I cookie wall e il consenso per scrolling

Le “novità” introdotte dalle linee guida europee 5/2020 dei Garanti europei sul consenso “privacy” riguardano essenzialmente:

    • il riconoscimento dell’incompatibilità con il GPDR dei cd. “cookie wall
    • l’altrettanta invalidità di consensi “privacy” espressi per mero scroll o swipe

Il cookie wall è in sostanza il tradizionale banner che come un muro, di qui la denominazione, permette l’accesso a un sito solo se l’utente esprime in blocco il consenso all’installazione dei cookie.

Viene qui violato il principio della libertà del consenso.

Neppure sono quindi più valide forme di consenso “privacy” manifestato con la semplice prosecuzione della navigazione. Occorre perciò evitare espressioni frequenti nella prassi quali per esempio: “Proseguendo la navigazione accetti l’installazione di cookie” e similari.

Viene qui qui violato il principio di inequivocabilità del consenso.

In realtà, la contrarietà a diritto di cookie wall e di accettazione per mero swipe e scroll appariva già chiara da molto tempo, non può cioè considerarsi una reale novità giuridica.

Derivano dall’analisi delle linee guida europee implicazioni giuridiche sottili e complesse, ad esempio in termini di responsabilità o di manifestazioni valide del consenso. Per un approfondimento da parte dell’avv. Enrico Pelino cfr.:

 

 

COVID-19 – Fase 2 – Riapertura attività economiche e produttive

Che cosa sapere, che cosa fare

Dal 18 maggio 2020 siamo entrati nel pieno della Fase 2 e si ritorna lentamente verso la normalità. Finalmente riaprono bar, ristoranti, pizzerie, negozi, parrucchieri ed estetisti, poi sarà la volta di stabilimenti balneari, attività corsistiche e ricreative svolte in piscine e palestre, ma con alcuni accorgimenti da adottare per proseguire in sicurezza l’attività e contenere la diffusione del contagio.

Non dimenticare la normativa sulla protezione dei dati personali

Devi sapere che il rispetto di alcune misure determina l’applicazione della normativa sulla protezione dei dati personali, ossia del cd. “GDPR” (regolamento UE 2016/679) e del Codice privacy (d.lgs. 196/2003).

Quali? Ad esempio, rispetto a determinate tipologie di attività, le misure di contenimento approvate richiedono la raccolta e la conservazione di un registro delle presenze per 14 giorni, dunque un trattamento di dati personali.

Perché devi occuparti anche della normativa sulla protezione dei dati personali? Perché escludere dal trattamento dati ultronei, informare in maniera semplice e corretta i clienti, evitare violazioni di riservatezza (es. clienti che vengono a conoscere i nomi di altri clienti) è fondamentale non solo per la tua immagine e per il rapporto di fiducia con la clientela, ma anche per evitare il rischio sanzionatorio, che è particolarmente elevato.

Anche la possibilità di misurare la temperatura corporea all’ingresso costituisce un trattamento di dati personali, di rilevanza particolare perché si tratta di dati relativi alla salute.  Anche in questo caso deve svolgersi con riservatezza e discrezione, e applicando le regole della normativa. La conservazione delle informazioni di temperatura è consentita solo per alcune tipologie di interessati, a certe condizioni e per un tempo determinato.

Come possiamo aiutarti

Il nostro studio legale ha un’expertise consolidata in materia di protezione dei dati e può prestarti assistenza sui trattamenti di dati svolti nel contrasto al Covid-19, predisponendo:

    • informative, anche integrando quelle eventualmente già fornite (l’informativa deve essere comprensibile anche alla clientela non italiana)

    • individuazione degli autorizzati

    • istruzioni agli stessi

    • analisi del rischio e misure per una conservazione e consultazione in sicurezza

    • collegamento con il registro dei trattamenti esistente, per svolgere il trattamento in conformità

    • DPIA, se del caso (è obbligatoria solo in presenza di determinati fattori)

Puoi contattarci per un preventivo gratuito e senza impegno.

Ecco anche alcune indicazioni operative sotto forma di FAQ per fornire pratici chiarimenti su come mettere in atto le misure di sicurezza e rispettare la normativa.

