Call Us +39 011 55.84.111

Chiara Agostini

Chiara Agostini

Avvocato esperto nella tutela della proprietà intellettuale ed industriale.

Profilo: http://www.replegal.it/it/cerca-i-professionisti/122-chiara-agostini.html

Le ispezioni del Garante Privacy nel 2019

di Chiara Agostini e Giacomo Pataracchia

Quante sono state le ispezioni del Garante Privacy nel 2019? È previsto un programma delle ispezioni? 

Le ispezioni del Garante Privacy nel 2019 sono state 147 sulla base di programmi elaborati secondo linee di indirizzo stabilite internamente dal Garante Privacy. 

Le linee generali della programmazione dell’attività ispettiva sono rese pubbliche attraverso il sito web del Garante Privacy.

 

Il Garante Privacy si è avvalso della collaborazione di qualche forza di polizia?

Il Garante Privacy si è avvalso della collaborazione della Guardia di Finanza per lo svolgimento delle attività di controllo.

Tale collaborazione è oggetto di un protocollo di intesa che dovrebbe essere aggiornato nel corso del 2020, prevedendo:

  • la messa a disposizione di nuove unità di personale della Guardia di Finanza presso il Garante Privacy;
  • la possibilità per il Garante Privacy di avvalersi di personale specializzato della Guardia di Finanza anche per la conduzione di ispezioni congiunte con altre autorità estere.

 

Quali sono stati i principali settori oggetto di controllo nel 2019?

Le ispezioni del Garante Privacy hanno riguardato:

  • grandi gruppi alberghieri, in relazione al trattamento di dati personali della clientela, anche tramite siti web, al fine di verificare, nell’ambito dei diversi servizi offerti:
    • le categorie di dati raccolti e le tipologie di trattamenti effettuati, tra cui l’eventuale profilazione o attività di marketing;
    • le misure di sicurezza previste;
    • l’eventuale comunicazione di dati personali a soggetti terzi;
  • call center, con riferimento al trattamento dei dati personali delle persone contattate, al fine di verificare, in particolare:
    • le modalità di rilascio dell’informativa e di acquisizione del consenso o di registrazione del diniego;
    • le fonti di acquisizione delle liste dei destinatari delle chiamate telefoniche;
    • l’effettività del riscontro delle stesse con il Registro delle opposizioni;
  • gruppi societari, per la verifica:
    • delle modalità di trattamento dei dati personali in relazione al rilascio di carte di fidelizzazione;
    • delle modalità dell’eventuale profilazione della clientela, anche a fini di marketing;
    • della sussistenza dei relativi presupposti giuridici;
  • società di intermediazione immobiliare di rilevanza nazionale, in relazione al trattamento di dati personali della clientela, anche tramite siti web, al fine di verificare, nell’ambito dei diversi servizi offerti:
    • le categorie di dati raccolti e le tipologie di trattamenti effettuati, tra cui l’eventuale attività di marketing o di comunicazione dei dati personali a soggetti terzi;
    • le modalità ed i tempi di conservazione dei dati trattati;
  • tour operator di rilevanti dimensioni, in relazione al trattamento di dati personali della clientela, anche tramite siti web, al fine di verificare, nell’ambito dei diversi servizi offerti:
    • le categorie di dati raccolti e le tipologie di trattamenti effettuati, tra cui l’eventuale attività di marketing o di comunicazione dei dati personali a soggetti terzi;
    • le modalità ed i tempi di conservazione dei dati trattati;
  • circoli sportivi, in relazione al trattamento di dati personali della clientela, anche tramite siti web, al fine di verificare:
    • le categorie di dati raccolti (eventualmente, anche di tipo particolare, quali i dati relativi alla salute);
    • le modalità di rilascio dell’informativa e dell’acquisizione del consenso della clientela, l’eventuale attività di marketing o di comunicazione dei dati personali a soggetti terzi;
    • l’eventuale utilizzo di impianti di videosorveglianza.

 

Cosa fare per non trovarsi impreparati in caso di ispezioni da parte del Garante Privacy?

Al fine di non trovarsi impreparati di fronte ad una possibile ispezione del Garante Privacy si suggerisce di:

  • verificare lo stato dell’adeguamento al GDPR;
  • predisporre istruzioni operative in caso di ispezioni privacy; nonché 
  • svolgere simulazioni di ispezione privacy.

Link alla fonte

Data breach e relazione annuale del Garante Privacy: cosa sappiamo?

di Chiara Agostini e Giacomo Pataracchia

Quanti data breach sono stati segnalati al Garante Privacy nel 2019 e da parte di chi?

Nel 2019 sono pervenute al Garante Privacy 1.443 notifiche di data breach che hanno riguardato:

  • soggetti pubblici (nel 27% dei casi); e
  • soggetti privati (nel restante 73%).

Quali sono state le tipologie di data breach più frequenti?

Le tipologie di data breach più frequenti hanno riguardato:

  • attacchi informatici volti all’acquisizione di dati personali (quali credenziali di accesso, dati relativi a strumenti di pagamento, dati di contatto);
  • accesso non autorizzato a caselle di posta elettronica (ordinaria e certificata);
  • perdita o indisponibilità di dati personali causata da malware di tipo ransomware;
  • smarrimento o furto di dispositivi digitali o documenti cartacei contenenti dati personali;
  • comunicazione o diffusione accidentale di dati personali.

Quali sono state le valutazioni oggetto dell’attività istruttoria post data breach?

