Green Pass e privacy

Da oggi, 15 ottobre 2021, il Green Pass diventa obbligatorio in ambito lavorativo. Verificato se le procedure adottate rispettano la privacy?

Da oggi, 15 ottobre 2021, il Green Pass diventa obbligatorio in Italia per svolgere attività lavorative nel settore pubblico e privato. In molti stanno ripassando le FAQ sul sito del Governo per essere certi di sapere che cosa si può fare e che cosa no, ma soprattutto come fare quel che si deve. In pochi, invece, si pongono il problema della definizione di procedure operative che rispettino anche i requisiti del GDPR, convinti che il divieto di qualunque tipo di registrazione dei controlli effettuati escluda automaticamente dall’applicazione della normativa privacy. Ma non è così!

Si trattano dati personali verificando il Green Pass?

Il Green Pass contiene un codice a barre bidimensionale (QR code) che consente di effettuare la verifica delle condizioni che hanno portato all’emissione del certificato (vaccinazione, guarigione dalla Covid-19 o tampone), e i seguenti dati:

  1. nome e cognome;
  2. data di nascita;
  3. identificativo univoco del certificato.
Il Green Pass contiene un codice a barre bidimensionale (QR code) e alcuni dati comuni (nome e cognome e data di nascita) oltre all'identificativo univoco del certificato.

Per quanto comuni possano essere questi dati, restano dati personali. Inoltre, il fatto che il certificato attesti una delle tre condizioni previste per l’emissione, lo avvicina a un dato relativo allo stato di salute della persona e, come tale, è da gestire almeno in via prudenziale.

Gli adempimenti in materia di privacy per il Green Pass

In termini operativi la procedura è ormai abbastanza chiara: si tratta di formalizzare la modalità con cui l’organizzazione eseguirà le verifiche, incaricare i soggetti che effettueranno la verifica del possesso e della validità del Green Pass, si dovranno gestire i casi di controllo che hanno avuto esito negativo e, in caso si rilevino violazioni del divieto di accesso al luogo di lavoro senza Green Pass, applicare le sanzioni disciplinari previste dal contratto collettivo nazionale di riferimento.

La verifica del possesso del Green Pass deve essere effettuata attraverso l'app Verifica C19 e senza alcuna raccolta dei dati.

Sul fronte privacy, questa operatività richiede tre adempimenti:

  1. la nomina degli incaricati al controllo della verifica del Green Pass anche in ottica di protezione dei dati personali. In sostanza questa nomina equivale alla nomina di un incaricato al trattamento e, quindi, deve fornire le istruzioni necessarie alla corretta esecuzione del trattamento, assicurando il rispetto dei principi di riservatezza e minimizzazione;
  2. la predisposizione di informative relative al trattamento dei dati connesso alla verifica del Green Pass, da consegnare a tutti gli interessati e/o da esporre in azienda;
  3. la revisione del registro dei trattamenti con l’aggiunta di questo ulteriore trattamento.

Gli accorgimenti da seguire in fase operativa

Il certificato cartaceo è da piegare, rispettando le istruzioni riportate sul certificato stesso. Non solo la parte del documento che contiene informazioni ulteriori a identità, data di nascita e identificativo del certificato non devono risultare visibili, ma nell’ambito dei controlli sul lavoro si deve anche vietare la verifica di ogni dato ulteriore a quello riportato sul frontespizio.

Il Green Pass cartaceo è da piegare, rispettando le istruzioni riportate sul certificato stesso

Il fatto che la verifica del possesso del Green Pass sia effettuata attraverso l’app VerificaC19 e senza alcuna raccolta dei dati, significa che:

  • non si possono fotografare i Green Pass, cartacei o digitali che siano;
  • non si può richiedere copia del certificato digitale;
  • non è possibile registrare la scadenza dei certificati.

I datori di lavoro che lamentano difficoltà organizzative possono considerare la possibilità, ammessa dal 9 ottobre scorso, di richiedere ai lavoratori di comunicare con anticipo rispetto alla scadenza del proprio certificato tale condizione, al fine di ridurre le conseguenze sulla programmazione del lavoro in azienda. L’indicazione più diffusa è quella di richiedere la comunicazione con 48 ore di anticipo.

Nel caso dei soggetti esclusi dall'obbligo del Green Pass per ragioni di salute, chi effettua il controllo dovrà fare attenzione a non trattare o raccogliere dati che non sia quelli essenziali alla verifica dell'esenzione, escludendo quindi ogni informazioni in merito alla condizione che ha dato luogo all'esenzione.

Infine, nel caso dei soggetti esclusi dall’obbligo del Green Pass per ragioni di salute, in attesa che vengano emessi i QR code dedicati, chi effettua il controllo dovrà fare attenzione a non trattare o raccogliere dati che non sia quelli essenziali alla verifica dell’esenzione, escludendo quindi ogni informazioni in merito alla condizione che l’ha determinata. Per i dipendenti della pubblica amministrazione, il DPCM del 12 ottobre 2021, ha stabilito che, in attesa dell’emissione dei QR code dedicati, gli esentati non potranno essere soggetti ad alcun controllo nel momento in cui avranno trasmesso la relativa documentazione sanitaria al medico competente dell’amministrazione di appartenenza.

Si può registrare l’esito negativo del controllo?

La risposta è sì, in quanto, se il lavoratore dichiara di essere sprovvisto o risulta sprovvisto del certificato verde, seguono delle conseguenze che risulterebbero contestabili in assenza di una prova dell’esito negativo della verifica. In questo caso il dato non risulta rilevante o sensibile perché i motivi per cui un soggetto sia privo di Green Pass possono essere molto diversi e comunque non vi è ragione di identificarli.

Se il lavoratore dichiara di essere sprovvisto o risulta sprovvisto del certificato verde, seguono delle conseguenze che risulterebbero contestabili in assenza di una prova dell'esito negativo della verifica.

Il caso degli enti giuridici

Il titolare del trattamento in caso di ente giuridico è l’ente medesimo. In questo caso è necessario predisporre l’incarico quale autorizzato al trattamento e le relative istruzioni anche al datore di lavoro dell’ente.

Cookie analytics e miglioramenti dell’informativa

Le "Linee guida cookie e altri strumenti di tracciamento" pubblicate a 10 giugno 2021 dal Garante per la protezione dei dati personali forniscono dettagli sui cookie analytics e su alcuni aspetti da valutare in relazione alle informative privacy.

Continuo l’approfondimento sulle Linee guida cookie e altri strumenti di tracciamento pubblicate lo scorso 10 giugno dal Garante per la protezione dei dati personali. Dopo un’analisi delle pratiche da evitare e della proposta del garante per la gestione dei cookie, oggi parliamo di cookie analytics e di alcuni aspetti da valutare in relazione alle informative privacy.

Cookie analytics: che cosa sono e che cosa richiede il Garante

I cookie che vengono utilizzati per ricavare dati in merito all’efficacia di un sito web o alle visite al sito da parte degli utenti, con la possibilità di ottenere dati in relazione all’area geografica, alla durata della permanenza sul sito o al percorso compiuto all’interno di un sito, vengono chiamati cookie analytics.

A dimostrazione che la gestione della privacy non è un’attività di cui ci si può occupare una volta e mai più, il Garante rivede con le linee guida del 2021 la sua posizione in materia di cookie analytics e obbligo di consenso. Nel 2014 si era espresso considerando questi cookie quale una sottocategoria di quelli tecnici, ossia necessari al funzionamento del sito e come tali esclusi dall’obbligo di acquisizione del consenso dell’interessato. Oggi il Garante ritiene che questa equivalenza tra cookie ananlytics e cookie tecnici sia possibile solo nel caso in cui i primi siano gestiti in modo da non consentire l’identificazione del singolo interessato.

I cookie che vengono utilizzati per ricavare dati in merito all'efficacia di un sito web o alle visite al sito da parte degli utenti vengono chiamati cookie analytics.

In altre parole, il Garante ritiene che i cookie analytics possano essere esclusi dall’obbligo di acquisizione del consenso se:

  • uno stesso cookie è riferibile a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che riceve il cookie sul proprio dispositivo;
  • il cookie consente solo la produzione di statistiche aggregate;
  • un cookie è utilizzato in relazione a un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona tra applicazioni e siti diversi.

L’ultimo passaggio delle linee guida in materia di cookie analytics riguarda la possibilità di effettuare analisi statistiche relative a più canali, attività che è soggetta a vincoli diversi a seconda che chi svolge l’analisi sia un soggetto terzo o il titolare dei canali.

I cosiddetti soggetti terzi, come Google Analytics, che forniscono al proprietario o al gestore del sito il servizio di rilevazione dei dati non possono combinare i dati, anche minimizzati come previsto all’elenco precedente, con altre elaborazioni (ex. statistiche di visite ad altri siti) né trasmetterli a ulteriori terzi. L’unica è eccezione è quella in cui le statistiche facciano riferimento a più domini, siti web o app riconducibili al medesimo proprietario o gruppo imprenditoriale.

I cosiddetti soggetti terzi, come  Google Analytics, che forniscono al proprietario o al gestore del sito il servizio di rilevazione dei dati non possono combinare i dati con altre elaborazioni né trasmetterli a ulteriori terzi.

Resta invece possibile a un titolare, proprietario di più domini, siti web o app, effettuare analisi statistiche relative a tutti i canali, anche in assenza delle misure di minimizzazione, purché proceda in proprio all’elaborazione statistica e non utilizzi i risultati dell’elaborazione a fini commerciali.

Gli aspetti da migliorare nelle informative privacy

L’informativa, ricorda il Garante, deve essere sviluppata in un’ottica di trasparenza verso l’utente e deve contenere l’indicazione degli eventuali soggetti destinatari dei dati personali e dei tempi di conservazione delle informazioni acquisite. Inoltre, l’utente deve individuare nell’informativa le indicazioni su come può esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso ai dati e di proporre un reclamo a un’autorità di controllo.

Vi sono però due dettagli specifici che devono essere messi a fuoco da parte del titolare del trattamento dati.

Il primo riguarda il fatto che, in assenza di un sistema universalmente accettato di codifica dei cookie e degli altri strumenti di tracciamento che consenta di distinguerli in modo oggettivo, è in carico al titolare mettere a fuoco i sistemi adottati integrando dell’informativa privacy almeno con i criteri di codifica dei sistemi in questione.

Il secondo dettaglio riguarda invece il fatto che è onere del titolare adottare ogni accorgimento necessario a garantire che le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da parte di chi, a causa di disabilità, necessita di tecnologie assistive o configurazioni particolari.

Gli obblighi sono stemperati dalla messa a fuoco di due opportunità in termini di realizzazione dell’informativa, che il titolare deve però valutare in termini di adeguatezza ai requisiti del Regolamento:

1. l’informativa può essere multilayer, quindi suddivisa in sezione o livelli, con gradi di approfondimento crescenti e dettagli specifici per alcune pagine di un sito;

2. l’informativa può essere multichannel, cioè resa attraverso più canali e modalità (ex. video, pop-up informativi, assistenti virtuali, chatbot).

