vaccinato sia immune al virus è peraltro ipso facto smentita dallo stesso Normatore laddove questi non solo non esclude per i vaccinati il pericolo posto dai consociati senza green pass, ma ne fa a ben vedere il principale pilastro logico della normazione straordinaria. Contraddittoriamente, cioè, i vaccinati sarebbero al tempo stesso immuni e non immuni. È il paradosso del gatto di Schrödinger e ha certamente effetto sulla tenuta giuridica della decretazione.

In realtà, nell’attuale assetto, i portatori di green pass (vaccinati e non vaccinati) possono ben essere contagiati dai loro omologhi, perché la certificazione, contrariamente agli assunti governativi, nulla di certo indica sull’effettivo stato di salute del singolo, che appare semmai determinabile, sia pure con approssimazione, solo attraverso un tampone.

Stigma sociale e riduzione di cittadini a paria

L’arbitraria equiparazione concettuale tra possesso del green pass e salute ha portato a velenose divisioni e allo stigma sociale nei confronti di migliaia di cittadini ridotti sostanzialmente a paria. Si sono registrati episodi di violazione di norme basiche e della dignità dell’uomo, come i casi di insegnanti invitati ad abbandonare la classe essendo intervenuta nelle more la scadenza oraria del green pass. Quasi che il termine della durata burocratica del certificato corrispondesse a contestuale compromissione dello stato di salute.

Ciò è potuto avvenire perché si è lavorato su “proxy”, ossia su grossolani succedanei degli oggetti che si intendeva disciplinare. Per questa via, il green pass è diventato la medesima cosa dello stato di salute e la scadenza oraria del primo compromissione del secondo.

In diritto andrebbe evitato il più possibile l’uso di proxy, essendo ben noto che quanto più si operano approssimazioni tanto maggiore è il rischio di distorsioni e applicazioni discriminatorie. Andava anche condotta preliminarmente alla decretazione quell’analisi del rischio che è pressoché sconosciuta al nostro Legislatore, ancorché vi sia tenuto.

La sostituzione dell’esercizio dei diritti costituzionali con un codice QR che legittimi a esercitarli (insidioso esperimento, comunque lo si guardi, e ancor più in seguito alla sua accettazione sociale), ossia l’idea, che deve essere apparsa ingegnosa, di aggirare il disposto del secondo comma dell’art. 32 Cost. creando un pervasivo sistema di certificazioni amministrative e un capillare e diffuso trattamento di dati altrui (peraltro facilmente esposti a inferenze) sembra porsi a chi scrive in contrasto con le basi stesse del diritto alla protezione dei dati personali.

Ciò già per il solo fatto di essere un aggiramento appunto, ossia una violazione dei principi di correttezza e di finalità, e a prescindere da più approfonditi esami dei criteri di liceità, necessità e proporzionalità. In realtà le violazioni del GDPR e del Codice privacy appaiono considerevoli.

Necessità e proporzionalità

Si sente domandare spesso dai non addetti ai lavori a che cosa serva la “privacy”. Bene, i nostri dati personali riflettono le nostre scelte. Conservarne il controllo e pretendere il rispetto di regole da parte dei soggetti privati e pubblici che li trattano, tanto più quando questi ultimi sono apicali e addirittura produttori di norme, dunque concentrano un enorme potere, offre un guscio protettivo a quelle scelte e alla sottostante libertà che le ha determinate. Far valere le regole vuol dire per esempio non essere discriminati nell’esercizio di diritti fondamentali per avere effettuato scelte individuali sulla propria salute che si aveva pieno titolo di esercitare, ved. sopra a proposito dell’art. 32 Cost.

Ecco a che cosa serve la “privacy”. Non è ovviamente una pretesa assoluta, ma neppure è assoluta la pretesa opposta, che deve essere giustificata innanzitutto in termini di necessità e proporzionalità. Necessità non equivale a opportunità e neppure a legittimo indirizzo politico perseguito. Necessità è proprio necessità: ossia, deve sussistere una sola strada e deve esserci ragione di percorrerla assolutamente. Il confronto con altri Stati membri UE, dove si sono operate scelte diverse, palesa senza ulteriore analisi che non sussiste alcuna necessità.

Visto che si è toccato il piano eurounitario, preme segnalare che la violazione, per esempio, dell’art. 52 della Carta dei diritti fondamentali dell’UE (CDFUE) integra violazione di disposizioni che hanno lo stesso valore giuridico dei Trattati. Così è dal 1° dicembre 2009.

Conclusioni

Resta ferma l’utilità e l’efficacia dei vaccini, supportati da ampia e solida evidenza scientifica, ma non esenti da un rischio individuale.

Tale rischio sembra, almeno a chi scrive, giuridicamente affrontabile solo sul piano della libera scelta del singolo, a meno di non voler considerare sacrificabile alla collettività un certo numero, sia pur ridotto, di cittadini. Cfr. Agenzia Europea per i Medicinali, COVID-19 vaccine safety update Cominarty BioNTech Manufacturing GmbH, July 2021: “As of 4 July 2021, a total of 206,668 cases of suspected side effects with Comirnaty were spontaneously reported to EudraVigilance from EU/EEA countries; 3,848 of these reported a fatal outcome”.