A) Ho un ristorante (trattoria, bar, pizzeria, self-service, pub, pasticceria, gelateria)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Devi predisporre una informativa sulle misure di prevenzione.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Negli esercizio che dispongono di posti a sedere, privilegiare l’accesso tramite prenotazione e conservare per 14 giorni l’elenco dei clienti che si sono presentati al locale.

    • Garantire la distanza di 1 metro tra le sedute oppure adottare barriere fisiche adeguate a prevenire il contagio.

    • Il personale di servizio a contatto con i clienti deve utilizzare la mascherina.

    • I clienti devono indossare la mascherina tutte le volte che non sono seduti al tavolo.

Cosa devo fare per un sicuro servizio al tavolo?
    • Al termine di ogni servizio devi disinfettare le superfici e devi evitare utensili riutilizzabili se non igienizzati (es. saliere, oliere etc).

Posso consegnare il menù ai clienti?
    • È preferibile rendere consultabile il menù online, oppure il menù deve essere in stampa plastificata in modo da poter essere igienizzato ogni volta o cartaceo a perdere.

Posso servire la consumazione al banco?
    • Sì, ma solo se può essere assicurata la distanza interpersonale di 1 metro tra i clienti.
Posso allestire un buffet?
    • No, la consumazione a buffet non è consentita.
Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico, possibilmente al tavolo. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

B) Ho attività di catering
    • Oltre ad adeguarti al rispetto di tutto quanto previsto per le attività con servizio in sede (vedi FAQ A) Ho un ristorante), devi rispettare le misure di prevenzione disposte dall’organizzazione del tuo cliente.

C) Ho uno stabilimento balneare: che cosa devo fare per lavorare nel rispetto della normativa?
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Privilegiare l’accesso allo stabilimento tramite prenotazione e conservare per 14 giorni l’elenco dei clienti presenti.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire l’accesso allo stabilimento in modo ordinato mantenendo 1 metro di distanza tra gli utenti.

    • Disinfettare regolarmente e con frequenza le aree comuni, spogliatoi, cabine, docce, servizi igienici e assicurarla dopo la chiusura dell’impianto.

Come devo posizionare gli ombrelloni?
    • Non è importante l’allestimento della spiaggia (a file orizzontali o a rombo), ma occorre assicurare un distanziamento tra gli ombrelloni in modo da garantire 10m2 per ogni ombrellone.

Come devo posizionare lettini e sedie a sdraio?
    • Quando non sono posizionate nel posto ombrellone deve essere garantita una distanza di almeno 1,5m.

Devo disinfettare le attrezzature?
    • Sì, ad ogni cambio persona o nucleo familiare lettini, sdraio, ombrelloni etc. vanno disinfettati. In ogni caso la sanificazione deve essere garantita ad ogni fine giornata.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico, eventualmente in fase di prenotazione. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

È possibile fare sport in spiaggia?
    • È vietato praticare attività ludico-sportive di gruppo che possono dar luogo ad assembramenti, ma sono consentiti sport individuali, nel rispetto del distanziamento interpersonale. Per gli sport di squadra (es. beach-volley) sarà necessario rispettare le disposizioni delle disposizioni competenti.

D) Ho una struttura alberghiera (hotel, agriturismo, bed&breakfast): che cosa devo fare per lavorare nel rispetto della normativa?
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Devi predisporre una informativa, anche privacy, sulle misure di prevenzione, che sia comprensibile anche per gli stranieri.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi garantire il rispetto del distanziamento interpersonale di 1 metro in tutte le aree comuni.

    • Devi favorire la differenziazione dei percorsi di ingresso e uscita dalla struttura.

    • La postazione della reception può essere dotata di barriere fisiche. In ogni caso devi favorire i pagamenti elettronici e la gestione delle prenotazioni online, eventualmente con sistemi automatizzati di check-in e check-out.

    • Il servizio di ricevimento deve provvedere alla fine di ogni turno di lavoro alla pulizia del piano di lavoro e delle attrezzature utilizzate.

    • Devi garantire la disinfezione frequente degli ambienti e delle superfici toccate con maggiore frequenza (es. corrimano, interruttori, maniglie).

