GARANTE PROTEZIONE DATI PERSONALI – Nota 15 settembre 2017, n. 432
Regolamento privacy, come scegliere il responsabile della protezione dei dati – Ced del Viminale, definite le procedure privacy – A Hong Kong la 39^ Conferenza mondiale delle Autorità privacy – Avvocati e crediti formativi: ok al riconoscimento via webcam
Regolamento privacy, come scegliere il responsabile della protezione dei dati
Le prime indicazioni del Garante: necessarie competenze specifiche non attestati formali
Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova importante figura – introdotta dal Regolamento UE 2016/679 – che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.
Nella nota inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.
L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.
Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.
Ced del Viminale, definite le procedure privacy
Chiesto il divieto assoluto di scaricare dati in forma massiva e ribaditi tempi ridotti di conservazione
Parere favorevole del Garante privacy sullo schema di decreto del Presidente della Repubblica che disciplina le procedure di raccolta, accesso, comunicazione, cancellazione e integrazione delle informazioni e dei dati registrati nel Centro elaborazione dati del Viminale [doc. web n. 6826534]. Per innalzare ulteriormente il livello di protezione, il Garante ha però chiesto al Ministero dell’interno di esplicitare il divieto assoluto per gli operatori autorizzati all’accesso di poter scaricare i dati contenuti nel sistema in forma massiva con qualunque mezzo, ad esempio tramite chiavette usb. L’Autorità, inoltre, ha ribadito la necessità di stabilire tempi di conservazione dei dati più brevi e commisurati alle finalità della raccolta, rispetto a quelli attuali, ritenuti immotivatamente lunghi. Analogo rilievo era già stato sollevato in un precedente parere adottato su uno schema di decreto generale riguardante i trattamenti effettuati a “fini di polizia”. Considerata poi la complessità e l’importanza del Ced, il Garante ha suggerito di dettagliare con un atto di natura regolamentare anche le specifiche misure di sicurezza.
Si è così concluso l’iter di regolamentazione dei dati personali trattati a “fini di polizia”, dando completa attuazione al Titolo II della Parte II del Codice privacy.
Il Ced è un grande archivio informatico alimentato e aggiornato dalle forze di polizia con dati e informazioni (denunce, segnalazioni) acquisiti nel corso delle attività di tutela dell’ordine e della sicurezza pubblica. Nel Ced confluiscono anche sentenze dell’autorità giudiziaria, dati acquisiti dalle capitanerie di porto e rilevati dalla polizia municipale (ad es., quelli su veicoli e documenti rubati). I dati registrati nel Ced possono essere scambiati con le forze di polizia degli Stati membri dell’Unione europea o di Stati terzi o con organismi internazionali nell’ambito delle attività di cooperazione.
Nel decreto è ora definita in modo dettagliato l’organizzazione del Ced, sono specificate le regole per la conservazione e l’uso dei dati, i criteri per la loro comunicazione, gli obblighi di sicurezza e i collegamenti con le altre banche dati, ed è espressamente prevista la figura del Responsabile per la protezione dei dati cui vengono affidati importanti compiti di informazione, sorveglianza, consulenza e cooperazione con l’Autorità. Il Responsabile, infatti, deve essere consultato per individuare, tra l’altro, le categorie di dati da trattare, i casi in cui può essere autorizzato un allungamento dei termini massimi di conservazione e le modalità di cancellazione o anonimizzazione delle informazioni contenute nel database.
A Hong Kong la 39^ Conferenza mondiale delle Autorità privacy
Costruire ponti tra Occidente e Oriente per proteggere i dati personali
Costruire ponti tra Occidente e Oriente per proteggere i dati personali. È questo il tema al centro della 39^ Conferenza internazionale delle Autorità di protezione dati che si terrà a Hong Kong dal 25 al 29 settembre e vedrà riuniti rappresentanti provenienti da tutti i continenti. Nel corso dei lavori, ai quali parteciperà anche una rappresentanza del Garante italiano, saranno affrontati temi cruciali del mondo iperconnesso legati all’intelligenza artificiale, alla cybersecurity, ai trasferimenti transfrontalieri di dati, alle differenze privacy tra Est e Ovest e alla necessità di individuare “denominatori comuni” tra i due continenti.
In particolare, il Segretario dell’Autorità italiana interverrà nell’ambito della presentazione di un progetto dell’Unesco volto a definire indicatori comuni per un accesso a Internet democratico e internazionalmente condiviso.
Le Autorità affronteranno anche i delicati temi derivanti dall’uso dei big data da parte dei governi: dai benefici della condivisione delle informazioni alla gestione dei rischi; dall’analisi dei dati per la ricerca sociale e sanitaria allo sviluppo di modelli predittivi e di profilazione potenzialmente rischiosi per la privacy e la libertà individuale. Anche le amministrazioni pubbliche, infatti, cercano di utilizzare a loro vantaggio l’enorme mole di dati in loro possesso: per guidare le scelte economiche, diffondere conoscenze, aumentare la trasparenza, contrastare l’evasione fiscale, migliorare i servizi pubblici, ridurre i costi. Le Autorità di protezione dati riunite a Hong Kong esamineranno quindi l’impatto che questo processo di data mining comporta sulla riservatezza di milioni di persone e cercheranno di individuare le misure più efficaci a protezione dei dati personali.