Gestione dei cookie secondo la proposta del Garante

Con la pubblicazione delle "Linee guida cookie e altri strumenti di tracciamento", il Garante per la protezione dei dati personali ha individuato alcune pratiche che proprio non vanno nell'attuale gestione dei cookie e ha proposto una soluzione operativa dettagliata da adottare nei siti web di cui si è titolari.

Con la pubblicazione delle “Linee guida cookie e altri strumenti di tracciamento“, il Garante per la protezione dei dati personali ha individuato alcune pratiche che proprio non vanno nell’attuale gestione dei cookie e ha proposto una soluzione operativa dettagliata da adottare nei siti web di cui si è titolari. Ecco una sintesi della proposta del Garante, punto per punto.

0. Impostazioni di default

Per impostazione predefinita nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell’utente al momento del primo accesso a un sito web, né deve essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

Il proprietario del sito può definire un meccanismo in base al quale l’utente, accedendo per la prima volta a una qualunque pagina del sito web, visualizzi immediatamente un’area o banner di dimensioni sufficienti a essere individuato e riconoscibile.

1. Il banner per la gestione dei cookie

Il proprietario del sito può definire un meccanismo in base al quale l’utente, accedendo per la prima volta a una qualunque pagina del sito web, visualizzi immediatamente un’area o banner di dimensioni sufficienti a essere individuato e riconoscibile, ma tale da impedire che l’utente possa compiere scelte indesiderate o inconsapevoli.

Il banner può consentire il mantenimento di impostazioni di default e, attraverso un’azione specifica dell’utente, l’espressione del suo consenso. In particolare, se l’utente scegliesse di mantenere le impostazioni di default e di non prestare il consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento, dovrebbe limitarsi a chiudere il banner mediante selezione di una X posizionata in alto a destra e all’interno del banner, senza essere costretto ad accedere ad altre aree o pagine. La X deve avere la stessa evidenza grafica dei comandi a disposizione dell’utente per esprimere le proprie scelte.

Il banner per la gestione dei cookie può consentire il mantenimento di impostazioni di default e, attraverso un'azione specifica dell'utente, l'espressione del suo consenso.

Il banner deve contenere anche le seguenti indicazioni e opzioni come contenuto minimo:

  • l’avvertenza che la chiusura del banner mediante selezione della X comporta l’accettazione delle impostazioni di default (navigazione senza cookie o altri strumenti di tracciamento diversi da quelli tecnici);
  • un’informativa minima relativa al fatto che il sito utilizza cookie o altri strumenti tecnici e potrà utilizzare, esclusivamente previa acquisizione del consenso dell’utente, anche cookie di profilazione o altri strumenti di tracciamento per inviare messaggi pubblicitari, personalizzare il servizio e/o per effettuare analisi e monitoraggio dei comportamenti dei visitatori del sito;
  • il link alla privacy policy (che deve essere presente anche nel footer di ogni pagina del sito), accessibile con un solo click, che fornisca in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento, anche con riguardo ai cookie o ad altri strumenti tecnici utilizzati dal sito;
L'utente deve poter modificare in ogni momento le scelte compiute in materia di cookie o altri sistemi di tracciamento.
  • un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
  • il link a un’ulteriore area dedicata nella quale l’utente possa selezionare in modo analitico soltanto le funzionalità, i soggetti (cd. terze parti) e i cookie, eventualmente raggruppati per categorie omogenee, a cui sceglie di acconsentire. L’elenco delle terze parti deve essere tenuto costantemente aggiornato e consentire di raggiungere il sito del soggetto specifico o di un soggetto intermediario che lo rappresenta. E le impostazioni di default di ogni singolo elemento devono prevedere il diniego all’installazione dei cookie, con possibilità per l’utente di accettarne il posizionamento caso per caso.
Il proprietario del sito deve prevedere un'ulteriore area dedicata nella quale l'utente possa selezionare in modo analitico soltanto le funzionalità, i soggetti (cd. terze parti) e i cookie, eventualmente raggruppati per categorie omogenee, a cui sceglie di acconsentire.

1.1 Solo cookie tecnici o strumenti analoghi

Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, il titolare del sito potrà darne informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.

2. La gestione delle scelte in merito ai cookie

L’utente deve poter modificare in ogni momento le scelte compiute. Pertanto deve essere introdotto un link nel footer delle pagine del sito con una dicitura del tipo “rivedi le tue scelte sui cookie” che dia accesso alla sezione relative ai consensi. Ogni modifica delle scelte dovrà sovrascrivere e superare le precedenti e le scelte di design di quest’area non devono influenzare o penalizzare un’opzione rispetto a un’altra, quindi devono essere utilizzati comandi e caratteri di uguali dimensioni, enfasi e colori, tutti ugualmente facili da visionare e utilizzare.

Ogni modifica delle scelte dell'utente in merito ai cookie dovrà sovrascrivere e superare le precedenti. Il titolare del sito web deve essere in grado di dimostrare di avere raccolto il consenso, quando necessario, e di disporre della documentazione aggiornata che attesti le scelte compiute dall'interessato.

In particolare il Garante suggerisce di posizionare in ciascuna pagina del sito, eventualmente accanto al link all’area dedicata alle scelte, una soluzione grafica che indichi, anche in modo essenziale, lo stato dei consensi resi dall’utente, favorendone in ogni momento l’eventuale modifica o aggiornamento.

3. Poter dimostrare di aver raccolto il consenso

Il titolare del sito web deve essere in grado di dimostrare di avere raccolto il consenso, quando necessario, e di disporre della documentazione aggiornata che attesti le scelte compiute dall’interessato. Per fare questo il gestore del sito web potrebbe avvalersi o di appositi cookie tecnici o di ulteriori modalità che la tecnologia dovesse rendere disponibili, e la cui individuazione è in carico al titolare del sito.

I dettagli delle Linee guida del Garante non finisco qui, settimana prossima approfondiremo quelli che riguardano i cookie analytics e alcuni miglioramenti da apportare alle informative

Garante privacy: le nuove linee guida per i cookie

Il Garante ha definito le "Linee guida cookie e altri strumenti di tracciamento". I titolari di siti web hanno 6 mesi di tempo per adeguarsi.

Il 10 giugno 2021 il Garante per la protezione dei dati personali ha pubblicato le “Linee guida cookie e altri strumenti di tracciamento“. Oltre a ribadire la premessa generale secondo la quale l’espressione del consenso da parte dell’utente è necessaria per i cookie o altri sistemi finalizzati alla profilazione e non per i sistemi che sono solo strumentali al funzionamento del sito, ha aggiunto alcune precisazioni e una proposta operativa.

Il testo delle linee guida è stato pubblicato in Gazzetta ufficiale il 9 luglio e prevede 6 mesi di tempo dalla pubblicazione perché i titolari di siti web si adeguino alle indicazioni. Quindi è opportuno iniziare a mettere a fuoco la situazione.

Come non gestire i cookie: le indicazioni delle linee guida del Garante

Per impostazione predefinita nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell'utente al momento del primo accesso a un sito web, né deve essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

Il Garante parte da una serie di considerazioni che riguardano le pratiche diffuse e le analizza in relazione ai riferimenti di legge applicabili, arrivando a individuarne alcune che proprio non vanno e a porre basi certe su quel che si può o non si può fare.

Il concetto su cui si basano tutti i ragionamenti in materia di tracciamento degli utenti online è che per impostazione predefinita nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell’utente al momento del primo accesso a un sito web, né deve essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

Detto questo, il Garante ha fatto alcune precisazioni rispetto all’utilizzo dei banner e alle modalità di espressione del consenso attualmente diffuse.

Il Garante, con le Linee guida del 2021, ha fornito precisazioni in merito all'utilizzo dei banner e alle modalità di espressione del consenso attualmente diffuse.

In merito al cosiddetto scroll down, cioè all’idea di utilizzare la consultazione di una pagina web da parte dell’utente come dimostrazione del suo consenso ad accettare eventuali strumenti di tracciamento, l’autorità è netta nel dire che non può funzionare così, che serve una soluzione capace di dimostrare la consapevolezza della scelta.

Per analogia, il Garante considera illecito vincolare l’utente a esprimere il proprio consenso intimandogli di abbandonare la pagina web in caso contrario, pratica nota come cookie wall, perché non rispetta il requisito di libertà previsto per l’espressione del consenso. L’unica eccezione ammissibile sarebbe il caso in cui il titolare del sito offrisse all’interessato l’accesso a un contenuto o a un servizio equivalenti, senza necessità di installazione e uso di cookie o altri strumenti di tracciamento.

Infine, il Garante afferma che la continua riproposizione del banner di consenso a utenti che lo hanno già negato in precedenza può lederne la libertà di scelta volendo indurli a rilasciare il consenso. Il banner può essere riproposto se cambiano le condizioni di trattamento dei dati, se il titolare non può avere garanzia del fatto che i cookie siano già stati installati sul terminale dell’utente (ex. se l’utente decide di cancellarli) e se sono trascorsi almeno 6 mesi dalla presentazione del banner.

Che cosa bisogna fare in pratica?

Il Garante non si è limitato a dire quel che non si deve fare in materia di cookie e tracciamento degli utenti, ma ha formulato una proposta operativa ricca di dettagli.

Il Garante non si è limitato a dire quel che non si deve fare sulla base dell’analisi delle pratiche più diffuse, ma ha formulato una proposta operativa ricca di dettagli.

Ne parlerò nella prossima SVnews!

La considerazione conclusiva delle linee guida è però che, trattandosi di un tema di interesse sempre più diffuso, tutti i soggetti coinvolti dovrebbero contribuire alla definizione di una codifica standardizzata relativamente a

  • tipologia dei comandi
  • colori
  • funzioni

da implementare all’interno dei siti web per consentire la più ampia uniformità di gestione dei cookie e dei sistema di tracciamento, “a tutto vantaggio della trasparenza, della chiarezza e dunque anche della migliore conformità alle regole“. Se e quando questo coordinamento si realizzerà e produrrà uno standard definito, non è possibile saperlo, quindi è il caso che ciascuno inizi ad attivarsi per mettere in campo soluzioni conformi alle linee guida, eventualmente con il supporto dei tecnici che gestiscono per suo conto il sito web.

Perché il consulente privacy è “sempre” in azienda?

Il consulente per la privacy è sempre in azienda e chiede sempre di fare qualcosa in più! Non c'è un'alternativa?

Prima perché è entrato in vigore il GDPR imponendo di aggiornare la gestione della privacy in azienda, poi perché l’emergenza Covid ha sollevato nuovi problemi in materia di trattamento dei dati personali, poi perché si sono adottati nuovi servizi digitali che cambiano le tipologie di trattamento dei dati… Insomma, il consulente per la privacy è sempre in azienda e chiede sempre di fare qualcosa in più! Non c’è un’alternativa?

Il ruolo del consulente privacy

Se quello che viene chiamato "consulente privacy" in realtà è il Data Protection Officer, il fatto che sia presente e operativo in azienda è un bene, è un ottimo segnale di professionalità.

Se quello che viene chiamato “consulente privacy” in realtà è il Data Protection Officer (DPO), il fatto che sia presente e operativo in azienda è un bene, cioè è un ottimo segnale di professionalità: si sta facendo carico delle sue responsabilità, il che significa che sta tutelando la realtà per la quale opera.

Un secondo caso al quale riconoscere del merito è quello dei consulenti privacy che proposto all’impresa di effettuare delle attività di verifica periodica (o audit) per accertare che le procedure definite vengano rispettate e, in caso negativo, intervenire per sistemare la situazione prima che diventi fonte di problemi. Per quanto fastidiose possano risultare le attività di verifica, hanno il vantaggio di riuscire a tenere sotto controllo la situazione e di far fronte in tempi brevi alle modifiche richieste dalla variazione dell’attività o della normativa.

Il consulente privacy comunque si prende la briga di aggiornare i clienti delle novità di cui dovrebbero tenere conto.

C’è anche un terzo caso degno di nota: il consulente privacy che non è riuscito a convincere il cliente della necessità di verifiche periodiche, ma che comunque si prende la briga di aggiornarlo delle novità di cui dovrebbe tenere conto e fornisce assistenza nel caso in cui il cliente riconosca il valore della sua consulenza (o abbia paura di spiacevoli sanzioni).

Posso incaricare il personale aziendale di gestire la privacy?

Prima di tutto mettiamo in chiaro un aspetto: il personale aziendale gestisce sempre la privacy! In base al ruolo aziendale viene formato e incaricato per trattare i dati per conto del titolare. Non gestisce tutta la privacy, ma questo perché nessuno lo può fare.

Se quello che si vuole fare è incaricare un dipendente di svolgere l'incarico di DPO o le attività di verifica periodica, allora si deve mettere in conto di doverne verificare i requisiti di competenza e di indipendenza.

Se quello che si vuole fare è incaricare un dipendente di svolgere l’incarico di DPO o le attività di verifica periodica, allora si deve mettere in conto di doverne verificare i requisiti di competenza e di indipendenza. Detto in altre parole, si deve valutare che la persona che si vuole incaricare:

  1. abbia formazione ed esperienza adeguate rispetto alla realtà aziendale e che le mantenga nel tempo;
  2. si trovi in una posizione che le consenta di disporre delle risorse (ex. tempo) per svolgere l’attività e abbia l’autorità per accedere ai dati e ai trattamenti.

Il problema vero, comunque, non è avere il consulente privacy sempre presente in azienda, ma essere convinti che la gestione della privacy sia qualcosa di cui ci si può occupare una volta e mai più.

Codice di condotta CISPE: sicurezza dei cloud provider

Il Codice di condotta CISPE fornisce ai cloud provider metodi approvati dai soggetti controllori per dimostrare che le proprie procedure di gestione e conservazione dei dati sono conformi ai requisiti del GDPR.

La gestione dei dati personali sul lavoro si moltiplica e si complica per mano della tecnologia, lasciando al titolare del trattamento la responsabilità di valutare l’adeguatezza delle soluzioni tecnologiche adottate rispetto ai requisiti del GDPR. Questo può richiedere competenze specialistiche, a meno che i fornitori di servizi non scelgano di rendere la conformità al GDPR un loro requisito, come nel caso dei cloud provider europei che hanno proposto il Codice di condotta CISPE.

Cloud Infrastructure Services Providers in Europe

Una trentina di compagnie europee che forniscono servizi in cloud ( archiviazione, applicazioni, infrastruttura o piattaforma) si sono riunite in un’associazione senza fini di lucro con l’obiettivo di promuovere la comprensione, la conoscenza e l’utilizzo dei servizi in cloud, fondando così CISPE (Cloud Infrastructure Services Providers in Europe).

Tra le iniziative dell’associazione, la definizione di un codice di condotta che consenta ai provider di dimostrare la conformità ai requisiti del GDPR, e ai loro clienti di essere sereni rispetto alla sicurezza dei dati nel momento in cui li dovessero scegliere come fornitori.

I provider che dichiarano di rispettare il Codice di condotta CISPE, per esempio, garantiscono che il trattamento dei dati avviene esclusivamente all'interno dell'Unione Europea.

Il Codice di condotta CISPE

Il 20 maggio scorso (2021) l’European Data Protection Board (EDPB), che comprende le Autorità europee per la protezione dei dati (ex. per l’Italia, il Garante per la protezione dei dati personali), ha espresso un parere favorevole rispetto al Codice di condotta CISPE.

Il Codice di condotta fornisce ai cloud provider metodi approvati dai soggetti controllori per dimostrare che le proprie procedure di gestione e conservazione dei dati sono conformi ai requisiti del GDPR. L’altra faccia della medaglia è che i clienti, scegliendo i provider che si dichiarano rispettosi del Codice di condotta CISPE, hanno garanzia di utilizzare infrastrutture cloud strettamente conformi alla normativa in materia di sicurezza dei dati.

I provider che dichiarano di rispettare il Codice di condotta CISPE, per esempio, garantiscono di accedere o utilizzare i dati del cliente solo per mantenere o fornire il servizio e non per scopi commerciali o pubblicitari, e che il trattamento dei dati avviene esclusivamente all’interno dell’Unione Europea.

Nella scelta di un cloud provider, puoi verificare se espone il marchio CISPE per valutare preventivamente in modo rapido la sua adeguatezza come tuo fornitore.
Fonte: codeofconduct.cloud

Il rispetto del Codice di condotta non è autocertificato ma deriva dalla verifica effettuata da personale indipendente, accreditato dalle Autorità europee per la protezione dei dati.

Quindi, nella scelta di un cloud provider, puoi verificare se espone il marchio CISPE per valutare preventivamente in modo rapido la sua adeguatezza come tuo fornitore.

BYOD: una pratica da curare per la privacy

BYOD è l'acronimo dell'espressione inglese "bring your own device", che identifica l'utilizzo, sempre più diffuso, dei dispositivi digitali personali per svolgere mansioni lavorative.

BYOD è l’acronimo dell’espressione inglese “bring your own device“, che letteralmente significa “porta il tuo dispositivo“. L’acronimo identifica l’utilizzo, sempre più diffuso, dei dispositivi digitali personali (smartphone, tablet e pc) per svolgere mansioni lavorative. Che sia desiderio del dipendente o che sia una richiesta del datore di lavoro, l’utilizzo dei dispositivi personali in ambito lavorativo è possibile se viene gestito correttamente in termini di accordi (il BYOD non deve comportare oneri economici a carico del lavoratore) e di tutela degli aspetti di protezione dei dati personali (privacy).

I rischi nella gestione dei dati personali

L’introduzione dei dispositivi personali comporta necessariamente un maggiore utilizzo per fini personali rispetto a quanto possa accadere nel caso di dispositivi forniti dal datore di lavoro. Per quanto concentrato sul lavoro un dipendente possa essere, l’utilizzo per finalità personali di un dispositivo digitale di proprietà si può considerare certo al di fuori dell’orario di lavoro, e magari anche da parte di familiari.

Per quanto concentrato sul lavoro un dipendente possa essere, l'utilizzo per finalità personali di un dispositivo digitale di proprietà si può considerare certo al di fuori dell'orario di lavoro, e magari anche da parte di familiari.

Il datore di lavoro potrebbe ritenere cautelativo, rispetto alla tutela dei dati che il lavoratore tratta per suo conto, attuare sistemi di scansione del dispositivo, per esempio per rilevare la presenza di malware; oppure potrebbe monitorare l’ubicazione e il traffico del dispositivo per prevenire la trasmissione di dati a terzi. Di fatto, però, queste attività potrebbero determinare l’accesso a tutti i dati del dispositivo, compresi quelli privati, o l’acquisizione di informazioni sulla vita privata e familiare del lavoratore, risultando non commisurate rispetto alla finalità di tutela dei dati di cui il datore di lavoro è titolare.

Come gestire correttamente il BYOD

Un riferimento utile per gestire i problemi di sicurezza dei dati in caso di ricorso al BYOD, sono le Linee Guida WP249 pubblicate a giungo 2017 dal Gruppo di lavoro Art.29 (un gruppo di lavoro indipendente che si è occupato di valutare le problematiche connesse alla protezione dei dati dati personali fino al 25 maggio 2018).

Uno degli aspetti da prendere in considerazione in caso di BYOD è il ricorso a sistemi sicuri di trasferimento dei dati tra il dispositivo del dipendente e la rete aziendale.

Le proposte operative comprendono tre aspetti.

  1. L’attuazione di misure che consentano di distinguere l’uso privato da quello aziendale di un determinato dispositivo personale. Questo significa prima di tutto che i dati di interesse devono essere conservati in un “luogo dedicato” (ex. le cosiddette sandboxing, che conservano i dati in un’applicazione specifica). Ma un secondo aspetto riguarda la formazione del lavoratore che deve sapere che i dati relativi alla prestazione lavorativa non devono essere accessibili a terzi (conviventi, congiunti, conoscenti) e che non può memorizzarli in spazi virtuali diversi da quelli individuati dal datore di lavoro.
  2. Il ricorso a sistemi sicuri di trasferimento dei dati tra il dispositivo del dipendente e la rete aziendale (ex. connessione VPN), con la doppia finalità di evitare di conservare i dati sul dispositivo personale e anche di garantire la sicurezza del dati trattati in tutte le fasi del trattamento, trasferimento compreso.
  3. Il divieto per il datore di lavoro di richiedere o di autorizzare l’utilizzo di dispositivi personali nei casi in cui non sia possibile o sufficiente garantire la sicurezza dei dati o il rispetto della vita privata del dipendente attraverso l’adozione di misure specifiche, come quelle indicate ai punti precedenti.
La pratica del BYOD è possibile, ma richiede al titolare del trattamento di valutare con cura le soluzioni di trasferimento, salvataggio e controllo prima di richiedere o autorizzare l'utilizzo di dispositivi personali per finalità lavorative.

La pratica del BYOD è quindi possibile, ma richiede al titolare del trattamento (il datore di lavoro) di valutare con cura le soluzioni di trasferimento, salvataggio e controllo prima di richiedere o autorizzare l’utilizzo di dispositivi personali per finalità lavorative.

Nuove forme di trattamento dati sul lavoro

La gestione privacy deve tenere conto delle nuove forme di trattamento dati legate a social e cloud e all'utilizzo di dispositivi personali.

La gestione dei dati sul lavoro si è ampliata e diversificata con il diffondersi delle tecnologie informatiche. La separazione tra sfera lavorativa e privata (extra lavorativa) di ciascuno è diventata più sottile ed è sempre meno scontata l’individuazione del luogo fisico di conservazione dei dati. Il titolare del trattamento deve però avere ben chiare tutte le forme e le caratteristiche del trattamento dei dati che mette in atto per poterlo gestire in modo adeguato e conforme. Anche quando si tratta di nuove forme di trattamento dati.

I profili social

Esaminare i profili social di candidati è un trattamento dati al pari di un eventuale screening periodico dei profili social dei propri dipendenti o collaboratori.

Queste attività devono essere gestite in primo luogo in termini di verifica della legittimità: il fatto che un profilo social sia pubblico non rende di per sé legittima la raccolta di dati o informazioni.

Esaminare i profili social di candidati è un trattamento dati al pari di un eventuale screening periodico dei profili social dei propri dipendenti o collaboratori.

In particolare:

  • i dati raccolti per valutare una possibile assunzione dovrebbero essere cancellati non appena si dovesse decidere di non formulare un’offerta effettiva o risulti evidente che il candidato non sia interessato al posto di lavoro;
  • il titolare del trattamento deve essere in grado di dimostrare che la raccolta dati era finalizzata esclusivamente a verificare i requisiti previsti per lo specifico incarico, ma anche di avere informato preventivamente l’interessato di tale attività;
  • la “richiesta di amicizia” di un datore di lavoro verso dipendenti, anche solo potenziali, non ha alcun fondamento giuridico;
  • non è possibile vincolare i lavoratori all’utilizzo di un profilo social aziendale senza la possibilità che disponga anche di un profilo personale, e questo aspetto dovrebbe essere specificato nelle condizioni del contratto di lavoro.

Applicazioni per ufficio fornite in cloud

I casi più diffusi di applicazioni per ufficio fornite in cloud riguardano la gestione dei dati relativi alle risorse umane e applicativi utilizzabili interamente online. In molti casi queste applicazioni comportano il trasferimento internazionale dei dati trattati e di quelli relativi a chi utilizza le applicazioni.

Il titolare del trattamento deve verificare quale Stato sia interessato dal trasferimento e, nel caso di trasferimenti a un paese fuori dall’UE, deve verificare se questo garantisca un livello di protezione adeguato.

BYOD (Bring Your Own Device)

L'utilizzo di dispositivi personali per svolgere il proprio lavoro è divenuto più frequente con l'aumento del lavoro da remoto o con il crescente sviluppo tecnologico.

L’utilizzo di dispositivi personali per svolgere il proprio lavoro è divenuto più frequente con l’aumento del lavoro da remoto e con il crescente sviluppo tecnologico. In questi casi le misure tecniche da attuare al fine di garantire la protezione dei dati, e che il titolare del trattamento ha tutto l’interesse di mettere in atto e potenziare, rischiano di invadere la sfera privata.

Se il monitoraggio dell’ubicazione e del traffico dei dispositivi personali (Your Own Device) può essere considerato legittimo interesse del titolare, risulta illecita l’acquisizione di dati relativi alla vita privata. Pertanto il titolare deve adottare le misure adeguate per riuscire a distinguere tra uso privato e uso aziendale del dispositivo, eventualmente prevedendo la conservazione dei dati di lavoro in applicazioni specifiche.


La gestione privacy richiede tempo di analisi e scelte attente da parte di ogni titolare. Si tratta di un’attività in continua evoluzione, che deve fare i conti con le nuove forme di trattamento dati man mano che queste compaiono nello scenario lavorativo.

Data processing agreement e responsabili esterni

Se le attività affidate a terzi richiedono il trattamento dati, bisogna verificare i fornitori e vincolarli con il data processing agreement.

Per soddisfare la nostra e altrui richiesta di garanzie, il GDPR ha messo a carico del titolare del trattamento, e di altre figure con lui coinvolte nel trattamento dei dati, alcuni obblighi. Ecco perché, ogniqualvolta il titolare affidi il trattamento di un dato a partner o fornitori (responsabili esterni), egli è chiamato a verificare e acquisire garanzie ancora prima di affidare loro l’incarico, e a sottoscrivere il data processing agreement (DPA).

Quando si ha a che fare con un responsabile esterno?

Quando si verificano contemporaneamente queste 3 condizioni si ha a che fare con un responsabile esterno del trattamento:

  1. si affidano a terzi servizi che comprendono il trattamento di dati;
  2. il fornitore offre supporto strumentale e competenze e ha discrezionalità sulle modalità operative;
  3. nonostante la discrezionalità operativa, non determina autonomamente le caratteristiche del trattamento dei dati.
Quando si affidano a terzi servizi che comprendono il trattamento di dati e il fornitore offre supporto strumentale e competenze e, pur potendo operare con discrezionalità decisionale nelle modalità operative, non agisce autonomamente sul trattamento dei dati, allora il fornitore si configura come responsabile esterno del trattamento.

Qualche esempio? I fornitori di servizi informatici, cloud, web, marketing, elaborazione paghe, servizi di hosting, consulenti ai quali si affidano incarichi di audit per analisi di gestione se finalizzati a sviluppi di strategie di business, aziende che gestiscono la videosorveglianza aziendale.

Non sono responsabili esterni le banche nella gestione dei servizi di incasso e pagamento, le figure di audit per il controllo dei libri contabili se effettuati sulla base di norme obbligatorie, organismi per attività di certificazione di sistemi di gestione, il medico competente e gli organismi di vigilanza 231.

Valutare il responsabile esterno in base alle garanzie

Il responsabile esterno deve essere valutato dal titolare in termini di garanzie che è in grado di fornire in materia di tutela dei dati personali che gli vengono affidati.