    • Devi mettere a disposizione dei clienti all’interno della struttura prodotti igienizzanti per le mani.

    • Gli ospiti all’interno della struttura devono indossare le mascherine.

    • Il personale deve utilizzare sempre le mascherine in presenza dei clienti e comunque in ogni caso quando non può essere rispettata la distanza interpersonale di 1 metro.

Posso fornire in uso al clienti oggetti (es. asciugacapelli)?
    • Sì, ma devi disinfettare ogni oggetto fornito in uso prima e dopo ogni utilizzo.

È possibile utilizzare gli ascensori?
    • Sì, ma nel rispetto della distanza interpersonale e con l’utilizzo della mascherina. Possono essere previste eventuali deroghe in caso di componenti dello stesso nucleo familiare/gruppo di viaggiatori.

Devo prestare particolare attenzione al microclima?
    • Sì, è fondamentale verificare le caratteristiche di areazione dei locali e degli impianti di ventilazione (ad es. garantire areazione naturale, aumentare la frequenza di manutenzione degli impianti, attivare l’ingresso e l’estrazione dell’aria almeno un’ora prima e fino a un’ora dopo l’accesso del pubblico, etc.).

E) Ho un’attività di servizi alla persona (parrucchiere, estetista, barbiere)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Consentire l’accesso tramite prenotazione e conservare per 14 giorni l’elenco delle presenze.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro tra le singole postazioni di lavoro e tra i clienti.

    • Se possibile, delimitare con barriere fisiche l’area di lavoro.

    • Sia il cliente che l’operatore per tutto il tempo in cui per l’espletamento della prestazione devono mantenere una distanza inferiore a 1 metro devono utilizzare le mascherine (fatti salvi per l’operatore eventuali dispositivi individuali ad hoc es. mascherina FFP2, visiera protettiva, guanti monouso, etc.).

    • L’operatore nella prestazione del trattamento deve utilizzare guanti diversificati da quelli usati nel contesto ambientale.

Devi assicurare una adeguata disinfezione delle superfici di lavoro e delle attrezzature prima di servire un nuovo cliente.

Posso mettere a disposizione dei clienti riviste e giornali?
    • No, occorre eliminare dal locale giornali, riviste e materiale informativo di uso promiscuo.

    • I clienti devono indossare la mascherina tutte le volte che non sono seduti al tavolo.

Come estetista devo adottare ulteriori e specifici sistemi di protezione?
    • Sì, nell’erogazione di una prestazione che richiede una distanza ravvicinata devi indossare la visiera protettiva e la mascherina FFP2 senza valvola.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

F) Ho un’attività di commercio al dettaglio (abbigliamento, scarpe, utensileria, cose per la casa)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro tra i clienti.

    • Assicurare la pulizia e disinfezione quotidiana delle aree comuni.

    • In caso di vendita di abbigliamento: devono essere messi a disposizione della clientela guanti monouso da utilizzare obbligatoriamente per scegliere in autonomia, toccandola, la merce.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

G) Ho uno studio professionale: avvocato, commercialista, geometra, consulenza ecc.
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Promuovere il contatto con i clienti tramite modalità di collegamento a distanza.

    • Favorire l’accesso dei clienti tramite prenotazione.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro sia tra le singole postazioni di lavoro sia tra i clienti. Dove questo non può essere garantito deve essere utilizzata la mascherina.

    • L’area di lavoro se possibile deve essere delimitata da barriere fisiche.

    • L’attività di front office per gli uffici ad alto flusso di clienti esterni può essere svolta esclusivamente nelle postazioni dedicate e dotate di vetri o pareti di protezione.

    • Per le riunioni (con utenti interni e/o esterni) bisogna favorire prioritariamente le modalità a distanza; in alternativa deve essere garantito il rispetto della distanza interpersonale di 1 metro e in caso di durata prolungata anche l’uso della mascherina.

    • Assicurare la pulizia e disinfezione delle superfici di lavoro e delle attrezzature prima di servire un nuovo cliente.