Le attività istruttorie svolte dal Garante Privacy a seguito della notifica di data breach hanno avuto come obiettivo prioritario:

  • la valutazione delle misure adottate dal titolare del trattamento (o che lo stesso intendeva adottare) per porre rimedio alla violazione dei dati personali o per attenuarne i possibili effetti negativi per gli interessati; nonché
  • la valutazione della necessità di effettuare la comunicazione dell’avvenuta violazione agli interessati, fornendo loro indicazioni specifiche sulle misure da adottare per proteggersi da eventuali conseguenze pregiudizievoli.

Cosa è successo nei casi in cui sono emerse inadeguatezze delle misure adottate?

Nei casi in cui il data breach ha messo in luce una possibile inadeguatezza delle misure adottate dal titolare, il Garante Privacy ha avviato l’attività ispettiva per acquisire gli elementi necessari a individuare le lacune organizzative e tecniche da cui hanno avuto origine le violazioni notificate. Tale attività di approfondimento ha portato all’adozione da parte del Garante Privacy di alcuni provvedimenti collegiali di tipo prescrittivo e, nei casi più gravi, sanzionatorio.

Cosa fare per non trovarsi impreparati in caso di data breach?

Al fine di non trovarsi impreparati di fronte ad un possibile data breach si suggerisce di:

  • predisporre e adottare una policy per la gestione del data breach;
  • sensibilizzare il personale circa tale tematica anche con corsi di formazione;
  • nonché redigere e tenere aggiornato un registro delle violazioni.

Link alla fonte

Datore di lavoro e test sierologici Covid-19, quali risposte ha dato il Garante Privacy?

di Chiara Agostini e Giacomo Pataracchia

Cosa può fare il datore di lavoro in materia di test sierologici Covid-19?

Il datore di lavoro, secondo le indicazioni fornite dal Garante Privacy nelle proprie FAQ relative al trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria, può:

  • richiedere ai propri dipendenti di effettuare test sierologici solamente solo se disposti dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle autorità sanitarie;
  • offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito;
  • ove coinvolto dal dipartimento di prevenzione locale, veicolare ai propri lavoratori l’invito ad aderire alle campagne di screening avviate dalle autorità sanitarie competenti a livello regionale relative ai test sierologici Covid-19.

Quali dati può trattare il datore di lavoro?

Il Garante Privacy precisa, inoltre, che il datore di lavoro:

  • non può trattare, salvo i casi espressamente previsti dalla legge, i dati relativi alla diagnosi e all’anamnesi familiare del lavoratore;
  • può trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro.

Chi può fare le visite e gli accertamenti?

Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Link alla fonte

Sanzioni del Garante Privacy cipriota per l’utilizzo di un sistema automatizzato finalizzato al monitoraggio dell’assenteismo dei dipendenti

Nel corso del 2018, il sindacato dei dipendenti, aveva presentato una denuncia presso l'Autorità per la protezione dei dati personali di Cipro, contro un gruppo di aziende che aveva implementato uno strumento automatizzato utilizzato per monitorare le assenze per malattia dei dipendenti, noto anche come "Bradford Factor".

L'utilizzo di tale algoritmo, permetteva alle società di monitorare, tramite un software, i congedi per malattia degli 818 dipendenti coinvolti, assegnando loro un punteggio negativo nel caso in cui tali permessi risultassero brevi ma ricorrenti. Secondo la logica alla base del sistema automatizzato “Bradford Factor”, infatti, le assenze per malattia dei dipendenti brevi, frequenti e non pianificate portano a una maggiore disorganizzazione dell'azienda rispetto alle assenze più lunghe.

L’importanza dell’adozione di policy aziendali in ambito privacy alla luce del recente provvedimento del Garante Privacy nei confronti di Eni gas e luce

di Chiara Agostini e Giacomo Pataracchia

Le policy privacy aziendali sono davvero utili per dimostrare il rispetto del GDPR?

Si, ma solo se sono efficaci ed effettivamente applicate in azienda.

Questa è la risposta che il Garante Privacy ha dato con il provvedimento 231/2019, con cui ha inflitto una sanzione amministrativa di 3 milioni di euro per l’illecito trattamento dei dati personali di clienti da parte di Eni gas e luce S.p.A..

Cookie: cresce l’incertezza su tale tematica tra vecchie norme e nuove linee guida

Il corretto utilizzo dei cookie nei siti web, tematica spesso al centro di accese discussioni, nel corso degli ultimi mesi è stato oggetto non solo della discussa sentenza della Corte di Giustizia dell’Unione Europea sul caso Planet49 (C-673/17, pubblicata in data 1.10.2019), ma anche di alcuni provvedimenti emanati dalle autorità europee garanti per la protezione dei dati personali (di seguito, “Garanti privacy”).

Preliminarmente, è necessario rilevare che l’ultimo intervento legislativo a livello comunitario in materia di cookie risale alla Direttiva 2009/136/CE, che ha modificato la disciplina di cui alla Direttiva 2002/58/CE, c.d. e-Privacy.

Tale direttiva è stata recepita con leggi nazionali degli Stati membri e poi oggetto di regolamentazione ulteriore da parte dei Garanti privacy, circostanza che ha comportato un’implementazione frammentata di tale disciplina.

agostini
Socio
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
bonomo
Socio
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
egitto3
Socio
TorinoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
morretta
Socio
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
togliatto
Socio
TorinoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
lodigiani2
Of Counsel
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
vaciago
Of Counsel
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
allavelli2
Collaboratore
Busto ArsizioQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
bellisario
Collaboratore
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
cataldi2
Collaboratore
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
ceretto
Collaboratore
TorinoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
forzano
Collaboratore
RomaQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
olivari
Collaboratore
TorinoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
pataracchia
Collaboratore
MilanoQuesto indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy

Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bologna
R&P Legal
Via D’Azeglio, 19
40123, Bologna - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy