Semplificazioni privacy: decreto legge n. 138 del 2011, “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”

Nel passato 2011 sono state approvate delle disposizioni che modificano la normativa privacy. Analizziamo nel dettaglio queste modifiche. Il comma 1, lettera a) dell’art. 6 del D.L. 2011 n. 138, “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”, stabilisce che: “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.

Inoltre:  il Codice della Privacy non si applica più ai trattamenti di dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra persone giuridiche per sole finalità di natura amministrativo-contabile ossia quando i trattamenti riguardano le normali finalità amministrativo-contabili i dati delle imprese, enti, persone giuridiche etc. non devono essere trattati secondo i dettami del Codice. Quindi non è più necessario richiedere il consenso, rilasciare le informative e applicare le misure di sicurezza quando si trattano dati personali per finalità amministrativo-contabili, tra persone giuridiche, nel senso della nuova definizione.

CV inviati spontaneamente.

In caso di ricezione spontanea da parte degli interessati di curricula vitae non è necessario inviare l’informativa. “Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve […]” ossia con l’indicazione delle finalità e modalità del trattamento cui sono destinati i dati, i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi, gli estremi del titolare e/o responsabile

Trattamenti senza consenso.

Nel caso di ricezione di curricula spontaneamente trasmessi dagli interessati, l’azienda non è tenuta a richiedere il consenso per il trattamento dei dati sensibili contenuti nel cv.

Abolizione Dps.

La tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione quando i soggetti trattano soltanto dati personali non sensibili e trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti. La dichiarazione resa ai sensi dell’art. 47 del DPR 445/00, deve contenere soltanto la dichiarazione di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B.

Marketing cartaceo.

Anche questo tipo, oltre che per il marketing telefonico, vale il registro delle opposizioni, per cui gli operatori di marketing possono usare gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali solo se gli interessati non hanno richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni. Nel caso in cui l’abbonato non abbia richiesto questa iscrizione, allora il consenso non è necessario.

Comments(0)

E’ on line la relazione del Garante privacy per l’anno 2010, a questo link:

http://www.garanteprivacy.it/garante/doc.jsp?ID=1819662 trovate una sintesi della relazione per orientarvi negli argomenti trattati. A questo link potete invece scaricare la relazione:

http://www.garanteprivacy.it/garante/document?ID=1819554&DOWNLOAD=true sono 2.1 Mega di materiale. In alternativa potete scaricare da questa pagina solo le parti di relazione di vostro interesse suddivise tra i seguenti argomenti:

I. STATO DI ATTUAZIONE DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

II. L’ATTIVITÀ SVOLTA DAL GARANTE

III – L’UFFICIO DEL GARANTE

IV – DOCUMENTAZIONE

Comments(0)

Conservazione immagini videosorveglianza

I tempi di conservazione delle immagini riprese deve essere commisurato al grado di indispensabilità e per il solo tempo necessario e predeterminato a raggiungere la finalità perseguita. Poche ore, o al massimo 24 ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché in caso di una specifica richiesta dell’autorità giudiziaria. Un eventuale allungamento dei tempi deve essere valutato come eccezionale e comunque in relazione alla necessità derivante da un evento già accaduto o realmente incombente. Solo per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell’attività svolta dal titolare del trattamento (ad esempio per luoghi come le banche), è ammesso un tempo più ampio di conservazione dei dati, che non può comunque superare la settimana e deve essere motivato.
Le ragioni delle scelte di conservazione delle immagini devono essere adeguatamente documentate in un atto autonomo conservato presso il titolare ed il responsabile del trattamento e ciò anche ai fini della eventuale esibizione in occasione di visite ispettive.

Comments(0)

Facebook e la privacy

Perché Facebook s’interessa ora tanto della privacy? Tutto cambiato rispetto al febbraio 2009, quando Facebook aveva cercato di imporre condizioni d’uso che in pratica gli facevano ottenere ogni diritto sui dati dei suoi iscritti. Allora le proteste furono tali che in due giorni tutto fu cancellato. Oggi tutto è differente e maggiori possibilità di controllo sono state attribuite agli utenti sui contenuti inseriti. Cancellarsi e sparire non è più u’utopia, è possibile adesso costituire gruppi ristretti, definendo con esattezza le persone con cui condividere certe informazioni e la dashboard per le applicazioni di terze parti consente di tenere sotto controllo la diffusione dei propri dati. Certo non tutti gli utenti sanno gestire le loro impostazioni privacy. Se siete utenti non esperti vi consigliamo di controllare bene e impostare bene le opzioni privacy. Vale la pena di impiegarci un po’ di tempo; può sembrare inizialmente una scocciatura, ma vi assicuriamo che ne va della vostra riservatezza. Come “training” potete sempre vedervi il film The Social Network, appena uscito negli Stati Uniti è già salito in testa alle classifiche, certo non ha giovato all’immagine di Facebook, ma non sarà la causa dell’abbandono degli utenti affezionati al social network, semmai potrebbe indirizzare correttamente le azioni di Facebook in futuro…

Comments(0)

Sistemi integrati di videosorveglianza

Sono sempre più diffusi i sistemi integrati di videosorveglianza tra diversi soggetti, pubblici e privati, nonché l’offerta di servizi centralizzati di videosorveglianza remota da parte di fornitori (società di vigilanza, Internet service providers, fornitori di servizi video specialistici, ecc.).
Nell’ambito dei predetti trattamenti, sono individuabili le seguenti tipologie di sistemi integrati di videosorveglianza:
a)  Autonomi e distinti titolari del trattamento che usano le stesse infrastrutture tecnologiche (condividono il sistema di videosorveglianza); in tale ipotesi, i singoli titolari possono trattare le immagini solo nei termini strettamente funzionali alle sole finalità riportate nell’informativa;
b)  collegamento telematico di diversi titolari del trattamento ad un “centro” unico gestito da un soggetto terzo; tale soggetto terzo, designato responsabile del trattamento ai sensi dell’art. 29 del Codice da parte di ogni singolo titolare, deve assumere un ruolo di coordinamento e gestione dell’attività di videosorveglianza senza consentire, tuttavia, forme di correlazione/condivisione delle immagini raccolte per conto di ciascun titolare;
c)  in caso di collegamento dei sistemi di videosorveglianza con le sale o le centrali operative degli organi di polizia, tale collegamento deve essere reso noto agli interessati nell’avviso (vedi cartello sopra indicato) e nell’informativa.

Le modalità di trattamento sopra elencate richiedono l’adozione di specifiche misure di sicurezza:
1) registrazione degli accessi logici degli incaricati (log) e delle operazioni compiute sulle immagini registrate, compresi i relativi riferimenti temporali, con conservazione per un periodo di tempo non inferiore a 6 mesi;
2) separazione logica delle immagini registrate dai diversi titolari.
Il mancato rispetto delle misure previste ai punti 1) e 2) comporta l’applicazione della sanzione amministrativa stabilita dall’art. 162, comma 2-ter, del Codice.
Fuori dalle predette ipotesi, in tutti i casi in cui i trattamenti effettuati tramite sistemi integrati di videosorveglianza abbiano caratteristiche singolari tali per cui le misure e gli accorgimenti sopra individuati non siano integralmente applicabili, il titolare del trattamento è tenuto a  richiedere una verifica preliminare al Garante Privacy.

Comments(0)

Cambi telefono, rischio privacy e perdita di dati, cosa fare?

I cellulari diventano vecchi rapidamente e così si cambiano spesso, ma avete pensato a che fine fanno i dati memorizzati?

Alcuni dati si perdono, immagini, sms, suonerie, contatti nella rubrica, ma anche pin, password ecc. Ma si perdono completamente o possono essere riutilizzati da qualche imbroglione? Se i dati non si cancellano bene, formattando tutto il contenuto della memoria, il rischio di truffe è in agguato.

Per non perdere i dati si possono salvare nelle microschede di memoria oppure archiviarli nel computer di casa, sincronizzandolo con il telefono cellulare. Generalmente è disponibile un software di backup da installare sul computer a cui ci si collega con un cavo usb. Oltre il 60% degli italiani non esegue una copia dei propri dati, il backup appunto, e solo un terzo utilizza una memory card per archiviare le informazioni sul proprio cellulare e trasferirle da un telefonino all’altro in sicurezza. Pensateci.

Comments(0)

L’azionista può conoscere i dati del libro dei soci

Il Garante per la Privacy è intervenuto sul caso di un’azionista che si era vista negare la possibilità di consultare i dati completi contenuti nel libro dei soci. La trasparenza dell’attività societaria non è certo ostacolata dalla normativa sulla privacy e gli azionisti hanno diritto di conoscere l’indirizzo e i dati degli altri soci, al fine di contattarli e tutelare meglio i propri legittimi interessi.

Comments(0)

Garante Privacy su pubblicità via mail e fax

Bloccato il trattamento dei dati per cinque società che inviavano pubblicità via mail e fax (le chiamano comunicazioni indesiderate) senza il preventivo consenso dei destinatari.

Su segnalazione degli utenti il Garante Privacy interviente sanzionando le aziende e confermando che anche se i dati sono presi dalle Pagine Gialle o dai registri pubblici, quando si usano sistemi automatizzati (mail e fax internet lo sono) è obbligatorio acquisire prima il consenso dei destinatari.
In alcuni casi contemporaneamente alla pubblicità erano inviate anche l’informativa e la richiesta di consenso. Questo modo di procedere non è corretto poiché in questo modo anche la prima comunicazione, che dovrebbe essere solo informativa sul trattamento dati, viene ad avere carattere commerciale.

Comments(0)

Amministratori di sistema: ad aziende e PA 4 mesi di tempo per mettersi in regola

L’amministratore di sistema gestisce e sovrintende al sistema di sicurezza approntato ed è ovviamente una figura chiave per la corretta applicazione delle normativa privacy. Il garante ha prescritto l’adozione di specifiche misure tecniche ed organizzative per agevolare il titolare nella verifica del suo operato. Restano esclusi da tali misure gli amministratori che operano nel campo della sola gestione amministrativo contabile.
Ecco le misure prescritte dal Garante privacy:
1) registrazione degli accessi degli amministratori di sistema da conservare per almeno 6 mesi (con ora e giorno di accesso e descrizione dell’evento che li ha generati);
2) verifica almeno una volta all’anno dell’attività dell’amministratore relativamente alla corretta messa in opera delle misure di sicurezza imposte dalla legge;
3) elenco con gli estremi identificativi degli amministratori di sistema  e descrizione delle funzioni loro attribuite.

Comments(0)

Malattia e certificati medici, non indicare la diagnosi

In assenza di specifiche disposizioni, il lavoratore assente per malattia presentare un certificato medico con indicata esclusivamente la prognosi, con indicazione dell’inizio e della durata della malattia. Non si deve indicare la diagnosi.

La normativa prevede difatti che la raccolta da parte del datore di lavoro di certificazioni mediche dei dipendenti comprensive di diagnosi è consentita solo se espressamente prevista da specifiche disposizioni.

Comments(0)