Diritto digitale

Diritto digitale

Il diritto digitale e in particolare la protezione dei dati personali/ privacy è la nostra principale competenza.
Perché affidarti a noi? Perché non siamo semplici consulenti, siamo avvocati.
Il diritto digitale poggia infatti su una solida base di diritto civile, amministrativo, penale, richiede la conoscenza delle fonti e della loro gerarchia, richiede non la semplice raccolta dei precedenti ma la loro analisi critica, richiede l’individuazione di soluzioni non scontate, out-of-the-box, e per questo hai bisogno di avvocati.
Devi inoltre prevedere quali saranno le possibili conseguenze in caso di contenzioso avanti al Garante o al Giudice ordinario: per questo hai bisogno di un legale esperto anche in litigation, non soltanto in stragiudiziale.

I nostri SERVIZI, per aree

Clicca qui sotto per scoprire la nostra offerta:

  • Analisi dei rischi
  • Individuazione e revisione dei flussi
  • Allocazione dei ruoli attivi di trattamento
  • Mappatura finalità, basi, tempi di conservazione
  • Censimento categorie di interessati e di dati personali
  • Data protection by design e by default
  • Revisione e assistenza sulla governance dei dati
  • Assistenza sulla sicurezza informatica
  • Pareri e assistenza in iniziative imprenditoriali (es., lancio di piattaforme, app, servizi IoT)
  • Data Protection Gap Analysis
  • Assistenza sui registri del trattamento (art. 30 GDPR)
  • Assistenza su DPIA (art. 35 GDPR)
  • Assistenza su consultazione preventiva (art. 36 GDPR)
  • Assistenza su policy e registro data breach (artt. 24 e 33 GDPR)
  • Interventi di emergenza in materia di data breach (artt. 33 – 34GDPR)
  • Impostazione di policy aziendali e disciplinari interni (es. policy su utilizzo posta elettronica e Internet)
  • Redazione di contratti con i responsabili (art. 28 GDPR)
  • Redazione di accordi tra contitolari (art. 26 GDPR)
  • Formulazione di istruzioni agli autorizzati (art. 29 GDPR)
  • Informative estese e semplificate (artt. 13 – 14 GDPR)
  • Assistenza su trasferimento extra UE/SEE di dati (Capo V GDPR)
  • Pacchetto revisione sito Internet (inclusi cookie)
  • Assistenza su marketing e protezione dati
  • Assistenza su videosorveglianza e protezione dati
  • Protezione dei dati personali nella sanità

  • Impugnazione di ordinanze-ingiunzioni del Garante per la protezione dei dati personali
  • Impugnazione di altri provvedimenti del Garante
  • Segnalazioni e reclami al Garante
  • Ricorsi civilistici per violazione dei dati personali e/o risarcimento del danno
  • Diffamazione on-line
  • Accesso abusivo a sistema informatico
  • Frode informatica
  • Furto d’identità (e sottostanti fattispecie incriminatrici)
  • Phishing (e sottostanti fattispecie incriminatrici)
  • Reati previsti dal Codice privacy
  • Predisposizione di pacchetti all-in-one, che integrano 231/ GDPR/ Codice della proprietà industriale
  • Redazione/ revisione di condizioni generali e di EULA per piattaforme, app, ecc.
  • Responsabilità dell’Internet service provider (ISP)
  • Nomi a dominio, incluso arbitrato WIPO
  • E-commerce e marketing
  • Tutela del software e della proprietà intellettuale
  • Verifica conformità siti alla normativa vigente


Di che cosa hai bisogno?

Abbiamo creato delle FAQ navigabili, per permetterti di individuare facilmente la soluzione adatta alla tua esigenza:

Ecco alcuni esempi:

  • Qualcuno detiene informazioni sul tuo conto e tu desideri comprendere quali (es. valutazioni presso un datore di lavoro/ indice di affidabilità creditizia presso una società)
  • Nella ricerca su Internet il tuo nome è associato a risultati negativi e desideri cancellarli
  • Un prodotto sanitario destinato a te è stato consegnato ad altri
  • La mail aziendale con il tuo nome risulta ancora attiva dopo la cessazione del contratto
  • Sul sito Internet del tuo comune hanno pubblicato dati sulla tua salute
  • Ti è pervenuta dalla banca/ dalla società di telefonia/ dalla compagnia aerea/ dal datore di lavoro/ ecc. la comunicazione che i tuoi dati sono stati acceduti da terzi o che la tua password è stata compromessa (data breach)
  • un’app ti geolocalizza indebitamente o sei indebitamente tracciato (es. da un software aziendale/ istituzionale)
  • Ricevi fatturazioni inspiegabilmente associate al tuo nome e intendi chiarire di che si tratta
  • La tua immagine è utilizzata indebitamente da terzi
  • La tua busta paga è stata comunicata a terzi
  • Ti viene richiesto un numero irragionevole di informazioni nell’adesione a un servizio o per il recupero di una password
  • Ricevi telefonate indesiderate di marketing
  • Sei inquadrato indebitamente da videocamere
  • Sei vittima di furto d’identità
  • Sei vittima di diffamazione online
  • Hai già provato a chiedere chiarimenti o ad opporti senza ottenere riscontro od ottenendo un diniego
  • Desideri fare reclamo presso il Garante oppure agire in giudizio

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Ecco alcune situazioni in cui possiamo aiutarti:

  • La comunicazione indebita o l’accesso indebito a informazioni sul tuo conto hanno determinato il tuo licenziamento
  • La diffusione di informazioni sul tuo conto ti ha discriminato o ha impedito l’accesso a un servizio
  • L’accesso indebito a tue informazioni ti ha posto in una situazione di profondo stress e sofferenza
  • Le informazioni associate su Internet al tuo nome ti precludono occasioni lavorative/ contrattuali
  • L’associazione indebita di fatture/ debiti al tuo nome ti ha provocato un danno economico
  • L’accesso di terzi al tuo conto bancario ti ha provocato una perdita
  • Attività online di terzi hanno pregiudicato la tua reputazione/ il controllo dei tuoi dati, provocandoti pregiudizio
  • Hai perso il controllo dei tuoi dati

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Ecco alcune situazioni in cui possiamo aiutarti:

  • Hai diffuso su social immagini, numeri di telefono, informazioni sulla salute di terzi (o altre informazioni)
  • Hai espresso apprezzamenti diffamatori su terzi nei social
  • Il tuo impianto di videosorveglianza riprende aree non di tua esclusiva proprietà
  • Ti è stata contestata la violazione della privacy altrui e desideri difenderti

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Lavoriamo sulla qualità. Ecco che cosa possiamo offrirti:

  • Completezza normativa: profonda e comprovata conoscenza del GDPR, della direttiva e-Privacy, del Codice privacy e della normativa secondaria italiana
  • Approccio europeo: integrazione con le opinioni, documenti di lavoro, decisioni, linee guida europee WP29/ EDPB/ EDPS
  • Expertise Garante: conoscenza estesa dello storico di provvedimenti e linee guida del Garante
  • ENISA: applicazione dei modelli ENISA
  • Integrazione trasversale con altri settori del diritto (es., salute e sicurezza sul lavoro, modelli 231, trasparenza amministrativa, ecc.)
  • Giurisprudenza europea: oltre alla giurisprudenza nazionale, teniamo conto delle principali pronunce della Corte di Giustizia UE e della Corte EDU
  • Expertise DPA europee: conoscenza dei principali documenti delle Autorità nazionali di controllo europee, in particolare CNIL/ AEPD /ICO
  • Modello di lavoro per processi

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Scopri come lavoriamo e i nostri punti di forza:

  • Per le fonti utilizzate e l’expertise, ved. voce precedente “Hai bisogno di un consulente privacy/ DPO
  • Obiettivo accountability: la compliance non è forma, è sostanza. Lavoriamo a integrare effettivamente la privacy nel normale ciclo operativo (accountability)
  • Approccio non-disruptive: cerchiamo con il Cliente la strada più semplice e meno impattante sul suo modo di lavorare
  • Metodo: svolgiamo sempre una due diligence/ gap analysis, calibrata sulla tua struttura
  • Elaboriamo una roadmap degli interventi
  • Ti accompagniamo nell’individuazione dei punti più critici e delle priorità
  • Approccio circolare, non lineare: torniamo sui temi principali ciclicamente, per assicurarci la loro integrazione effettiva nella struttura
  • Lavoriamo sull’accountability e sulla sensibilizzazione alla normativa dei soggetti apicali
  • Intervento modulare: possiamo limitare, su richiesta, il nostro intervento a settori specifici o anche solo limitarlo a un “tagliando privacy”, ossia un audit sull’esistente
  • Modalità sartoriale: nel rispetto del budget del Cliente, non siamo legati a modelli fissi, ma costruiamo la compliance sulla struttura effettiva del Cliente

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Perché sceglierci:

  • Trasparenza: discutiamo e spieghiamo la strategia di difesa ai nostri Assistiti
  • Conoscenza delle fonti e dei precedenti: abbiamo una estesa conoscenza dell’articolazione delle fonti e dei precedenti, non solo italiani
  • Analisi critica dei provvedimenti impugnati: ogni caso è diverso da un altro, scomponiamo la linea logica del provvedimento da impugnare per evidenziarne i punti deboli
  • Chiarezza nel preventivo: i nostri preventivi sono dettagliati e non riservano sorprese
  • Due diligence preliminare: svolgiamo sempre una due diligence sulla vicenda, volta a evidenziare le chance di successo
  • Facilità comunicativa: comunicare direttamente con ruoli senior è semplice, crediamo nel rapporto diretto Avvocato-Assistito
  • Garanzia di riservatezza sull’attività svolta

Contattaci per un preventivo gratuito.

Nostri punti di forza:

  • Per il metodo di lavoro, ved. voce precedente “Vuoi impugnare un’ordinanza-ingiunzione”
  • Creiamo una squadra di lavoro: in particolare, sui profili tecnici e di forensics ci coordiniamo con una struttura rinomata nel mercato

Contattaci per un preventivo gratuito.

Scopri i vantaggi di una soluzione integrata:

  • Approccio integrato: ci coordiniamo con una rete di altri professionisti di fiducia per offrire pacchetti integrati 231/GDPR/Codice della protezione industriale
  • Vantaggi dell’approccio integrato: risparmio complessivo, coerenza tra processi interconnessi, semplificazione complessiva, pacchetto all-in-one
  • Chiarezza nel preventivo
  • Roadmap della tempistica
  • Facilità di comunicazione diretta con i professionisti che ti seguono
  • Garanzia di riservatezza/ NDA

Contattaci per maggiori informazioni e per un preventivo gratuito.

I servizi che possiamo fornirti:

  • Realizziamo condizioni generali/ EULA
  • Redigiamo informativa e mettiamo a norma la parte consumeristica
  • Ci occupiamo dei cookie
  • Applichiamo tecniche di privacy-by-design e by-default
  • Ti assistiamo nella DPIA, ove ne sussistano le condizioni (valutiamo anche questo)

Contattaci per un preventivo gratuito.

CORONAVIRUS: tra sicurezza sul lavoro e privacy 2/2

Parte seconda
INDICAZIONI OPERATIVE

Dopo la prima parte introduttiva vediamo adesso insieme alcuni accorgimenti che imprenditori, commercianti e liberi professionisti devono adottare per garantire la sicurezza sul lavoro e assicurare la tutela dei dati personali.

INFORMAZIONE

L’azienda deve fornire non solo a tutti i lavoratori ma a chiunque acceda ai locali aziendali con apposite e idonee informative le indicazioni relative alle disposizioni dettate dalle Autorità.

In particolare l’informativa dovrà indicare:

• l’obbligo di restare presso il proprio domicilio in presenza di febbre oltre 37.5° o altri sintomi influenzali e di comunicarli all’autorità sanitaria;

• l’impegno a informare il datore di lavoro della presenza di un qualsiasi sintomo influenzale durante l’attività lavorativa

• impegno a rispettare le disposizioni delle Autorità e le disposizioni adottare dall’azienda per l’accesso ai locali: quali ad esempio mantenere la distanza di sicurezza, indossare i dispositivi di protezione individuale (es. mascherina e guanti) e osservare le misure di igiene per le mani

• l’accettazione del fatto di non poter fare ingresso o permanere nei locali aziendali per chi, ad esempio, presenta uno stato febbrile, sintomi influenzali, o negli ultimi 14 giorni sia stato in contatto con persone positive al virus.

NB: le indicazioni riportate sono contenute nei Protocolli adottati nella fase emergenziale, tuttavia non tutte le prescrizioni ivi contenute appaiono essere state allineate con le fonti normative, anche di rango sovraordinato, esistenti, ad esempio in ambito giuslavoristico o privacy. Dunque, anche in questo caso, una corretta adozione di questi accorgimenti dovrebbe passare attraverso il filtro di una consulenza legale.

MODALITÀ DI INGRESSO IN AZIENDA PER DIPENDENTI E FORNITORI ESTERNI

L’imprenditore/datore di lavoro, anche con l’ausilio di collaboratori, in alcuni casi può in altri deve procedere con alcune verifiche sulle persone che intendono accedere in azienda. In particolare:

può controllare la temperatura corporea del personale dipendente prima dell’accesso al luogo di lavoro e in caso di temperatura superiore ai 37.5° deve inibirne l’accesso

• deve vietare l’accesso al dipendente che negli ultimi 14 giorni abbia avuto contatti con soggetti positivi al Covid-19 o provenga da zone a rischio

• prima dell’ingresso in azienda deve ricevere dal personale già risultato positivo al Covid-19 la certificazione di “avvenuta negativizzazione
• deve favorire orari di ingresso/uscita dei dipendenti scaglionati in modo da evitare il più possibile contatti nelle zone comuni, se possibile dedicando una porta di entrata e una di uscita

• deve collocare dispenser contenenti prodotti igienizzanti per le mani in corrispondenza dei punti di accesso e uscita dai locali aziendali

• per i fornitori esterni deve individuare procedure di ingresso, transito e uscita che riducano le occasioni di contatto con il personale

• deve vietare l’accesso agli uffici degli autisti dei mezzi di trasporto

• deve vietare ai fornitori esterni l’utilizzo dei servizi igienici del personale e installarne/destinarne appositi e garantirne adeguata pulizia quotidiana

• deve ridurre l’accesso ai visitatori e in caso di accesso necessario i visitatori dovranno rispettare le regole aziendali

• qualora presente un servizio di trasporto aziendale deve essere garantita e rispettata la sicurezza dei lavoratori lungo ogni spostamento

• in caso di dipendenti di aziende terze positivi al Covid-19 presenti in azienda, l’appaltatore deve immediatamente informarne il committente

• il committente deve dare all’appaltatore completa informativa del protocollo aziendale

NB: anche in questo caso, è corretto avvertire che le prescrizioni sopra indicate fanno parte di quelle emanate in via d’urgenza, ma non sempre si collocano in armonia con la normativa applicabile, di rango superiore. Può ad esempio essere controverso ritenere che il datore di lavoro sia tenuto a conoscere l’esatta patologia Covid-19 del dipendente malato.

TUTELA DEI DATI PERSONALI E DELLA PRIVACY

Anche a prescindere dalle frizioni con il generale quadro normativo applicabile cui si è fatto cenno nei “nota bene”, il rispetto delle disposizioni contenute nei protocolli e nelle linee guida sopra richiamate impone di essere accompagnato dagli adempimenti richiesti dalla normativa sulla tutela dei dati personali.

Ad esempio, tutte le attività di “triage” sopra indicate comportano trattamento di dati personali sulla salute, ossia una delle categorie di informazioni maggiormente tutelate (un tempo si sarebbero parlato di dati “supersensibili”). Inoltre comportano il trattamento di dati personali idonei a rivelare relazioni interpersonali, spostamenti, preferenze e di altre informazioni.

Ne deriva l’adozione un processo e di garanzie che assicurino la liceità dei trattamenti e l’osservanza dei diritti dell’interessato (ossia del soggetto persona fisica cui le informazioni si riferiscono) nel rispetto delle disposizioni dettate dal GDPR (Reg. UE 2016/679) e dal Codice privacy.

Allo stesso modo, la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato (dipendente, fornitore o qualunque altro soggetto terzo), costituisce un trattamento di dati personali (art. 4, par. 1, 2 GDPR) che deve essere preceduto da adeguata informativa ed effettuato nel rispetto del principio di “minimizzazione” (art. 5, par. 1 GDPR).

Le FAQ del Garante per la protezione dei dati personali chiariscono per esempio che il Titolare del trattamento:

• deve fornire adeguata informativa privacy agli interessati (dipendenti, fornitori, trasportatori, visitatori, dipendenti di aziende terze e a tutti gli altri soggetti) che fanno accesso nei locali del titolare

non deve registrare il dato relativo alla temperatura ma il solo superamento della soglia di 37.5° e comunque nei soli casi in cui è necessario per documentare il diniego dell’accesso. Questi casi, aggiungiamo tuttavia, possono essere significativi a fini probatori

• nel ricevere le dichiarazioni di interessati che attestino di aver avuto nei 14 giorni precedenti contattati con soggetti positivi al Covid-19 o provenienti da zone a rischio deve raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio. Notiamo tuttavia che la raccolta di tali informazioni va coordinata con le fonti normative soprastanti, ossia da un lato con la necessità di garantire salute e sicurezza nel luogo di lavoro e fotografare il rischio da agente biologico, dall’altra con quella di osservare la dignità del lavoratore, lo Statuto dei lavoratori, la riservatezza. Dunque, occorre evitare automatismi applicativi e adattare il precetto al caso concreto

• deve collaborare in qualità di datore di lavoro con il medico competente e le RLS/RLST al fine di produrre tutte le misure di regolamentazione legate al Covid-19;sempre nel rispetto dei principi di protezione dei dati, può trattare, in qualità di datore di lavoro, i dati personali dei dipendenti solo se sia previsto da disposizioni normative e disposto da organi competenti o su segnalazione del medico competente

• deve comunicare il nome del dipendente positivo al Covid-19 alle autorità sanitarie competenti

• non deve comunicare il nome del dipendente positivo al Covid-19 al Rappresentante dei lavoratori o agli altri dipendenti o a terzi soggetti

• non può richiedere l’effettuazione di test sierologici ai dipendenti salvo che il test non sia disposto dal medico competente

• può offrire ai propri dipendenti, in tutto o in parte, l’effettuazione di test sierologici presso strutture sanitarie senza conoscerne l’esito

• deve individuare i soggetti autorizzati al trattamento dei dati

• deve redigere precise istruzioni per gli autorizzati

• deve effettuare analisi del rischio e prevedere misure adeguate per la conservazione e consultazione in sicurezza dei dati e la tutela della dignità e della riservatezza del lavoratore (es. in occasione della rilevazione febbre tramite termoscanner, della richiesta della dichiarazione di contatto con soggetti positivi o provenienti da zone a rischio, nella predisposizione delle modalità di conservazione dei dati)

• deve valutare eventuale necessità di DPIA nei casi previsti dall’art. 35 GDPR

• deve individuare le corrette modalità di ricezione del certificato di negativizzazione

• deve valutare la opportunità/necessità dell’adozione del cd. “registro delle prenotazioni”, individuato dalle Linee guida per la riapertura delle Attività Economiche e Produttive e coordinarlo con i registri di trattamento già adottati

CORONAVIRUS: tra sicurezza sul lavoro e privacy 1/2

Parte prima
Dal 25 maggio 2020 una significativa parte delle realtà produttive ha finalmente riaperto i battenti e con la riapertura sono arrivate purtroppo le prime, non gradite, sanzioni.

Vediamo allora insieme quale sia in questa fase il rischio giuridico per l’imprenditore e come identificarlo, e dunque contenerlo, in modo da proseguire con serenità l’attività economica e garantire sicurezza sui luoghi di lavoro, tutelando la privacy di dipendenti e terzi e prevenendo la diffusione del contagio.