H) Ho una palestra
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Redigere un programma delle attività il più possibile pianificato (es. con prenotazione), regolamentare gli accessi in modo da evitare assembramenti e conservare per 14 giorni l’elenco delle presenze.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Organizzare spogliatoi e docce in moda da assicurare la distanza di 1 metro.

    • Devi mettere a disposizione di frequentatori/ospiti/clienti prodotti igienizzanti per le mani, prevedendo l’obbligo dell’igiene delle mani all’ingresso e in uscita.

    • Garantirne la frequente pulizia e disinfezione dell’ambiente anche più volte al giorno e comunque la disinfezione degli spogliatoi, compresi gli armadietti, a fine giornata.

Devo prestare particolare attenzione al posizionamento degli attrezzi e delle macchine?
    • Sì, l’accesso agli attrezzi, alle macchine e alle diverse aree deve essere organizzato in modo da garantire.

    • la distanza di almeno 1 metro tra le persone mentre non svolgono attività fisica.

    • la distanza di almeno 2 metri tra le persone durante l’attività fisica.

Devo disinfettare le macchine e gli attrezzi?
    • Sì, dopo l’utilizzo da parte di ogni singolo soggetto devi procedere alla disinfezione della macchina o degli attrezzi usati.

E per gli attrezzi e le macchine che non possono essere disinfettate?
    • Gli strumenti che non possono essere disinfettati non devono essere utilizzati.

È possibile utilizzare in palestra scarpe usate in strada?
    • No, occorre utilizzare in palestra apposite calzature esclusivamente destinate a questo scopo.

È possibile l’uso promiscuo degli armadietti?
    • No. Inoltre gli indumenti e oggetti personali devono essere riposti nella borsa personale anche qualora depositati negli appositi armadietti e devono essere messi a disposizione degli ospiti sacchetti per riporre gli effetti personali.

Devo prestare particolare attenzione al microclima?
    • Sì, è fondamentale verificare le caratteristiche di areazione dei locali e degli impianti di ventilazione (ad es. garantire areazione naturale, aumentare la frequenza di manutenzione degli impianti, attivare l’ingresso e l’estrazione dell’aria almeno un’ora prima e fino a un’ora dopo l’accesso del pubblico, etc.).

I) Gestisco una piscina (gioco acquatico, solarium)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi privilegiare l’accesso tramite prenotazione e conservare per 14 giorni l’elenco delle presenze.

    • Devi predisporre opportuna segnaletica, anche attraverso monitor e/o maxi-schermi, per sensibilizzare gli utenti riguardo ai comportamenti.

    • Redigere un programma delle attività il più possibile pianificato in modo da dissuadere eventuali condizioni di aggregazioni.

    • Regolamentare i flussi degli spazi di attesa e nelle varie aree in modo da favorire il rispetto del distanziamento sociale di 1 metro.

    • Devi favorire la differenziazione dei percorsi di ingresso e uscita dalla struttura.

    • Devi organizzare spogliatoi e docce in moda da assicurare la distanza di 1 metro.

    • Devi mettere a disposizione di frequentatori/ospiti/clienti prodotti igienizzanti per le mani, prevedendo l’obbligo dell’igiene delle mani all’ingresso e in uscita.

    • Garantirne la frequente pulizia e disinfezione delle aree comuni, spogliatoi, cabine, docce, attrezzature (es. lettini, sedie, attrezzature galleggianti etc.).

È possibile l’uso promiscuo degli armadietti?
    • No. Inoltre gli indumenti e oggetti personali devono essere riposti nella borsa personale anche qualora depositati negli appositi armadietti e devono essere messi a disposizione degli ospiti sacchetti per riporre gli effetti personali.

Devo prestare particolare attenzione allo spazio riservato ad ogni persona?
    • Sì, l’accesso ai frequentatori dell’impianto deve avvenire in modo da garantire il rispetto della densità di affollamento calcolata.

    • per le aree solarium e verdi, con un indice di non meno di 7mq di superficie di calpestio a persona.

    • in vasca, con un indice di 7mq di superficie di acqua a persona.

Sono necessari controlli sull’idoneità dell’acqua?
    • Sì, prima dell’apertura della vasca deve essere eseguita un’analisi di tipo chimico e microbiologico dell’acqua.