Al termine della Conferenza è prevista l’adozione di alcune risoluzioni, tra le altre, quelle sui veicoli automatizzati e connessi, il rafforzamento della cooperazione internazionale, la protezione della riservatezza del consumatore.
Avvocati e crediti formativi: ok al riconoscimento via webcam
Il sistema non prevede l’uso di dati biometrici per la verifica dell’identità dei partecipanti ai corsi online
Via libera del Garante privacy ad un sistema informatico che consente di verificare l’effettiva corrispondenza tra l’identità degli avvocati iscritti a corsi di formazione professionali, erogati in streaming, a quella delle persone effettivamente connesse [doc. web n. 6826368]. Il sistema, sottoposto a verifica preliminare dell’Autorità, è finalizzato a evitare che alcuni partecipanti pongano in essere comportamenti sleali per farsi attribuire crediti formativi simulando la partecipazione ai corsi a distanza.
Secondo quanto dichiarato dalla società il controllo dell’identità avverrà acquisendo, a intervalli casuali durante lo svolgimento del corso, la fotografia dei partecipanti collegati in diretta streaming, mediante la webcam del pc di ciascun professionista. Al termine dell’evento le immagini acquisite verranno inserite nelle schede personali insieme al diagramma di connessione.
Successivamente un operatore confronterà le fotografie con quelle dei documenti di identità raccolti in fase di iscrizione, mediante un’operazione che non comporta alcun trattamento biometrico, non essendo prevista la verifica automatizzata di immagini digitali. Il Garante ha richiamato a tale proposito la definizione di riconoscimento facciale elaborata dal Gruppo Art. 29 secondo cui “il riconoscimento facciale è il trattamento automatizzato di immagini digitali contenenti i volti degli individui allo scopo di identificarli, verificarne l’identità o categorizzarli”.
L’Autorità ha ritenuto lecito il trattamento dei dati personali che dovrà essere oggetto di una specifica e articolata informativa che consenta agli interessati l’esercizio dei diritti, espliciti le finalità e le modalità del trattamento, descriva le caratteristiche tecniche del sistema ed evidenzi i tempi di conservazione dei dati personali.
Il Garante ha prescritto inoltre alla società di raccogliere dagli interessati uno specifico consenso informato al trattamento delle immagini e di configurare il sistema in modo da trattare i dati nel rispetto dei principi di proporzionalità, necessità e correttezza. La società dovrà consentire l’accesso ai dati personali acquisiti solo a soggetti adeguatamente formati, designati “responsabili” e “incaricati” del trattamento, e dovrà adottare idonee misure di sicurezza a tutela della privacy degli interessati.
Possono essere interessanti anche le seguenti pubblicazioni:
- GARANTE per la PROTEZIONE dei DATI PERSONALI - Nota n. 517 del 6 febbraio 2024 - Intercettazioni: Garante, più tutele per i dati nelle infrastrutture centralizzate - Garante: no a cancellazione di un articolo dall’archivio online di un quotidiano -…
- Lavoro: no del Garante Privacy all’uso del riconoscimento facciale per controllo presenze - Trasporti: Garante Privacy, più tutele per i dati degli abbonati - Siti e app per il contatto tra medico e paziente: le indicazioni del Garante -…
- Lavoro: no del Garante Privacy all’uso del riconoscimento facciale per controllo presenze - Trasporti: Garante Privacy, più tutele per i dati degli abbonati - Siti e app per il contatto tra medico e paziente: le indicazioni del Garante -…
- GARANTE della PROTEZIONE dei DATI PERSONALI - Nota n. 521 del 10 aprile 2024 - Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy - Dossier sanitario: il Garante Privacy sanziona una Asl - Pa: trasparenza siti, il…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 20 luglio 2021, n. 479 - Garante privacy: sì a maggiori tutele per i dati giudiziari - Fse: i pazienti hanno diritto di scegliere quali dati oscurare -- Garante: sì alle Linee guida Agid sull’interoperabilità…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 03 dicembre 2021, n. 484 - Tabulati: Tim nega l'accesso a un cliente e scatta la sanzione del Garante privacy - Customer care: Garante privacy, no al controllo a distanza dei lavoratori - Sanità: sì del Garante…
RICERCA NEL SITO
NEWSLETTER
ARTICOLI RECENTI
- Alla parte autodifesasi in quanto avvocato vanno l
La Corte di Cassazione, sezione lavoro, con la sentenza n. 7356 depositata il 19…
- Processo Tributario: il principio di equità sostit
Il processo tributario, costantemente affermato dal Supremo consesso, non è anno…
- Processo Tributario: la prova testimoniale
L’art. 7 comma 4 del d.lgs. n. 546 del 1992 (codice di procedura tributar…
- L’inerenza dei costi va intesa in termini qu
L’inerenza dei costi va intesa in termini qualitativi e dunque di compatibilità,…
- IMU: la crisi di liquidità non è causa di forza ma
La Corte di Cassazione, sezione tributaria, ordinanza n. 7707 depositata il 21 m…