Il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 24 aprile 2020, che ha aggiornato la versione del 14 marzo 2020, e le “Linee guida per la riapertura delle Attività Economiche e Produttive” del 16 maggio 2020 della Conferenza delle Regioni e delle Province Autonome forniscono indicazioni operative per il contrasto e la diffusione del virus negli ambienti di lavoro non sanitari.

Le misure riportate nei citati documenti, di cui appresso vediamo solamente i principali, devono essere integrate dall’imprenditore con procedure e istruzioni operative specifiche, a seguito di un’attenta valutazione del rischio che coinvolga figure chiave come l’RSPP, il Medico Competente e l’RLS.

Fare ordine nell’incertezza normativa
Va innanzitutto notato che per l’imprenditore un elemento di incertezza nella situazione attuale è costituito dal sovrapporsi di fonti precettive, o in alcuni casi soltanto ritenute tali, di livello e provenienza diversa: DPCM collegati, ma non sempre in maniera eccellente, con soprastanti decreti legge, protocolli sottoscritti da parti sociali richiamati a loro volta da DPCM, ordinanze regionali, ordinanze comunali, linee guida della Conferenza delle Regioni e delle Province Autonome, FAQ amministrative, risposte a quesiti di privati, dichiarazioni istituzionali su social network, misure decise da associazioni di categoria, ecc.

In questa situazione, rischia di venire penalizzata la certezza del diritto. Per questo è importante farsi assistere da un professionista giuridico, che potrà, se necessario, individuare anche linee efficaci per contestare misure sanzionatorie in un contesto di regole non sempre scolpite con precisione.
Qui di seguito comunque ci soffermeremo su alcuni punti soltanto con un approccio semplificato e per macrotemi.

COVID-19 E SICUREZZA SUL LAVORO

Il contagio da coronavirus (SARS-Cov-2) in occasione di lavoro è qualificato come “infortunio sul lavoro” con conseguente attivazione della tutela assicurativa INAIL.

Sebbene nei casi di accertata infezione da coronavirus in occasione di lavoro gli oneri degli eventuali eventi infortunistici, ex art. 42, co. 2, D.L. n. 18 del 17/03/2020, convertito con L. n. 27 del 24/04/2020, gravano sulla gestione assicurativa e non incidono sul premio pagato dal singolo datore di lavoro, come precisato anche nelle circolari INAIL n. 13 del 3/4/2020 e n. 22 del 20/5/2020, di non poco momento sono i rischi che gravano sul datore di lavoro in caso di contagio.

Quando il contagio si ritiene avvenuto in occasione della prestazione lavorativa?

Come indicato nelle sopra indicate circolari dell’INAIL, non può desumersi alcun automatismo ai fini dell’ammissione a tutela dei casi denunciati. Occorre verificare che l’azione di fattori microbici o virali, come appunto nel caso di specie, sia in rapporto con lo svolgimento dell’attività lavorativa, attraverso un accertamento rigoroso dei fatti e delle circostanze che facciano desumere che il contagio sia avvenuto in occasione di lavoro.

Sulla base dunque di un giudizio di ragionevole probabilità viene riconosciuta l’origine professionale del contagio. Il riconoscimento è, precisa l’INAIL, totalmente avulso da ogni valutazione sull’imputabilità di eventuali comportamenti omissivi del datore di lavoro che possano essere stati causa del contagio.


L’INAIL ha azione di regresso nei confronti dell’imprenditore?

L’INAIL sul punto chiarisce espressamente che l’attivazione dell’azione di regresso non può basarsi sull’intervenuto riconoscimento dell’infezione da coronavirus. E’ richiesta una violazione da parte del datore di lavoro delle misure di contenimento del rischio di contagio contenute nei protocolli regionali e nazionali e nelle linee guida di cui all’art. 1, co., 14 D.L. n. 33 del 16/5/2020. Il regresso non può dunque considerarsi un automatismo.


Quali implicazioni sulla responsabilità civile e penale?

Il contagio in occasione della prestazione lavorativa, specie (ma non esclusivamente) ove sia collegabile all’inosservanza delle disposizioni contenute nelle linee guida e nei protocolli governativi e regionali e in altre fonti (anche preesistenti rispetto alla normativa emergenziale emanata per contrastare l’emergenza epidemiologica da Covid-19) dalle quali sorgano obbligazioni di porre in essere determinate condotte, può esporre l’imprenditore/datore di lavoro a:
• responsabilità civile
• responsabilità penale
• responsabilità amministrativa dell’ente con elevatissime sanzioni pecuniarie, e gravi misure interdittive (si pensi ad esempio a quelle emanate in applicazione del GDPR e del Codice privacy).


Come incide la denuncia di infortunio sul lavoro da contagio con tali responsabilità?

Se da un lato L’INAIL chiarisce, correttamente, che l’attivazione dell’assicurazione da infortunio sul lavoro non determina automaticamente responsabilità anche civile o penale, sussistendo presupposti diversi, tuttavia corre l’obbligo di segnalare che le implicazioni reciproche tra i diversi ambiti di responsabilità costituiscono comunque materia complessa, sulla quale il nostro consiglio è di procedere con assistenza legale.

COVID-19 E TUTELA DEI DATI PERSONALI

Le misure da adottare per contrastare la diffusione del contagio richiedono in alcuni casi il trattamento dei dati personali di dipendente, clienti, fornitori, utenti e visitatori. È questo ad esempio il caso in cui sia presa la temperatura corporea e siano effettuate domande di “triage” (provenienza, sussistenza di relazioni con soggetti a rischio, stato di salute, ecc.).

Alcune di queste domande, ancorché raccomandate da soggetti istituzionali, vanno coordinate con la normativa giuslavoristica e privacyistica, prima di essere adottate.

In particolare, invitiamo a fare attenzione a un punto chiave: attenersi scrupolosamente alle disposizioni contenute nelle linee guida e nei protocolli non autorizza a “dimenticare” le norme in materia di protezione dei dati personali, e il mancato rispetto della privacy e della riservatezza espone l’imprenditore/datore di lavoro al rischio di:
procedimenti di reclamo/segnalazione davanti all’Autorità Garante
– irrogazione di ordinanza-ingiunzione e di misure correttive con conseguenti elevatissime sanzioni, individuabili anche nella fascia che arriva, nel massimo edittale, fino a venti milioni di euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore
– responsabilità risarcitoria in sede civile per danno da violazione dei dati personali.

Si pensi alla diffusione di dati sanitari che può inavvertitamente derivare dall’avere misurato la temperatura di un soggetto in uno spazio pubblico o le implicazioni privacy che derivano dalla scelta di conservare le informazioni sulla temperatura o altri dati di triage e di farlo per una certa durata temporale.