Sono previsti parametri relativi alla presenza di cloro?
    • Sì, al fine di assicurare un livello di protezione dall’infezione il limite del parametro cloro attivo libero in vasca deve essere compreso tra 1,0 – 1,5 mg/l; cloro combinato ≤ 0,40 mg/l; pH 6.5 – 7.5.

    • La frequenza dei controlli sul posto dei parametri è non meno di due ore.

Come devo posizionare lettini e sedie a sdraio?
    • La disposizione delle attrezzature deve garantire la distanza di almeno 1,5m tra le persone non appartenenti allo stesso nucleo familiare o conviventi.

Devo disinfettare le attrezzature?
    • Sì, ad ogni cambio persona o nucleo familiare lettini, sdraio, ombrelloni etc. vanno disinfettati. In ogni caso la sanificazione deve essere garantita ad ogni fine giornata.

È consentito il funzionamento di giochi acquatici?
    • No, le piscine finalizzate a giochi acquatici vengono convertite in piscine per la balneazione. Nel rispetto delle prescritte misure di sicurezza sono consentiti toboga, vasche torrente e scivoli morbidi.

 

 

 

FAQ Personal data breach INPS – Che cosa sapere, che cosa fare

Tra il 1° e il 2 aprile 2020 (ma verosimilmente già dal 31 marzo) si sono verificati ben due imponenti personal data breach (violazioni di dati personali) nella piattaforma INPS predisposta per chiedere i bonus disposti dal d.l. 17 marzo 2020, n. 18 in materia di Covid-19.

In particolare, le due violazioni hanno riguardato:

    • I dati personali di soggetti richiedenti il bonus attraverso portale INPS;
    • I dati personali di soggetti che hanno presentato richiesta dello specifico “bonus baby-sitting”

Le violazioni hanno permesso a un elevato numero di utenti di conoscere dati personali di altri soggetti che hanno utilizzato il portale INPS. Alcune di queste informazioni risultano poi essere circolate perfino sui canali social (es. Facebook, Twitter).

Tra le categorie di dati personali figurano, tra le altre, informazioni identificative e di contatto, inclusi numeri di telefoni cellulari, dichiarazioni ISEE, dichiarazioni connesse con lo stato di disoccupazione, il fascicolo previdenziale, certificati di malattia e, riguardo al secondo episodio di violazione, anche informazioni relative a minori e a interessati in condizione di disabilità.

Il Garante ha rilevato:

    • sussistere difformità, da ritenersi grave, tra le dichiarazioni di cui ha ricevuto notifica dall’INPS e la realtà effettiva del personal data breach;
    • sussistenza della probabilità di un rischio elevato per le vittime dei due personal data breach.

Pubblichiamo qui alcune brevi informazioni che lo studio legale Grieco Pelino Avvocati ha predisposto in forma di FAQ, per fornire pratici chiarimenti e indicazioni a coloro che ne sono stati vittime.

A) Ho ricevuto la comunicazione con cui sono stato informato dall’INPS di essere vittima di una violazione dei dati personali. Che cosa significa?

Significa che una violazione di sicurezza ha compromesso la riservatezza dei tuoi dati, rendendoli accessibili a terzi. La comunicazione che l’INPS ti ha inviato costituisce un obbligo di legge a tua garanzia, previsto da una disposizione europea, l’art. 34 GDPR (regolamento UE 2016/679). Il Garante per la protezione dei dati personali ha espressamente prescritto all’INPS di provvedere alla comunicazione della violazione a tutti gli interessati entro 15 giorni dal provvedimento del 14 maggio 2020, dunque entro il 29 maggio 2020.

B) Non ho ricevuto la comunicazione di cui sopra da parte dell’INPS. Potrei essere stato ugualmente vittima del personal data breach?

Non si può escludere che tu sia stato ugualmente vittima dell’evento. Con riferimento al primo personal data breach, il Garante ha per esempio contestato la sussistenza di un numero di soggetti colpiti dalla violazione maggiore di quello dichiarato dall’INPS. Puoi rivolgere una richiesta di accesso ai dati personali all’INPS e ottenere conferma oppure smentita del tuo coinvolgimento nell’evento. Possiamo assisterti in questa attività, se lo desideri.

C) Ho ricevuto la comunicazione o sono comunque vittima del personal data breach. Che cosa devo fare?

L’INPS è tenuto a indicarti che cosa devi fare. In particolare deve comunicarti:

      • la natura della violazione dei dati (ivi inclusa la tipologia dei tuoi dati personali oggetto di violazione, elemento questo direttamente collegato con il rischio);
      • un punto di contatto (DPO o altro) a cui hai il diritto di chiedere (e ottenere) informazioni precise e ulteriori aggiornamenti;
      • le probabili conseguenze della violazione che hai subito (es. furto o abuso d’identità, violazione di codici di accesso, indebiti utilizzi dei tuoi dati personali, ecc.);
      • le misure adottate o da adottare per attenuare/eliminare le conseguenze negative del personal data breach.

Lo scopo di questa comunicazione, che non deve essere un atto di mera forma, è di permetterti di comprendere che tipo di violazione hanno effettivamente subito i tuoi dati, che cosa devi verosimilmente temere, come l’INPS sta provvedendo alla soluzione/mitigazione degli effetti negativi e come tu stesso puoi provvedere alla soluzione/mitigazione degli effetti negativi.

In ogni caso, possiamo assisterti in questa fase.

D) Ho subito un danno in conseguenza del personal data breach. Che cosa devo fare?

Se hai subito un danno in conseguenza del personal data breach, potresti avere diritto al risarcimento del danno patito. Il risarcimento può essere chiesto unicamente all’Autorità giudiziaria (Tribunale).

Costituiscono per es. danni: stato di ansia e di preoccupazione, perdite economiche, discriminazione, circolazione dei tuoi dati in rete senza controllo, esclusione dalla presentazione della domanda in quanto la stessa risultava già depositata, ecc.

Se desideri ricevere assistenza sui tuoi diritti o ritieni di avere subito un danno o di voler procedere comunque in via amministrativa nei confronti dell’INPS, puoi contattarci senza impegno ai recapiti di studio, saremo lieti di fornirti supporto.

Applicazioni di tracciamento anti-Covid19 e data protection

Dal mese di marzo 2020, si è aperto anche in Italia un acceso dibattito sull’architettura, sulle garanzie e sui requisiti che le app di tracciamento dei contagi devono soddisfare.

Il nostro studio legale ha partecipato attivamente all’individuazione dei profili giuridici. Ci piace fornirne una sintesi, ritenendola di interesse.

La lettera aperta del 25 marzo

Il 25 marzo scorso, in particolare, abbiamo indirizzato a vari soggetti istituzionali una lettera aperta, scritta assieme al collega Andrea Lisi, alla quale hanno aderito primari colleghi ed esperti della materia.

In quell’occasione abbiamo evidenziato come fosse necessario distinguere tra una finalità di ricostruzione dei contatti (contact-tracing) e una finalità repressiva di sorveglianza della quarantena.

Abbiamo anche evidenziato che il raggiungimento degli obiettivi di ricostruzione dei contatti dipendono dalla disponibilità immediata di tamponi. Dunque l’analisi privacy non può essere disgiunta dal programma di diagnosi, e quest’ultimo dovrebbe entrare nella valutazione d’impatto (DPIA).

Si rimanda, per maggiori approfondimenti, al testo della lettera (qui il pdf dal sito di Anorc).

Il Garante per la protezione dei dati personali, gentilmente rispondendoci nella persona del presidente Soro, ha sostanzialmente confermato la correttezza di entrambi questi punti fondamentali, pur non giungendo a pronunciarsi espressamente in merito alla DPIA.

Dieci domande (senza risposta) al Ministro

Il 17 aprile 2020, abbiamo rivolto pubblicamente dieci domande al Ministro per l’innovazione digitale, a firma congiunta dell’avv. Pelino e del collega Fulvio Sanzana di Sant’Ippolito (con un contributo di Roberto Scano).

La richiesta è stata gentilmente ospitata da una testata di primo piano, Agenda Digitale, ed è leggibile qui.