Del resto, il Legislatore mostra piena contezza della possibilità di effetti collaterali anche gravissimi ad esito della somministrazione dei nuovi vaccini, tanto da avere introdotto apposito scudo penale, con l’art. 3 DL 44/2021.

In letteratura medica sono emerse sindromi specifiche collegate, in casi assai rari, ad alcune tipologie di vaccino, note con gli l’acronimi “VITT” – vaccine induced thrombotic thrombocytopenia, “VIPIT” – vaccine-induced prothrombotic immune thrombocytopenia, “TTS” – thrombosis with thrombocytopenia syndrome (cfr. qui per un primo orientamento).

Per questo credo che la scelta vaccinale non possa che essere e restare libera e personale. In ambito italiano si è invece recentemente sperimentata una scorciatoia fortemente coercitiva, inedita per dimensioni nell’Unione, forzando l’autodeterminazione individuale attraverso la mortificazione della persona, la sospensione di diritti fondamentali, l’emarginazione dai consociati e l’esclusione da occasioni di vita.

Questa particolare modalità di rieducazione del cittadino, sia permesso osservare, ha un certo sapore pavloviano, strutturata su punizioni e ricompense.

Graduatorie dei docenti e (mal)trattamento dei dati personali

Si apprende da notizie di stampa che le prime graduatorie provinciali per le supplenze (GPS) registrano numerosi casi di attribuzione di punteggi fortemente anomali. Analoghe indicazioni allarmate provengono da associazioni sindacali.

Ebbene, se quanto esposto trovasse conferma – e sussiste ampia evidenza in senso positivo – saremmo ancora una volta dinanzi a un clamoroso e vasto caso di (mal)trattamento dei dati personali dei docenti da parte del Ministero.

Il lettore ricorderà infatti i recenti episodi di gestione delle procedure di mobilità del personale docente attraverso algoritmi interamente automatizzati, in contrasto con la normativa sulla protezione dei dati personali (per approfondimenti sia permesso rimandare a E. PELINO, Decisioni interamente automatizzate nella P.A.: lecite alla luce del GDPR?).

Certo, la vicenda attuale presenta differenze e non abbiamo indicazione (al momento) del ricorso a processi interamente automatizzati. Non c’è dubbio, tuttavia, che la formazione di graduatorie e l’attribuzione di punteggi a persone fisiche rientri, a pieno titolo, nell’alveo tutelato dalla normativa sulla protezione dei dati personali, dunque innanzitutto sia riconducibile al “GDPR” (reg. UE 2016/679) e al Codice privacy (d.lgs. 196/03).

Ebbene, quali sono i vantaggi di una lettura della caos graduatorie in chiave privacy?

Sono di natura strategica. Sovente infatti si tende a seguire solo la classica strada del processo amministrativo, non tenendo conto (anche all’interno di un disegno sinergico) dei notevoli strumenti di intervento offerti al docente anche dal GDPR e dal Codice privacy, come pure delle nette conseguenze giuridiche sostanziali connesse con il trattamento in violazione della suddetta normativa: l’inutilizzabilità dei dati personali, con tutti i necessari corollari.

Se ti trovi nella situazione descritta e vuoi saperne di più o se, da collega amministrativista, vuoi esplorare i vantaggi di una sinergia in chiave di protezione dei dati personali, puoi contattaci senza impegno ai recapiti di studio, saremo lieti di fornirti riscontro.

Covid e protezione dei dati personali: quali diritti puoi far valere

Una domanda che viene frequentemente posta è la seguente: “Mi sono sottoposto a tampone diagnostico per rilevare possibile infezione da Covid-19 o a test sierologico ma non ho ancora ricevuto il risultato. Come mi tutela la normativa?

Il quesito appare legato a una non sempre ottimale organizzazione a livello istituzionale delle attività di contrasto al coronavirus (Sars-CoV-2) e di gestione dei correlati test sanitari.

Ad esempio, ha avuto risonanza giornalistica il caso dei turisti rimasti bloccati per alcuni giorni nel resort Santo Stefano in Sardegna, in seguito all’emersione di un focolaio virale. Ebbene, nonostante il passaggio di un significativo lasso di tempo dall’effettuazione dei tamponi, alcuni turisti lamentano di non avere ancora ricevuto il risultato delle analisi.

Indicano anche che una sintesi degli esiti sarebbe stata invece comunicata dalle Autorità (secondo modalità e basi giuridiche tutte da verificare) ai titolari della struttura in cui hanno alloggiato.

Il caso del resort sardo rappresenta del resto solo un campione di una più vasta situazione di inefficienze che emerge “a macchia di leopardo” sul territorio nazionale ed è stata oggetto di segnalazioni o di servizi giornalistici.

Si ravvisa in definitiva un’esigenza fortemente avvertita da chi si è sottoposto a esami diagnostici di riappropriarsi del controllo delle proprie informazioni sanitarie, ossia di acquisire senza ritardo, in maniera completa e trasparente gli esiti di tamponi e degli esami sierologici, così come, parallelamente, di comprendere l’esatto ambito di circolazione delle informazioni che lo riguardano.

Da un lato, infatti, ritardi nella comunicazione degli esiti possono determinare gravi situazioni di frizione sociale e notevoli limitazioni nella libertà personale, costringendo chi è in attesa dei risultati o a periodi di quarantena che potrebbero non essere necessari o, in difetto, a esporre terzi a rischio. Dall’altro lato, la comunicazione illegittima dei risultati dei test o perfino la diffusione dei loro esiti può esporre il paziente a discriminazione, a stigma sociale, a danni lavorativi.

La legittima richiesta di rientrare nel pieno controllo delle informazioni che ci riguardano, tanto più quelle di carattere medico, è ben tutelata normativamente dal Reg. (UE) 2016/679, cd. “GDPR”, sulla protezione dei dati personali.

Si può aggiungere al quadro appena delineato che esiste anche un interesse pienamente tutelato di conoscere la sorte delle proprie autocertificazioni eventualmente consegnate alle Autorità durante il periodo di lockdown. Di conoscere, più esattamente, se i dati ivi contenuti siano stati effettivamente cancellati o, viceversa, le ragioni per cui vengano tuttora trattati.

Non è un punto da sottovalutare: le autocertificazioni presentano infatti un ricco campione di dati personali, anche di natura relazionale, e inoltre, proprio in quanto autocertificazioni, costituiscono fonte di responsabilità giuridica. È del tutto comprensibile perciò pretendere di capire che genere di gestione abbiano avuto.

La normativa sulla protezione dei dati personali costituisce, come si è detto, il principale e più efficace strumento giuridico per far valere i tuoi diritti e pretendere e ottenere informazioni precise e chiare sia sul contenuto completo degli esami sia sulla circolazione dei relativi esiti sia sulla gestione delle autocertificazioni rilasciate durante il lockdown.

Si tratta di tuoi diritti fondamentali, e possiamo aiutarti a esercitarli. Nel caso di violazioni che abbiano determinato un danno hai altresì titolo a ottenere risarcimento.

Diritto digitale

Diritto digitale

Il diritto digitale e in particolare la protezione dei dati personali/ privacy è la nostra principale competenza.
Perché affidarti a noi? Perché non siamo semplici consulenti, siamo avvocati.
Il diritto digitale poggia infatti su una solida base di diritto civile, amministrativo, penale, richiede la conoscenza delle fonti e della loro gerarchia, richiede non la semplice raccolta dei precedenti ma la loro analisi critica, richiede l’individuazione di soluzioni non scontate, out-of-the-box, e per questo hai bisogno di avvocati.
Devi inoltre prevedere quali saranno le possibili conseguenze in caso di contenzioso avanti al Garante o al Giudice ordinario: per questo hai bisogno di un legale esperto anche in litigation, non soltanto in stragiudiziale.

I nostri SERVIZI, per aree

Clicca qui sotto per scoprire la nostra offerta:

  • Analisi dei rischi
  • Individuazione e revisione dei flussi
  • Allocazione dei ruoli attivi di trattamento
  • Mappatura finalità, basi, tempi di conservazione
  • Censimento categorie di interessati e di dati personali
  • Data protection by design e by default
  • Revisione e assistenza sulla governance dei dati
  • Assistenza sulla sicurezza informatica
  • Pareri e assistenza in iniziative imprenditoriali (es., lancio di piattaforme, app, servizi IoT)
  • Data Protection Gap Analysis
  • Assistenza sui registri del trattamento (art. 30 GDPR)
  • Assistenza su DPIA (art. 35 GDPR)
  • Assistenza su consultazione preventiva (art. 36 GDPR)
  • Assistenza su policy e registro data breach (artt. 24 e 33 GDPR)
  • Interventi di emergenza in materia di data breach (artt. 33 – 34GDPR)
  • Impostazione di policy aziendali e disciplinari interni (es. policy su utilizzo posta elettronica e Internet)
  • Redazione di contratti con i responsabili (art. 28 GDPR)
  • Redazione di accordi tra contitolari (art. 26 GDPR)
  • Formulazione di istruzioni agli autorizzati (art. 29 GDPR)
  • Informative estese e semplificate (artt. 13 – 14 GDPR)
  • Assistenza su trasferimento extra UE/SEE di dati (Capo V GDPR)
  • Pacchetto revisione sito Internet (inclusi cookie)
  • Assistenza su marketing e protezione dati
  • Assistenza su videosorveglianza e protezione dati
  • Protezione dei dati personali nella sanità

  • Impugnazione di ordinanze-ingiunzioni del Garante per la protezione dei dati personali
  • Impugnazione di altri provvedimenti del Garante
  • Segnalazioni e reclami al Garante
  • Ricorsi civilistici per violazione dei dati personali e/o risarcimento del danno
  • Diffamazione on-line
  • Accesso abusivo a sistema informatico
  • Frode informatica
  • Furto d’identità (e sottostanti fattispecie incriminatrici)
  • Phishing (e sottostanti fattispecie incriminatrici)
  • Reati previsti dal Codice privacy
  • Predisposizione di pacchetti all-in-one, che integrano 231/ GDPR/ Codice della proprietà industriale
  • Redazione/ revisione di condizioni generali e di EULA per piattaforme, app, ecc.
  • Responsabilità dell’Internet service provider (ISP)
  • Nomi a dominio, incluso arbitrato WIPO
  • E-commerce e marketing
  • Tutela del software e della proprietà intellettuale
  • Verifica conformità siti alla normativa vigente


Di che cosa hai bisogno?

Abbiamo creato delle FAQ navigabili, per permetterti di individuare facilmente la soluzione adatta alla tua esigenza:

Ecco alcuni esempi:

  • Qualcuno detiene informazioni sul tuo conto e tu desideri comprendere quali (es. valutazioni presso un datore di lavoro/ indice di affidabilità creditizia presso una società)
  • Nella ricerca su Internet il tuo nome è associato a risultati negativi e desideri cancellarli
  • Un prodotto sanitario destinato a te è stato consegnato ad altri
  • La mail aziendale con il tuo nome risulta ancora attiva dopo la cessazione del contratto
  • Sul sito Internet del tuo comune hanno pubblicato dati sulla tua salute
  • Ti è pervenuta dalla banca/ dalla società di telefonia/ dalla compagnia aerea/ dal datore di lavoro/ ecc. la comunicazione che i tuoi dati sono stati acceduti da terzi o che la tua password è stata compromessa (data breach)
  • un’app ti geolocalizza indebitamente o sei indebitamente tracciato (es. da un software aziendale/ istituzionale)
  • Ricevi fatturazioni inspiegabilmente associate al tuo nome e intendi chiarire di che si tratta
  • La tua immagine è utilizzata indebitamente da terzi
  • La tua busta paga è stata comunicata a terzi
  • Ti viene richiesto un numero irragionevole di informazioni nell’adesione a un servizio o per il recupero di una password
  • Ricevi telefonate indesiderate di marketing
  • Sei inquadrato indebitamente da videocamere
  • Sei vittima di furto d’identità
  • Sei vittima di diffamazione online
  • Hai già provato a chiedere chiarimenti o ad opporti senza ottenere riscontro od ottenendo un diniego
  • Desideri fare reclamo presso il Garante oppure agire in giudizio

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Ecco alcune situazioni in cui possiamo aiutarti:

  • La comunicazione indebita o l’accesso indebito a informazioni sul tuo conto hanno determinato il tuo licenziamento
  • La diffusione di informazioni sul tuo conto ti ha discriminato o ha impedito l’accesso a un servizio
  • L’accesso indebito a tue informazioni ti ha posto in una situazione di profondo stress e sofferenza
  • Le informazioni associate su Internet al tuo nome ti precludono occasioni lavorative/ contrattuali
  • L’associazione indebita di fatture/ debiti al tuo nome ti ha provocato un danno economico
  • L’accesso di terzi al tuo conto bancario ti ha provocato una perdita
  • Attività online di terzi hanno pregiudicato la tua reputazione/ il controllo dei tuoi dati, provocandoti pregiudizio
  • Hai perso il controllo dei tuoi dati

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Ecco alcune situazioni in cui possiamo aiutarti:

  • Hai diffuso su social immagini, numeri di telefono, informazioni sulla salute di terzi (o altre informazioni)
  • Hai espresso apprezzamenti diffamatori su terzi nei social
  • Il tuo impianto di videosorveglianza riprende aree non di tua esclusiva proprietà
  • Ti è stata contestata la violazione della privacy altrui e desideri difenderti

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Lavoriamo sulla qualità. Ecco che cosa possiamo offrirti:

  • Completezza normativa: profonda e comprovata conoscenza del GDPR, della direttiva e-Privacy, del Codice privacy e della normativa secondaria italiana
  • Approccio europeo: integrazione con le opinioni, documenti di lavoro, decisioni, linee guida europee WP29/ EDPB/ EDPS
  • Expertise Garante: conoscenza estesa dello storico di provvedimenti e linee guida del Garante
  • ENISA: applicazione dei modelli ENISA
  • Integrazione trasversale con altri settori del diritto (es., salute e sicurezza sul lavoro, modelli 231, trasparenza amministrativa, ecc.)
  • Giurisprudenza europea: oltre alla giurisprudenza nazionale, teniamo conto delle principali pronunce della Corte di Giustizia UE e della Corte EDU
  • Expertise DPA europee: conoscenza dei principali documenti delle Autorità nazionali di controllo europee, in particolare CNIL/ AEPD /ICO
  • Modello di lavoro per processi

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Scopri come lavoriamo e i nostri punti di forza:

  • Per le fonti utilizzate e l’expertise, ved. voce precedente “Hai bisogno di un consulente privacy/ DPO
  • Obiettivo accountability: la compliance non è forma, è sostanza. Lavoriamo a integrare effettivamente la privacy nel normale ciclo operativo (accountability)
  • Approccio non-disruptive: cerchiamo con il Cliente la strada più semplice e meno impattante sul suo modo di lavorare
  • Metodo: svolgiamo sempre una due diligence/ gap analysis, calibrata sulla tua struttura
  • Elaboriamo una roadmap degli interventi
  • Ti accompagniamo nell’individuazione dei punti più critici e delle priorità
  • Approccio circolare, non lineare: torniamo sui temi principali ciclicamente, per assicurarci la loro integrazione effettiva nella struttura
  • Lavoriamo sull’accountability e sulla sensibilizzazione alla normativa dei soggetti apicali
  • Intervento modulare: possiamo limitare, su richiesta, il nostro intervento a settori specifici o anche solo limitarlo a un “tagliando privacy”, ossia un audit sull’esistente
  • Modalità sartoriale: nel rispetto del budget del Cliente, non siamo legati a modelli fissi, ma costruiamo la compliance sulla struttura effettiva del Cliente

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Perché sceglierci:

  • Trasparenza: discutiamo e spieghiamo la strategia di difesa ai nostri Assistiti
  • Conoscenza delle fonti e dei precedenti: abbiamo una estesa conoscenza dell’articolazione delle fonti e dei precedenti, non solo italiani
  • Analisi critica dei provvedimenti impugnati: ogni caso è diverso da un altro, scomponiamo la linea logica del provvedimento da impugnare per evidenziarne i punti deboli
  • Chiarezza nel preventivo: i nostri preventivi sono dettagliati e non riservano sorprese
  • Due diligence preliminare: svolgiamo sempre una due diligence sulla vicenda, volta a evidenziare le chance di successo
  • Facilità comunicativa: comunicare direttamente con ruoli senior è semplice, crediamo nel rapporto diretto Avvocato-Assistito
  • Garanzia di riservatezza sull’attività svolta

Contattaci per un preventivo gratuito.

Nostri punti di forza:

  • Per il metodo di lavoro, ved. voce precedente “Vuoi impugnare un’ordinanza-ingiunzione”
  • Creiamo una squadra di lavoro: in particolare, sui profili tecnici e di forensics ci coordiniamo con una struttura rinomata nel mercato

Contattaci per un preventivo gratuito.

Scopri i vantaggi di una soluzione integrata:

  • Approccio integrato: ci coordiniamo con una rete di altri professionisti di fiducia per offrire pacchetti integrati 231/GDPR/Codice della protezione industriale
  • Vantaggi dell’approccio integrato: risparmio complessivo, coerenza tra processi interconnessi, semplificazione complessiva, pacchetto all-in-one
  • Chiarezza nel preventivo
  • Roadmap della tempistica
  • Facilità di comunicazione diretta con i professionisti che ti seguono
  • Garanzia di riservatezza/ NDA

Contattaci per maggiori informazioni e per un preventivo gratuito.

I servizi che possiamo fornirti:

  • Realizziamo condizioni generali/ EULA
  • Redigiamo informativa e mettiamo a norma la parte consumeristica
  • Ci occupiamo dei cookie
  • Applichiamo tecniche di privacy-by-design e by-default
  • Ti assistiamo nella DPIA, ove ne sussistano le condizioni (valutiamo anche questo)

Contattaci per un preventivo gratuito.

CORONAVIRUS: tra sicurezza sul lavoro e privacy 2/2

Parte seconda
INDICAZIONI OPERATIVE

Dopo la prima parte introduttiva vediamo adesso insieme alcuni accorgimenti che imprenditori, commercianti e liberi professionisti devono adottare per garantire la sicurezza sul lavoro e assicurare la tutela dei dati personali.

INFORMAZIONE

L’azienda deve fornire non solo a tutti i lavoratori ma a chiunque acceda ai locali aziendali con apposite e idonee informative le indicazioni relative alle disposizioni dettate dalle Autorità.

In particolare l’informativa dovrà indicare:

• l’obbligo di restare presso il proprio domicilio in presenza di febbre oltre 37.5° o altri sintomi influenzali e di comunicarli all’autorità sanitaria;

• l’impegno a informare il datore di lavoro della presenza di un qualsiasi sintomo influenzale durante l’attività lavorativa

• impegno a rispettare le disposizioni delle Autorità e le disposizioni adottare dall’azienda per l’accesso ai locali: quali ad esempio mantenere la distanza di sicurezza, indossare i dispositivi di protezione individuale (es. mascherina e guanti) e osservare le misure di igiene per le mani

• l’accettazione del fatto di non poter fare ingresso o permanere nei locali aziendali per chi, ad esempio, presenta uno stato febbrile, sintomi influenzali, o negli ultimi 14 giorni sia stato in contatto con persone positive al virus.

NB: le indicazioni riportate sono contenute nei Protocolli adottati nella fase emergenziale, tuttavia non tutte le prescrizioni ivi contenute appaiono essere state allineate con le fonti normative, anche di rango sovraordinato, esistenti, ad esempio in ambito giuslavoristico o privacy. Dunque, anche in questo caso, una corretta adozione di questi accorgimenti dovrebbe passare attraverso il filtro di una consulenza legale.

MODALITÀ DI INGRESSO IN AZIENDA PER DIPENDENTI E FORNITORI ESTERNI

L’imprenditore/datore di lavoro, anche con l’ausilio di collaboratori, in alcuni casi può in altri deve procedere con alcune verifiche sulle persone che intendono accedere in azienda. In particolare:

può controllare la temperatura corporea del personale dipendente prima dell’accesso al luogo di lavoro e in caso di temperatura superiore ai 37.5° deve inibirne l’accesso

• deve vietare l’accesso al dipendente che negli ultimi 14 giorni abbia avuto contatti con soggetti positivi al Covid-19 o provenga da zone a rischio

• prima dell’ingresso in azienda deve ricevere dal personale già risultato positivo al Covid-19 la certificazione di “avvenuta negativizzazione
• deve favorire orari di ingresso/uscita dei dipendenti scaglionati in modo da evitare il più possibile contatti nelle zone comuni, se possibile dedicando una porta di entrata e una di uscita

• deve collocare dispenser contenenti prodotti igienizzanti per le mani in corrispondenza dei punti di accesso e uscita dai locali aziendali

• per i fornitori esterni deve individuare procedure di ingresso, transito e uscita che riducano le occasioni di contatto con il personale

• deve vietare l’accesso agli uffici degli autisti dei mezzi di trasporto

• deve vietare ai fornitori esterni l’utilizzo dei servizi igienici del personale e installarne/destinarne appositi e garantirne adeguata pulizia quotidiana

• deve ridurre l’accesso ai visitatori e in caso di accesso necessario i visitatori dovranno rispettare le regole aziendali

• qualora presente un servizio di trasporto aziendale deve essere garantita e rispettata la sicurezza dei lavoratori lungo ogni spostamento

• in caso di dipendenti di aziende terze positivi al Covid-19 presenti in azienda, l’appaltatore deve immediatamente informarne il committente

• il committente deve dare all’appaltatore completa informativa del protocollo aziendale

NB: anche in questo caso, è corretto avvertire che le prescrizioni sopra indicate fanno parte di quelle emanate in via d’urgenza, ma non sempre si collocano in armonia con la normativa applicabile, di rango superiore. Può ad esempio essere controverso ritenere che il datore di lavoro sia tenuto a conoscere l’esatta patologia Covid-19 del dipendente malato.

TUTELA DEI DATI PERSONALI E DELLA PRIVACY

Anche a prescindere dalle frizioni con il generale quadro normativo applicabile cui si è fatto cenno nei “nota bene”, il rispetto delle disposizioni contenute nei protocolli e nelle linee guida sopra richiamate impone di essere accompagnato dagli adempimenti richiesti dalla normativa sulla tutela dei dati personali.

Ad esempio, tutte le attività di “triage” sopra indicate comportano trattamento di dati personali sulla salute, ossia una delle categorie di informazioni maggiormente tutelate (un tempo si sarebbero parlato di dati “supersensibili”). Inoltre comportano il trattamento di dati personali idonei a rivelare relazioni interpersonali, spostamenti, preferenze e di altre informazioni.

Ne deriva l’adozione un processo e di garanzie che assicurino la liceità dei trattamenti e l’osservanza dei diritti dell’interessato (ossia del soggetto persona fisica cui le informazioni si riferiscono) nel rispetto delle disposizioni dettate dal GDPR (Reg. UE 2016/679) e dal Codice privacy.

Allo stesso modo, la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato (dipendente, fornitore o qualunque altro soggetto terzo), costituisce un trattamento di dati personali (art. 4, par. 1, 2 GDPR) che deve essere preceduto da adeguata informativa ed effettuato nel rispetto del principio di “minimizzazione” (art. 5, par. 1 GDPR).

Le FAQ del Garante per la protezione dei dati personali chiariscono per esempio che il Titolare del trattamento:

• deve fornire adeguata informativa privacy agli interessati (dipendenti, fornitori, trasportatori, visitatori, dipendenti di aziende terze e a tutti gli altri soggetti) che fanno accesso nei locali del titolare

non deve registrare il dato relativo alla temperatura ma il solo superamento della soglia di 37.5° e comunque nei soli casi in cui è necessario per documentare il diniego dell’accesso. Questi casi, aggiungiamo tuttavia, possono essere significativi a fini probatori

• nel ricevere le dichiarazioni di interessati che attestino di aver avuto nei 14 giorni precedenti contattati con soggetti positivi al Covid-19 o provenienti da zone a rischio deve raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio. Notiamo tuttavia che la raccolta di tali informazioni va coordinata con le fonti normative soprastanti, ossia da un lato con la necessità di garantire salute e sicurezza nel luogo di lavoro e fotografare il rischio da agente biologico, dall’altra con quella di osservare la dignità del lavoratore, lo Statuto dei lavoratori, la riservatezza. Dunque, occorre evitare automatismi applicativi e adattare il precetto al caso concreto

• deve collaborare in qualità di datore di lavoro con il medico competente e le RLS/RLST al fine di produrre tutte le misure di regolamentazione legate al Covid-19;sempre nel rispetto dei principi di protezione dei dati, può trattare, in qualità di datore di lavoro, i dati personali dei dipendenti solo se sia previsto da disposizioni normative e disposto da organi competenti o su segnalazione del medico competente

• deve comunicare il nome del dipendente positivo al Covid-19 alle autorità sanitarie competenti

• non deve comunicare il nome del dipendente positivo al Covid-19 al Rappresentante dei lavoratori o agli altri dipendenti o a terzi soggetti

• non può richiedere l’effettuazione di test sierologici ai dipendenti salvo che il test non sia disposto dal medico competente

• può offrire ai propri dipendenti, in tutto o in parte, l’effettuazione di test sierologici presso strutture sanitarie senza conoscerne l’esito

• deve individuare i soggetti autorizzati al trattamento dei dati

• deve redigere precise istruzioni per gli autorizzati

• deve effettuare analisi del rischio e prevedere misure adeguate per la conservazione e consultazione in sicurezza dei dati e la tutela della dignità e della riservatezza del lavoratore (es. in occasione della rilevazione febbre tramite termoscanner, della richiesta della dichiarazione di contatto con soggetti positivi o provenienti da zone a rischio, nella predisposizione delle modalità di conservazione dei dati)

• deve valutare eventuale necessità di DPIA nei casi previsti dall’art. 35 GDPR

• deve individuare le corrette modalità di ricezione del certificato di negativizzazione

• deve valutare la opportunità/necessità dell’adozione del cd. “registro delle prenotazioni”, individuato dalle Linee guida per la riapertura delle Attività Economiche e Produttive e coordinarlo con i registri di trattamento già adottati

FAQ Personal data breach INPS – Che cosa sapere, che cosa fare

Tra il 1° e il 2 aprile 2020 (ma verosimilmente già dal 31 marzo) si sono verificati ben due imponenti personal data breach (violazioni di dati personali) nella piattaforma INPS predisposta per chiedere i bonus disposti dal d.l. 17 marzo 2020, n. 18 in materia di Covid-19.

In particolare, le due violazioni hanno riguardato:

    • I dati personali di soggetti richiedenti il bonus attraverso portale INPS;
    • I dati personali di soggetti che hanno presentato richiesta dello specifico “bonus baby-sitting”

Le violazioni hanno permesso a un elevato numero di utenti di conoscere dati personali di altri soggetti che hanno utilizzato il portale INPS. Alcune di queste informazioni risultano poi essere circolate perfino sui canali social (es. Facebook, Twitter).

Tra le categorie di dati personali figurano, tra le altre, informazioni identificative e di contatto, inclusi numeri di telefoni cellulari, dichiarazioni ISEE, dichiarazioni connesse con lo stato di disoccupazione, il fascicolo previdenziale, certificati di malattia e, riguardo al secondo episodio di violazione, anche informazioni relative a minori e a interessati in condizione di disabilità.

Il Garante ha rilevato:

    • sussistere difformità, da ritenersi grave, tra le dichiarazioni di cui ha ricevuto notifica dall’INPS e la realtà effettiva del personal data breach;
    • sussistenza della probabilità di un rischio elevato per le vittime dei due personal data breach.

Pubblichiamo qui alcune brevi informazioni che lo studio legale Grieco Pelino Avvocati ha predisposto in forma di FAQ, per fornire pratici chiarimenti e indicazioni a coloro che ne sono stati vittime.

A) Ho ricevuto la comunicazione con cui sono stato informato dall’INPS di essere vittima di una violazione dei dati personali. Che cosa significa?

Significa che una violazione di sicurezza ha compromesso la riservatezza dei tuoi dati, rendendoli accessibili a terzi. La comunicazione che l’INPS ti ha inviato costituisce un obbligo di legge a tua garanzia, previsto da una disposizione europea, l’art. 34 GDPR (regolamento UE 2016/679). Il Garante per la protezione dei dati personali ha espressamente prescritto all’INPS di provvedere alla comunicazione della violazione a tutti gli interessati entro 15 giorni dal provvedimento del 14 maggio 2020, dunque entro il 29 maggio 2020.

B) Non ho ricevuto la comunicazione di cui sopra da parte dell’INPS. Potrei essere stato ugualmente vittima del personal data breach?

Non si può escludere che tu sia stato ugualmente vittima dell’evento. Con riferimento al primo personal data breach, il Garante ha per esempio contestato la sussistenza di un numero di soggetti colpiti dalla violazione maggiore di quello dichiarato dall’INPS. Puoi rivolgere una richiesta di accesso ai dati personali all’INPS e ottenere conferma oppure smentita del tuo coinvolgimento nell’evento. Possiamo assisterti in questa attività, se lo desideri.

C) Ho ricevuto la comunicazione o sono comunque vittima del personal data breach. Che cosa devo fare?

L’INPS è tenuto a indicarti che cosa devi fare. In particolare deve comunicarti:

      • la natura della violazione dei dati (ivi inclusa la tipologia dei tuoi dati personali oggetto di violazione, elemento questo direttamente collegato con il rischio);
      • un punto di contatto (DPO o altro) a cui hai il diritto di chiedere (e ottenere) informazioni precise e ulteriori aggiornamenti;
      • le probabili conseguenze della violazione che hai subito (es. furto o abuso d’identità, violazione di codici di accesso, indebiti utilizzi dei tuoi dati personali, ecc.);
      • le misure adottate o da adottare per attenuare/eliminare le conseguenze negative del personal data breach.

Lo scopo di questa comunicazione, che non deve essere un atto di mera forma, è di permetterti di comprendere che tipo di violazione hanno effettivamente subito i tuoi dati, che cosa devi verosimilmente temere, come l’INPS sta provvedendo alla soluzione/mitigazione degli effetti negativi e come tu stesso puoi provvedere alla soluzione/mitigazione degli effetti negativi.

In ogni caso, possiamo assisterti in questa fase.

D) Ho subito un danno in conseguenza del personal data breach. Che cosa devo fare?

Se hai subito un danno in conseguenza del personal data breach, potresti avere diritto al risarcimento del danno patito. Il risarcimento può essere chiesto unicamente all’Autorità giudiziaria (Tribunale).

Costituiscono per es. danni: stato di ansia e di preoccupazione, perdite economiche, discriminazione, circolazione dei tuoi dati in rete senza controllo, esclusione dalla presentazione della domanda in quanto la stessa risultava già depositata, ecc.

Se desideri ricevere assistenza sui tuoi diritti o ritieni di avere subito un danno o di voler procedere comunque in via amministrativa nei confronti dell’INPS, puoi contattarci senza impegno ai recapiti di studio, saremo lieti di fornirti supporto.

Le sanzioni nell’era del GDPR: decine di milioni di euro

Gennaio 2020. Il Garante per la protezione dei dati personali ha cominciato a pubblicare le prime ordinanze-ingiunzioni “di peso” comminate a soggetti privati ai sensi del GDPR.

Complessivamente 11,5 milioni di euro nei confronti di Eni Gas e Luce e 27,8 milioni di euro nei confronti di TIM.

Alla prima società è stata contestata attività di telemarketing in carenza di presupposti normativi e la conclusione di contratti all’insaputa degli interessati.

Alla seconda una serie di carenze, perfino dolose, nell’attività di telemarketing, nella gestione della complessiva filiera dei responsabili del trattamento, nell’acquisizione del consenso.

Addirittura, risultava richiesto un unico consenso per più finalità: una violazione per così dire “basilare”, completamente inammissibile già nel sistema previgente al GPDR, eppure replicata.

Per un approfondimento

La mia intervista alla radio dell’avvocatura IusLaw Web Radio condotta dal collega Angelo Marzo sulla sanzione nei confronti di TIM.

Un’intervista più articolata con il collega Elia Barbujani alla stessa radio sui provvedimenti del Garante nei confronti di Eni Gas e Luce.  

Data breach e privacy-by-design

Che cos'è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?

I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell'immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.

Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B - Reasearch to Business. Di seguito una breve sintesi del mio intervento.

Leggi tutto "

Data breach e privacy-by-design

"

Protezione dei dati personali: torna l’interpello preventivo?

Il 9 maggio 2019 è entrato in vigore il nuovo – atteso – regolamento n. 1/2019 del Garante per la protezione dei dati personali sulle procedure interne a rilevanza esterna, dunque innanzitutto su quella di reclamo. Contestualmente, è entrato in vigore anche il gemello regolamento n. 2/2019.Restiamo tuttavia sul primo. La disciplina, di notevole interesse per il pratico, presenta profili di continuità ma anche elementi di novità rispetto al precedente regolamento n. 1/2007. In particolare, vogliamo qui concentrarci sull’istituto noto in passato come “interpello preventivo”. Ricordiamo che l’interpello preventivo andava esperito, nella regolarità dei casi, prima di procedere con ricorso al Garante, pena l’inammissibilità dello stesso.Ebbene, il punto interessante è il seguente: il nuovo regolamento n. 1/2019 ha reintrodotto oppure no l’interpello preventivo che era stato eliminato dalla normazione primaria? Come deve regolarsi oggi l’interessato che richieda tutela amministrativa?Prima di entrare nel vivo della questione, facciamo un rapido cenno al contesto, per fornire una cornice al ragionamento.Leggi tutto "

Protezione dei dati personali: torna l’interpello preventivo?

"