 

COVID-19 – Fase 2 – Riapertura attività economiche e produttive

Che cosa sapere, che cosa fare

Dal 18 maggio 2020 siamo entrati nel pieno della Fase 2 e si ritorna lentamente verso la normalità. Finalmente riaprono bar, ristoranti, pizzerie, negozi, parrucchieri ed estetisti, poi sarà la volta di stabilimenti balneari, attività corsistiche e ricreative svolte in piscine e palestre, ma con alcuni accorgimenti da adottare per proseguire in sicurezza l’attività e contenere la diffusione del contagio.

Non dimenticare la normativa sulla protezione dei dati personali

Devi sapere che il rispetto di alcune misure determina l’applicazione della normativa sulla protezione dei dati personali, ossia del cd. “GDPR” (regolamento UE 2016/679) e del Codice privacy (d.lgs. 196/2003).

Quali? Ad esempio, rispetto a determinate tipologie di attività, le misure di contenimento approvate richiedono la raccolta e la conservazione di un registro delle presenze per 14 giorni, dunque un trattamento di dati personali.

Perché devi occuparti anche della normativa sulla protezione dei dati personali? Perché escludere dal trattamento dati ultronei, informare in maniera semplice e corretta i clienti, evitare violazioni di riservatezza (es. clienti che vengono a conoscere i nomi di altri clienti) è fondamentale non solo per la tua immagine e per il rapporto di fiducia con la clientela, ma anche per evitare il rischio sanzionatorio, che è particolarmente elevato.

Anche la possibilità di misurare la temperatura corporea all’ingresso costituisce un trattamento di dati personali, di rilevanza particolare perché si tratta di dati relativi alla salute.  Anche in questo caso deve svolgersi con riservatezza e discrezione, e applicando le regole della normativa. La conservazione delle informazioni di temperatura è consentita solo per alcune tipologie di interessati, a certe condizioni e per un tempo determinato.

Come possiamo aiutarti

Il nostro studio legale ha un’expertise consolidata in materia di protezione dei dati e può prestarti assistenza sui trattamenti di dati svolti nel contrasto al Covid-19, predisponendo:

    • informative, anche integrando quelle eventualmente già fornite (l’informativa deve essere comprensibile anche alla clientela non italiana)

    • individuazione degli autorizzati

    • istruzioni agli stessi

    • analisi del rischio e misure per una conservazione e consultazione in sicurezza

    • collegamento con il registro dei trattamenti esistente, per svolgere il trattamento in conformità

    • DPIA, se del caso (è obbligatoria solo in presenza di determinati fattori)

Puoi contattarci per un preventivo gratuito e senza impegno.

Ecco anche alcune indicazioni operative sotto forma di FAQ per fornire pratici chiarimenti su come mettere in atto le misure di sicurezza e rispettare la normativa.

A) Ho un ristorante (trattoria, bar, pizzeria, self-service, pub, pasticceria, gelateria)

    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Devi predisporre una informativa sulle misure di prevenzione.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Negli esercizio che dispongono di posti a sedere, privilegiare l’accesso tramite prenotazione e conservare per 14 giorni l’elenco dei clienti che si sono presentati al locale.

    • Garantire la distanza di 1 metro tra le sedute oppure adottare barriere fisiche adeguate a prevenire il contagio.

    • Il personale di servizio a contatto con i clienti deve utilizzare la mascherina.

    • I clienti devono indossare la mascherina tutte le volte che non sono seduti al tavolo.

Cosa devo fare per un sicuro servizio al tavolo?
    • Al termine di ogni servizio devi disinfettare le superfici e devi evitare utensili riutilizzabili se non igienizzati (es. saliere, oliere etc).

Posso consegnare il menù ai clienti?
    • È preferibile rendere consultabile il menù online, oppure il menù deve essere in stampa plastificata in modo da poter essere igienizzato ogni volta o cartaceo a perdere.

Posso servire la consumazione al banco?
    • Sì, ma solo se può essere assicurata la distanza interpersonale di 1 metro tra i clienti.
Posso allestire un buffet?
    • No, la consumazione a buffet non è consentita.
Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico, possibilmente al tavolo. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.


B) Ho attività di catering

    • Oltre ad adeguarti al rispetto di tutto quanto previsto per le attività con servizio in sede (vedi FAQ A) Ho un ristorante), devi rispettare le misure di prevenzione disposte dall’organizzazione del tuo cliente.


C) Ho uno stabilimento balneare: che cosa devo fare per lavorare nel rispetto della normativa?

    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Privilegiare l’accesso allo stabilimento tramite prenotazione e conservare per 14 giorni l’elenco dei clienti presenti.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire l’accesso allo stabilimento in modo ordinato mantenendo 1 metro di distanza tra gli utenti.

    • Disinfettare regolarmente e con frequenza le aree comuni, spogliatoi, cabine, docce, servizi igienici e assicurarla dopo la chiusura dell’impianto.

Come devo posizionare gli ombrelloni?
    • Non è importante l’allestimento della spiaggia (a file orizzontali o a rombo), ma occorre assicurare un distanziamento tra gli ombrelloni in modo da garantire 10m2 per ogni ombrellone.

Come devo posizionare lettini e sedie a sdraio?
    • Quando non sono posizionate nel posto ombrellone deve essere garantita una distanza di almeno 1,5m.

Devo disinfettare le attrezzature?
    • Sì, ad ogni cambio persona o nucleo familiare lettini, sdraio, ombrelloni etc. vanno disinfettati. In ogni caso la sanificazione deve essere garantita ad ogni fine giornata.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico, eventualmente in fase di prenotazione. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

È possibile fare sport in spiaggia?
    • È vietato praticare attività ludico-sportive di gruppo che possono dar luogo ad assembramenti, ma sono consentiti sport individuali, nel rispetto del distanziamento interpersonale. Per gli sport di squadra (es. beach-volley) sarà necessario rispettare le disposizioni delle disposizioni competenti.


D) Ho una struttura alberghiera (hotel, agriturismo, bed&breakfast): che cosa devo fare per lavorare nel rispetto della normativa?

    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Devi predisporre una informativa, anche privacy, sulle misure di prevenzione, che sia comprensibile anche per gli stranieri.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi garantire il rispetto del distanziamento interpersonale di 1 metro in tutte le aree comuni.

    • Devi favorire la differenziazione dei percorsi di ingresso e uscita dalla struttura.

    • La postazione della reception può essere dotata di barriere fisiche. In ogni caso devi favorire i pagamenti elettronici e la gestione delle prenotazioni online, eventualmente con sistemi automatizzati di check-in e check-out.

    • Il servizio di ricevimento deve provvedere alla fine di ogni turno di lavoro alla pulizia del piano di lavoro e delle attrezzature utilizzate.