Tra le richieste, figura quella di avere informazioni sulla DPIA, sulla pseudonimizzazione, sulle categorie di dati personali trattati, sulla loro circolazione, sull’interazione con la piattaforma progettata da Google ed Apple.

Sono domande essenziali, che, sfortunatamente, attendono ancora una risposta istituzionale. La valutazione d’impatto, per esempio, deve ritenersi obbligatoria, dal momento che ricorrono ben cinque delle condizioni esaminate nelle linee guida europee dell’EDPB/WP29. Ne sarebbero sufficienti due.

È appena il caso di notare che la DPIA dovrebbe precedere la progettazione e certamente l’implementazione di un’applicazione di tracciamento. Le linee guida richiamate indicano espressamente: “La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note”.

Non solo. Le recentessime linee guida n. 4/2020 dell’EDPB ribadiscono come “debba essere effettuata una valutazione d’impatto [DPIA] sulla protezione dei dati prima di implementare le app in questione”.

Ad oggi non abbiamo alcuna notizia sul rispetto di questo fondamentale adempimento, che, lungi dall’essere un esercizio di forma, costituisce il momento in cui si disegna l’architettura del trattamento. Con una metafora: è come cominciare a edificare una casa senza avere fatto il progetto.

Una nuova lettera aperta

Il 25 aprile 2020, l’avv. Enrico Pelino ha sottoscritto, con i colleghi Andrea Lisi e Fulvio Sarzana di Sant’Ippolito, un’ulteriore lettera al Ministro per l’innovazione tecnologica e la digitalizzazione, chiedendo trasparenza.

Qui la notizia, mentre il pdf della lettera può essere scaricato da questa pagina.

Trasparenza su che cosa? Sulle procedure di selezione dell’applicazione, sui verbali della task force (al momento non accessibili, se non per esiguo estratto), sul contratto con il fornitore (idem), sulla DPIA (ancora), sui flussi di dati personali, sulle categorie degli stessi, sulla pseudonimizzazione.

Abbiamo cioè chiesto di trasformare quella che oggi è a tutti gli effetti una black box in una scatola di cristallo. Non si può chiedere fiducia ai cittadini e invitarli a utilizzare un’applicazione sulla quale si addensa il più fitto mistero istituzionale. Chi domanda fiducia deve insomma fornire trasparenza: prima ancora che un obbligo giuridico, questo è un imperativo istituzionale.

Ad oggi la lettera aperta, nonostante abbia ricevuto amplissima adesione da parte di esperti e studiosi di primissimo livello, tra i quali l’ex presidente del Garante per la protezione dei dati personali, prof. Pizzetti, non ha meritato alcuna risposta.

Vi terremo aggiornati sugli sviluppi.

Data breach e privacy-by-design

Che cos'è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?

I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell'immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.

Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B - Reasearch to Business. Di seguito una breve sintesi del mio intervento.

Leggi tutto "

Data breach e privacy-by-design

"

Protezione dei dati personali: torna l’interpello preventivo?

Il 9 maggio 2019 è entrato in vigore il nuovo – atteso – regolamento n. 1/2019 del Garante per la protezione dei dati personali sulle procedure interne a rilevanza esterna, dunque innanzitutto su quella di reclamo. Contestualmente, è entrato in vigore anche il gemello regolamento n. 2/2019.Restiamo tuttavia sul primo. La disciplina, di notevole interesse per il pratico, presenta profili di continuità ma anche elementi di novità rispetto al precedente regolamento n. 1/2007. In particolare, vogliamo qui concentrarci sull’istituto noto in passato come “interpello preventivo”. Ricordiamo che l’interpello preventivo andava esperito, nella regolarità dei casi, prima di procedere con ricorso al Garante, pena l’inammissibilità dello stesso.Ebbene, il punto interessante è il seguente: il nuovo regolamento n. 1/2019 ha reintrodotto oppure no l’interpello preventivo che era stato eliminato dalla normazione primaria? Come deve regolarsi oggi l’interessato che richieda tutela amministrativa?Prima di entrare nel vivo della questione, facciamo un rapido cenno al contesto, per fornire una cornice al ragionamento.Leggi tutto "

Protezione dei dati personali: torna l’interpello preventivo?

"