Home » Privacy

Category Archives: Privacy

Il recruiting a mezzo social network come veicolo della minaccia hacker

L’Agenzia per la cybersicurezza nazionale (ACN) è stata istituita con il D.L. 14 giugno 2021, n. 82 allo scopo di tutelare gli interessi nazionali nel campo della cybersicurezza. A tale autorità è affidato il compito di promuovere azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese. L’Agenzia ha elaborato la Strategia Nazionale di Cybersicurezza che  prevede il raggiungimento di 82 misure entro il 2026 in un percorso innovativo che tende a garantire  una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo, ad anticipare e prevenire l’evoluzione della minaccia cyber, a contrastare la disinformazione online, a gestire le crisi cibernetiche e ad assicurare l’autonomia strategica nazionale ed europea nel settore del digitale.

(altro…)

Diritto all’oblio: il Garante privacy può ordinare la deindicizzazione globale a Google

Come affermava il prof. Stefano RodotàIl rispetto della persona e dei valori che l’accompagnano, rischia di scomparire quando ogni momento della sua vita viene implacabilmente scrutato e registrato. Di fronte a questa nuova realtà l’attenzione della politica deve essere massima.” 

Attraverso il web è possibile reperire rapidamente notizie, informazioni e dati relativi alla vita passata e presente di un individuo. Se, poi, le vicende personali sono negative in quanto attengono ad eventuali precedenti penali, vi è il rischio che le tracce di un passato difficile compromettano il diritto di ciascuno a cominciare una nuova vita. 

(altro…)

Il garante privacy accerta che Clubhouse, il social delle chat vocali,  non tutela la privacy degli utenti

A seguito di notizie stampa che hanno rivelato l’esistenza di diverse problematiche relative alle modalità di trattamento dei dati personali posti in essere dal social network Clubhouse il garante per la privacy ha avviato d’ufficio un’istruttoria durante la quale l’autorità ha ricevuto anche una segnalazione di criticità relative a profili di sicurezza, esercizio dei diritti, mancanza di un rappresentante nell’Unione europea, attività di profilazione, conservazione dei dati personali.

(altro…)

La scelta e la conservazione della password

Il 20 ottobre 2021 le più importanti testate giornalistiche hanno riportato la notizia dell’attacco hacker che il Gruppo Everest ha portato alla Società Italiana degli autori ed editori (SIAE), cioè all’ente pubblico economico che, nel nostro paese,  si occupa della  protezione del diritto d’autore e delle opere d’ingegno svolgendo anche attività di intermediazione tra gli autori ed editori e i fruitori delle opere medesime.

La SIAE svolge anche attività di promozione culturale e di incentivazione alla produzione di nuove opere, nonché azioni di solidarietà e di conservazione del patrimonio artistico.

L’Ente è stata vittima di un precedente attacco informatico nel 2018.

(altro…)

Regolamento Europeo 679/2016 sulla Data Protection (GDPR)

Nel nostro Paese la tutela della riservatezza dei dati finora è stata affidata al Testo unico in materia di privacy approvato con il d.lgs. n.169 del 2003 che raccoglie la maggior parte delle disposizioni inerenti alla privacy e al trattamento dei dati, recependo le Direttive 95/46/CE e 58/2002/CE.

Tale disciplina si avvia ad essere sostituita dal Regolamento Europeo 679/2016 sulla General Data Protection Regulation (GDPR) approvato nell’aprile del 2016 che trova applicazione a decorrere dal 25 maggio 2018 ed è obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri. Si tratta, quindi, di una disciplina pan europea. Tuttavia, la sola esistenza ed applicazione del GDPR non comporta, l’abrogazione automatica del citato Testo unico e delle altre 27 diverse legislazioni nazionali finora vigenti.

(altro…)

L’Autorità Garante per la privacy sulla rilevazione dei dati biometrici e la videosorveglianza negli istituti scolastici

Tre recentissimi provvedimenti dell’Autorità Garante per la privacy affrontano il problema della liceità dell’impiego di strumenti finalizzati alla rilevazione di dati biometrici e di sistemi di videosorveglianza in ambito scolastico.

In particolare, il Garante, a seguito di notizie rilevate a mezzo stampa e di specifiche segnalazioni, ha disposto ispezioni in tre istituti superiori.

A Taranto e a Martina Franca il problema sollevato dal personale docente e ATA riguardava l’installazione di un impianto di rilevazione delle impronte digitali e, dunque, attraverso esse dei dati biometrici, per controllare le presenze sul luogo di lavoro. Il Garante in più occasioni ha  individuato le condizioni in presenza delle quali il  trattamento di tali dati  può ritenersi lecito.

In particolare, l’Autorità ha precisato che tali dati possono essere, di regola, utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l’accesso ad “aree sensibili” in considerazione della natura delle attività ivi svolte.

In applicazione  dei principi di necessità nonché di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice) dei trattamenti effettuati in relazione alle finalità perseguite, il Garante ha, di regola, ritenuto sproporzionato l’impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori (cfr. Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669; v. già le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007, punto 7.1; questo orientamento è stato condiviso, proprio in sede di impugnazione di un’ordinanza-ingiunzione dell’Autorità, dal Trib. Prato, 19 settembre 2011). Infatti, a tale fine possono essere utilizzate idonee modalità alternative che non incidano sulla libertà e la dignità stessa dei lavoratori interessati.