    • Devi garantire la disinfezione frequente degli ambienti e delle superfici toccate con maggiore frequenza (es. corrimano, interruttori, maniglie).

    • Devi mettere a disposizione dei clienti all’interno della struttura prodotti igienizzanti per le mani.

    • Gli ospiti all’interno della struttura devono indossare le mascherine.

    • Il personale deve utilizzare sempre le mascherine in presenza dei clienti e comunque in ogni caso quando non può essere rispettata la distanza interpersonale di 1 metro.

Posso fornire in uso al clienti oggetti (es. asciugacapelli)?
    • Sì, ma devi disinfettare ogni oggetto fornito in uso prima e dopo ogni utilizzo.

È possibile utilizzare gli ascensori?
    • Sì, ma nel rispetto della distanza interpersonale e con l’utilizzo della mascherina. Possono essere previste eventuali deroghe in caso di componenti dello stesso nucleo familiare/gruppo di viaggiatori.

Devo prestare particolare attenzione al microclima?
    • Sì, è fondamentale verificare le caratteristiche di areazione dei locali e degli impianti di ventilazione (ad es. garantire areazione naturale, aumentare la frequenza di manutenzione degli impianti, attivare l’ingresso e l’estrazione dell’aria almeno un’ora prima e fino a un’ora dopo l’accesso del pubblico, etc.).


E) Ho un’attività di servizi alla persona (parrucchiere, estetista, barbiere)

    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Consentire l’accesso tramite prenotazione e conservare per 14 giorni l’elenco delle presenze.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro tra le singole postazioni di lavoro e tra i clienti.

    • Se possibile, delimitare con barriere fisiche l’area di lavoro.

    • Sia il cliente che l’operatore per tutto il tempo in cui per l’espletamento della prestazione devono mantenere una distanza inferiore a 1 metro devono utilizzare le mascherine (fatti salvi per l’operatore eventuali dispositivi individuali ad hoc es. mascherina FFP2, visiera protettiva, guanti monouso, etc.).

    • L’operatore nella prestazione del trattamento deve utilizzare guanti diversificati da quelli usati nel contesto ambientale.

Devi assicurare una adeguata disinfezione delle superfici di lavoro e delle attrezzature prima di servire un nuovo cliente.

Posso mettere a disposizione dei clienti riviste e giornali?
    • No, occorre eliminare dal locale giornali, riviste e materiale informativo di uso promiscuo.

    • I clienti devono indossare la mascherina tutte le volte che non sono seduti al tavolo.

Come estetista devo adottare ulteriori e specifici sistemi di protezione?
    • Sì, nell’erogazione di una prestazione che richiede una distanza ravvicinata devi indossare la visiera protettiva e la mascherina FFP2 senza valvola.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.


F) Ho un’attività di commercio al dettaglio (abbigliamento, scarpe, utensileria, cose per la casa)

    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro tra i clienti.

    • Assicurare la pulizia e disinfezione quotidiana delle aree comuni.

    • In caso di vendita di abbigliamento: devono essere messi a disposizione della clientela guanti monouso da utilizzare obbligatoriamente per scegliere in autonomia, toccandola, la merce.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.


G) Ho uno studio professionale: avvocato, commercialista, geometra, consulenza ecc.

    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Promuovere il contatto con i clienti tramite modalità di collegamento a distanza.

    • Favorire l’accesso dei clienti tramite prenotazione.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro sia tra le singole postazioni di lavoro sia tra i clienti. Dove questo non può essere garantito deve essere utilizzata la mascherina.

    • L’area di lavoro se possibile deve essere delimitata da barriere fisiche.

    • L’attività di front office per gli uffici ad alto flusso di clienti esterni può essere svolta esclusivamente nelle postazioni dedicate e dotate di vetri o pareti di protezione.

    • Per le riunioni (con utenti interni e/o esterni) bisogna favorire prioritariamente le modalità a distanza; in alternativa deve essere garantito il rispetto della distanza interpersonale di 1 metro e in caso di durata prolungata anche l’uso della mascherina.

    • Assicurare la pulizia e disinfezione delle superfici di lavoro e delle attrezzature prima di servire un nuovo cliente.


H) Ho una palestra

    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Redigere un programma delle attività il più possibile pianificato (es. con prenotazione), regolamentare gli accessi in modo da evitare assembramenti e conservare per 14 giorni l’elenco delle presenze.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Organizzare spogliatoi e docce in moda da assicurare la distanza di 1 metro.

    • Devi mettere a disposizione di frequentatori/ospiti/clienti prodotti igienizzanti per le mani, prevedendo l’obbligo dell’igiene delle mani all’ingresso e in uscita.

    • Garantirne la frequente pulizia e disinfezione dell’ambiente anche più volte al giorno e comunque la disinfezione degli spogliatoi, compresi gli armadietti, a fine giornata.

Devo prestare particolare attenzione al posizionamento degli attrezzi e delle macchine?
    • Sì, l’accesso agli attrezzi, alle macchine e alle diverse aree deve essere organizzato in modo da garantire.

    • la distanza di almeno 1 metro tra le persone mentre non svolgono attività fisica.

    • la distanza di almeno 2 metri tra le persone durante l’attività fisica.

Devo disinfettare le macchine e gli attrezzi?
    • Sì, dopo l’utilizzo da parte di ogni singolo soggetto devi procedere alla disinfezione della macchina o degli attrezzi usati.

E per gli attrezzi e le macchine che non possono essere disinfettate?
    • Gli strumenti che non possono essere disinfettati non devono essere utilizzati.

È possibile utilizzare in palestra scarpe usate in strada?
    • No, occorre utilizzare in palestra apposite calzature esclusivamente destinate a questo scopo.

È possibile l’uso promiscuo degli armadietti?
    • No. Inoltre gli indumenti e oggetti personali devono essere riposti nella borsa personale anche qualora depositati negli appositi armadietti e devono essere messi a disposizione degli ospiti sacchetti per riporre gli effetti personali.

Devo prestare particolare attenzione al microclima?
    • Sì, è fondamentale verificare le caratteristiche di areazione dei locali e degli impianti di ventilazione (ad es. garantire areazione naturale, aumentare la frequenza di manutenzione degli impianti, attivare l’ingresso e l’estrazione dell’aria almeno un’ora prima e fino a un’ora dopo l’accesso del pubblico, etc.).


I) Gestisco una piscina (gioco acquatico, solarium)

    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi privilegiare l’accesso tramite prenotazione e conservare per 14 giorni l’elenco delle presenze.

    • Devi predisporre opportuna segnaletica, anche attraverso monitor e/o maxi-schermi, per sensibilizzare gli utenti riguardo ai comportamenti.

    • Redigere un programma delle attività il più possibile pianificato in modo da dissuadere eventuali condizioni di aggregazioni.

    • Regolamentare i flussi degli spazi di attesa e nelle varie aree in modo da favorire il rispetto del distanziamento sociale di 1 metro.

    • Devi favorire la differenziazione dei percorsi di ingresso e uscita dalla struttura.

    • Devi organizzare spogliatoi e docce in moda da assicurare la distanza di 1 metro.

    • Devi mettere a disposizione di frequentatori/ospiti/clienti prodotti igienizzanti per le mani, prevedendo l’obbligo dell’igiene delle mani all’ingresso e in uscita.

    • Garantirne la frequente pulizia e disinfezione delle aree comuni, spogliatoi, cabine, docce, attrezzature (es. lettini, sedie, attrezzature galleggianti etc.).

È possibile l’uso promiscuo degli armadietti?
    • No. Inoltre gli indumenti e oggetti personali devono essere riposti nella borsa personale anche qualora depositati negli appositi armadietti e devono essere messi a disposizione degli ospiti sacchetti per riporre gli effetti personali.

Devo prestare particolare attenzione allo spazio riservato ad ogni persona?
    • Sì, l’accesso ai frequentatori dell’impianto deve avvenire in modo da garantire il rispetto della densità di affollamento calcolata.

    • per le aree solarium e verdi, con un indice di non meno di 7mq di superficie di calpestio a persona.

    • in vasca, con un indice di 7mq di superficie di acqua a persona.

Sono necessari controlli sull’idoneità dell’acqua?
    • Sì, prima dell’apertura della vasca deve essere eseguita un’analisi di tipo chimico e microbiologico dell’acqua.

Sono previsti parametri relativi alla presenza di cloro?
    • Sì, al fine di assicurare un livello di protezione dall’infezione il limite del parametro cloro attivo libero in vasca deve essere compreso tra 1,0 – 1,5 mg/l; cloro combinato ≤ 0,40 mg/l; pH 6.5 – 7.5.

    • La frequenza dei controlli sul posto dei parametri è non meno di due ore.

Come devo posizionare lettini e sedie a sdraio?
    • La disposizione delle attrezzature deve garantire la distanza di almeno 1,5m tra le persone non appartenenti allo stesso nucleo familiare o conviventi.

Devo disinfettare le attrezzature?
    • Sì, ad ogni cambio persona o nucleo familiare lettini, sdraio, ombrelloni etc. vanno disinfettati. In ogni caso la sanificazione deve essere garantita ad ogni fine giornata.

È consentito il funzionamento di giochi acquatici?
    • No, le piscine finalizzate a giochi acquatici vengono convertite in piscine per la balneazione. Nel rispetto delle prescritte misure di sicurezza sono consentiti toboga, vasche torrente e scivoli morbidi.

 

 

 

FAQ Personal data breach INPS – Che cosa sapere, che cosa fare

Tra il 1° e il 2 aprile 2020 (ma verosimilmente già dal 31 marzo) si sono verificati ben due imponenti personal data breach (violazioni di dati personali) nella piattaforma INPS predisposta per chiedere i bonus disposti dal d.l. 17 marzo 2020, n. 18 in materia di Covid-19.

In particolare, le due violazioni hanno riguardato:

    • I dati personali di soggetti richiedenti il bonus attraverso portale INPS;
    • I dati personali di soggetti che hanno presentato richiesta dello specifico “bonus baby-sitting”

Le violazioni hanno permesso a un elevato numero di utenti di conoscere dati personali di altri soggetti che hanno utilizzato il portale INPS. Alcune di queste informazioni risultano poi essere circolate perfino sui canali social (es. Facebook, Twitter).

Tra le categorie di dati personali figurano, tra le altre, informazioni identificative e di contatto, inclusi numeri di telefoni cellulari, dichiarazioni ISEE, dichiarazioni connesse con lo stato di disoccupazione, il fascicolo previdenziale, certificati di malattia e, riguardo al secondo episodio di violazione, anche informazioni relative a minori e a interessati in condizione di disabilità.

Il Garante ha rilevato:

    • sussistere difformità, da ritenersi grave, tra le dichiarazioni di cui ha ricevuto notifica dall’INPS e la realtà effettiva del personal data breach;
    • sussistenza della probabilità di un rischio elevato per le vittime dei due personal data breach.

Pubblichiamo qui alcune brevi informazioni che lo studio legale Grieco Pelino Avvocati ha predisposto in forma di FAQ, per fornire pratici chiarimenti e indicazioni a coloro che ne sono stati vittime.

A) Ho ricevuto la comunicazione con cui sono stato informato dall’INPS di essere vittima di una violazione dei dati personali. Che cosa significa?

Significa che una violazione di sicurezza ha compromesso la riservatezza dei tuoi dati, rendendoli accessibili a terzi. La comunicazione che l’INPS ti ha inviato costituisce un obbligo di legge a tua garanzia, previsto da una disposizione europea, l’art. 34 GDPR (regolamento UE 2016/679). Il Garante per la protezione dei dati personali ha espressamente prescritto all’INPS di provvedere alla comunicazione della violazione a tutti gli interessati entro 15 giorni dal provvedimento del 14 maggio 2020, dunque entro il 29 maggio 2020.

B) Non ho ricevuto la comunicazione di cui sopra da parte dell’INPS. Potrei essere stato ugualmente vittima del personal data breach?

Non si può escludere che tu sia stato ugualmente vittima dell’evento. Con riferimento al primo personal data breach, il Garante ha per esempio contestato la sussistenza di un numero di soggetti colpiti dalla violazione maggiore di quello dichiarato dall’INPS. Puoi rivolgere una richiesta di accesso ai dati personali all’INPS e ottenere conferma oppure smentita del tuo coinvolgimento nell’evento. Possiamo assisterti in questa attività, se lo desideri.

C) Ho ricevuto la comunicazione o sono comunque vittima del personal data breach. Che cosa devo fare?

L’INPS è tenuto a indicarti che cosa devi fare. In particolare deve comunicarti:

      • la natura della violazione dei dati (ivi inclusa la tipologia dei tuoi dati personali oggetto di violazione, elemento questo direttamente collegato con il rischio);
      • un punto di contatto (DPO o altro) a cui hai il diritto di chiedere (e ottenere) informazioni precise e ulteriori aggiornamenti;
      • le probabili conseguenze della violazione che hai subito (es. furto o abuso d’identità, violazione di codici di accesso, indebiti utilizzi dei tuoi dati personali, ecc.);
      • le misure adottate o da adottare per attenuare/eliminare le conseguenze negative del personal data breach.