Il titolare del trattamento, allo scopo di verificare il puntuale rispetto dell’orario di lavoro può disporre di altri sistemi, meno invasivi della sfera personale nonché della libertà individuale del lavoratore, che non ne coinvolgano la dimensione corporale (cfr. Provv. 31 gennaio 2013, n. 38; con specifico riferimento all’impiego di analoghi sistemi di rilevazione in ambito scolastico cfr. Provv.ti 30 maggio 2013).

Peraltro, il trattamento dei dati biometrici per la registrazione delle presenze, oltre ad essere in linea di principio sproporzionato, potrebbe comunque, in concreto, rivelarsi di scarsa utilità nel contrasto di eventuali casi di allontanamento dal servizio atteso che tale modalità di rilevazione delle presenze, in difetto di efficaci sistemi di controllo e vigilanza sull’effettiva (operosa) presenza dei lavoratori durante l’arco dell’intera giornata lavorativa, non è di per sé in grado di assicurare la concreta presenza sul luogo di lavoro di dipendenti infedeli.

Va, inoltre, considerato che nel rispetto del principio di correttezza il trattamento dei dati biometrici dedotti dalle impronte digitali può avvenire solo a seguito di un accordo con i lavoratori e le loro rappresentanze sindacali e di una chiara esposizione delle modalità  peculiari del trattamento che si intende effettuare, nonché di una esauriente  informativa preventiva  agli interessati ai sensi dell’art. 13 del Codice. Infine il trattamento dei dati biometrici richiede la notificazione ai sensi dell’art. 37, comma 1, lett. a), del Codice.

Dalle ispezioni compiute presso gli istituti scolastici di Taranto e di Martina Franca è emerso che non ricorreva alcuna delle condizioni in precedenza indicate. Il Garante, in primo luogo, ha verificato che i dirigenti scolastici interessati non hanno fornito prova della necessità e pertinenza del trattamento. L’installazione del sistema di rilevazione delle impronte digitali era motivato dalla volontà di prevenire condotte abusive dei dipendenti. Tuttavia, non vi era prova che l’impiego di sistemi diversi e meno invasivi di rilevazione delle presenze come, ad esempio, quello del badge, non avessero funzionato. Anzi, in passato, in casi di ritardi e assenze ingiustificate dal lavoro, l’istituto scolastico era stato perfettamente in grado di contestare i relativi addebiti ai responsabili. Inoltre, non si era proceduto all’accordo con i lavoratori, non era stata fornita loro una soddisfacente informativa, né era stata effettuata la notificazione al Garante.

Con un altro provvedimento, invece, l’Autorità Garante ha affrontato anche il problema dell’impiego della videosorveglianza. In un istituto scolastico di Roma, all’insaputa del personale, erano presenti  alcune telecamere installate in tempi successivi. Rispetto ad una di queste collocata nel corridoio di accesso all’area amministrativa non erano state rese note, né le ragioni della sua installazione, né l’orario in cui essa era attiva, né se venivano effettuate registrazioni, né chi era a conoscenza delle password per accedere alle riprese o alle registrazioni. In breve, non erano stati apposti i dovuti cartelli di segnalazione e, men  che meno, era stata resa nota l’informativa dettagliata imposta dalla legge. Ulteriori telecamere, poi, effettuavano riprese di alcune aree del’’istituto frequentate da studenti durante il periodo di apertura del medesimo. Inoltre, era presente in istituto anche un impianto di rilevazione dei dati biometrici.

Le circostanze segnalate al Garante erano confermate dalle verifiche compiute dall’Ispettorato del Lavoro che, ai sensi dell’art.4 dello Statuto dei Lavoratori, disponeva l’ordine di disinstallazione dell’impianto di videosorveglianza e del sistema di rilevazione delle impronte digitali.

L’Autorità Garante, con il provvedimento in commento ha dichiarato che le rilevazioni effettuate dall’Istituto scolastico  con l’impianto di videosorveglianza posto presso gli uffici amministrativi non sono lecite in quanto violano la disciplina prevista dagli artt. 13, 114 del Codice e 4, comma 2, l. n. 300/1970.  Peraltro,  tale trattamento, essendo idoneo a riprendere anche gli studenti che frequentavano l’istituto, non risultava conforme a quanto stabilito dal Garante, nel provvedimento generale in materia di videosorveglianza dell’8 aprile 2010, atteso che  in ambito scolastico l’utilizzo di sistemi di videosorveglianza deve ritenersi ammissibile solo “in casi di stretta indispensabilità, al fine di tutelare l’edificio ed i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate ed attivando gli impianti negli orari di chiusura degli istituti; è vietato, altresì, attivare le telecamere in coincidenza con lo svolgimento di eventuali attività extrascolastiche che si svolgono all’interno della scuola”(punto 4.3.1).

Mi viene da considerare che, probabilmente, in un’ottica di uso efficiente delle scarse risorse finanziarie disponibili nelle scuole, anziché investire in costosi impianti  di videosorveglianza e di rilevazione delle impronte digitali, sarebbe stata più opportuna una seria consulenza e formazione in materia di tutela della  privacy.

Siti suggeriti da Tesi in diritto