Lo scopo di questa comunicazione, che non deve essere un atto di mera forma, è di permetterti di comprendere che tipo di violazione hanno effettivamente subito i tuoi dati, che cosa devi verosimilmente temere, come l’INPS sta provvedendo alla soluzione/mitigazione degli effetti negativi e come tu stesso puoi provvedere alla soluzione/mitigazione degli effetti negativi.

In ogni caso, possiamo assisterti in questa fase.

D) Ho subito un danno in conseguenza del personal data breach. Che cosa devo fare?

Se hai subito un danno in conseguenza del personal data breach, potresti avere diritto al risarcimento del danno patito. Il risarcimento può essere chiesto unicamente all’Autorità giudiziaria (Tribunale).

Costituiscono per es. danni: stato di ansia e di preoccupazione, perdite economiche, discriminazione, circolazione dei tuoi dati in rete senza controllo, esclusione dalla presentazione della domanda in quanto la stessa risultava già depositata, ecc.

Se desideri ricevere assistenza sui tuoi diritti o ritieni di avere subito un danno o di voler procedere comunque in via amministrativa nei confronti dell’INPS, puoi contattarci senza impegno ai recapiti di studio, saremo lieti di fornirti supporto.

Data breach e privacy-by-design

Che cos'è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?

I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell'immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.

Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B - Reasearch to Business. Di seguito una breve sintesi del mio intervento.

Leggi tutto "

Data breach e privacy-by-design

"

OLD2018 – Lo studio legale

Lo studio legale

  • Competenze digitali e tradizionali – Assistiamo i nostri Clienti sia in materia di diritto digitale avanzato, privacy e sicurezza informatica sia in ambito civile e commerciale tradizionale (e inoltre: lavoro, famiglia, condominio).
  • Consulenza e litigation – Non siamo solo consulenti ma assistiamo i Clienti nel contenzioso giurisdizionale (innanzitutto Tribunale) e amministrativo (Garante per la protezione dei dati personali). Questo ci permette di avere una visione a 360° già in fase di consulenza, di soppesare concretamente gli esiti di ogni scelta, di evitare i rischi di dispersione informativa tipici dei passaggi di consegne da consulente a litigator.
  • Formazione – Facciamo formazione di alto livello per avvocati e imprese
  • Ricerca e sviluppo – Partecipiamo in prima persona alla costruzione del dibattito scientifico:
  • Pro bono – Collaboriamo pro-bono con il Centro Nazionale Anti Cyber-bullismo..

Lo studio legale Grieco Pelino Avvocati ha sede a Bologna e presta assistenza in tutta Italia.

[leggi di più]

La nostra visione

Abbiamo creato Grieco Pelino Avvocati avendo in mente un luogo di lavoro senza filiere e complesse gerarchie interne, con una struttura minima, scalabile e funzionale, centrata sugli Assistiti e sulla qualità.

Gestiamo direttamente l’Assistito, non lo affidiamo a risorse junior o in formazione. L’eventuale scalabilità è garantita attraverso il ricorso a una rete di avvocati partner selezionati per competenza e affidabilità. Mettiamo a disposizione in ogni caso risorse senior da noi coordinate, in modo da mantenere un’alta professionalità.

Abbiamo fatto una precisa scelta di dematerializzazione, che ci consente di abbattere i costi fissi e di proporre un’assistenza di qualità elevata ma accessibile.

[leggi di meno]


OLD2017-Lo studio legale

Lo studio legale

  • Competenze digitali e tradizionali – Assistiamo i nostri Clienti sia in materia di diritto digitale avanzato, privacy e sicurezza informatica sia in ambito civile e commerciale tradizionale (e inoltre: lavoro, famiglia, condominio).
  • Consulenza e litigation – Non siamo solo consulenti ma assistiamo i Clienti nel contenzioso giurisdizionale (innanzitutto Tribunale) e amministrativo (Garante per la protezione dei dati personali). Questo ci permette di avere una visione a 360° già in fase di consulenza, di soppesare concretamente gli esiti di ogni scelta, di evitare i rischi di dispersione informativa tipici dei passaggi di consegne da consulente a litigator.
  • Formazione – Facciamo formazione di alto livello per avvocati e imprese
  • Ricerca e sviluppo – Partecipiamo in prima persona alla costruzione del dibattito scientifico (cfr. per esempio) (oppure cfr. qui).
  • Pro bono – Collaboriamo pro-bono con il Centro Nazionale Anti Cyber-bullismo..

Lo studio legale Grieco Pelino Avvocati ha sede a Bologna e presta assistenza in tutta Italia.

[leggi di più]

La nostra visione

Abbiamo creato Grieco Pelino Avvocati avendo in mente un luogo di lavoro senza filiere e complesse gerarchie interne, con una struttura minima, scalabile e funzionale, centrata sugli Assistiti e sulla qualità.

Gestiamo direttamente l’Assistito, non lo affidiamo a risorse junior o in formazione. L’eventuale scalabilità è garantita attraverso il ricorso a una rete di avvocati partner selezionati per competenza e affidabilità. Mettiamo a disposizione in ogni caso risorse senior da noi coordinate, in modo da mantenere un’alta professionalità.

Abbiamo fatto una precisa scelta di dematerializzazione, che ci consente di abbattere i costi fissi e di proporre un’assistenza di qualità elevata ma accessibile.

[leggi di meno]

Telecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

Oltre 7.000 linee telefoniche abusivamente intestate a persone ignare. Almeno 644 interessati colpiti, cifra tuttavia destinata a «un significativo incremento». Un illecito cominciato addirittura nel 2003 o nel 2001, e tuttora in essere.

Queste sono le prime, e già imponenti, coordinate numeriche della gravissima violazione di dati personali (data breach), ancora in fase di perimetrazione, accertata con il provvedimento n. 176/2017 del 6 aprile scorso dal Garante per la protezione dei dati personali.

L’atto amministrativo, finalmente pubblicato anche sul sito dell’Autorità di controllo, è stato adottato nei confronti della società Telecom Italia s.p.a. ad esito di una complessa procedura di reclamo patrocinata dallo studio legale Grieco Pelino Avvocati, che ha assistito un proprio cliente rimasto vittima dell’illecito. Leggi tutto

Telecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

DPIA: pubblicate le linee guida europee

Il 4 aprile 2017 sono state finalmente rese disponibili, in una prima versione, le linee guida sul data protection impact assessment (DPIA), ossia la “valutazione d’impatto sulla protezione dei dati” prevista dal Regolamento UE n. 2016/679.

Il documento era particolarmente atteso, vista la centralità del tema e la complessa attività organizzativa e d’investimento che la valutazione d’impatto richiede.

Qui di seguito si propone una breve sintesi per punti delle indicazioni di maggior interesse, secondo l’apprezzamento dello scrivente. Leggi tutto

DPIA: pubblicate le linee guida europee