Il responsabile esterno deve essere valutato dal titolare in termini di garanzie che è in grado di fornire in materia di tutela dei dati personali che gli vengono affidati.

La prima fase è precontrattuale: si tratta di valutare la competenza in merito alle misure organizzative e tecniche di sicurezza a tutela dei dati, a prescindere dalla competenza settoriale, richiedendo gli elementi utili a verificare e dimostrare la sua compliance in tema di protezione dei dati.

Una volta affidato l’incarico, la valutazione deve essere gestita con verifiche periodiche.

Il data processing agreement

Il rapporto tra titolare e responsabile deve essere oggetto di un contratto o di altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, chiamato data processing agreement,

Secondo il GDPR, il rapporto tra titolare e responsabile deve essere oggetto di un contratto o di altro atto giuridico a norma del diritto dell’Unione o degli Stati membri. Questo atto deve vincolare il responsabile del trattamento al titolare e definire:

  • la materia disciplinata;
  • la durata del trattamento;
  • natura e finalità del trattamento;
  • il tipo di dati personali e le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento.

Tale atto vien chiamato anche data processing agreement (DPA). La sua assenza espone a sanzione sia il titolare sia il responsabile, che si troverebbe a trattare dati illecitamente.

La pratica e le clausole standard dell’Autorità danese

Nella pratica si assiste a una presentazione unilaterale del DPA da parte del titolare al responsabile esterno, solo per non rimarne privi.

Sarebbe opportuno che il responsabile e il titolare “componessero” un atto sottoponendo ognuno le proprie garanzie per l’esecuzione dei trattamenti. Nella pratica si assiste a una presentazione unilaterale del documento da parte del titolare al responsabile esterno, solo per non rimarne privi.

In tale contesto, l’autorità di controllo danese ha predisposto delle clausole contrattuali standard che, sottoposte alla valutazione dello European Data Protection Board, sono state integrate e rese un modello utilizzabile da tutti i titolari del trattamento verso i responsabili esterni.

L’autorità di controllo danese ha predisposto delle clausole contrattuali standard che sono state approvate dello European Data Protection Board.

Lo standard è costituito da un documento contrattuale e quattro appendici (allegati).

La parte contrattuale definisce i vincoli che regolano il rapporto tra titolare e responsabile esterno, dettagliando le previsioni dell’art. 28 del GDPR, in particolare la suddivisione degli obblighi tra le due parti in causa.

Le quattro appendici contengono informazioni di dettaglio.

  1. L’Appendice A descrive i dati oggetto di trattamento, le finalità, la natura e la durata del trattamento, le categorie di interessati, la lista dei sub-responsabili. I sub-responsabili sono i soggetti a cui il responsabile, previa autorizzazione generale o puntuale del titolare, può a sua volta affidare parte dei trattamenti da svolgere.
  2. L’Appendice B contiene l’elenco dei sub-responsabili autorizzati.
  3. L’Appendice C contiene le istruzioni relative all’uso dei dati personali fornite dal titolare del trattamento al responsabile
  4. L’Appendice D è lo spazio per ulteriori clausole.
Se un responsabile esterno al trattamento non può proseguire l’incarico che cosa può fare il titolare?

Se un responsabile non può proseguire l’incarico?

L’Autorità danese ha previsto tale eventualità, attribuendo al titolare la facoltà di richiedere direttamente ai sub-responsabili l’esecuzione del contratto stipulato con il responsabile o la cancellazione o restituzione dei dati personali trattati.

Incendio OVH: l’inaspettato accade, e va previsto.

Il rogo del data center OHV mostra la vulnerabilità dei sistemi di salvataggio dati e l’importanza di identificare e mitigare gli imprevisti.

Nella notte tra il 9 e il 10 marzo 2021 un rogo è divampato all’interno di una stanza del data center SBG2, uno dei data center più grandi d’Europa di proprietà della OVH, azienda francese di web hosting. Si stima che più di un milione di siti e servizi siano stati coinvolti nell’incidente di Strasburgo; pur trovandosi geograficamente distanti, molte aziende, anche italiane, sono state coinvolte. Fortunatamente il rogo non ha causato vittime, ma i conti si fanno comunque, con danni materiali e immateriali arrecati ai clienti che avevano affidato i propri dati ai server ospitati negli edifici distrutti.

Il fondatore di OVH, Octave Klaba, ha comunicato tramite Twitter alla propria clientela di prevedere il restart dei data center SBG1 e SBG4, oltre che del network, entro lunedì 15 marzo, e quello del data center SBG3 entro venerdì 19 marzo, definendo il piano di recupero per le prossime due settimane e offrendo supporto ai clienti danneggiati.

Quanto accaduto alla OVH costituisce a tutti gli effetti una situazione di data breach e, in quanto tale, è soggetta alla notifica all’autorità di controllo entro 72 ore dal momento in cui il titolare ne viene a conoscenza.

L’incidente mette in luce la vulnerabilità di ogni sistema di salvataggio dei dati e l’importanza di identificare gli imprevisti e mitigarli, con azioni preventive e strategiche di recupero. Per quanto si possa considerare improbabile un evento simile, non si può pensare che non venga calcolato: qualsiasi insediamento ne tiene conto già in fase progettuale, prevedendo misure preventive ed elaborando piani di emergenza per contenerne i danni; le misure di prevenzione incendi sono parte integrante di ogni attività, si predispongono estintori e idranti in caso serva intervenire.

Ma siamo altrettanto preparati a contenere i danni in caso di perdita o distruzione di dati?

Siamo preparati a contenere i danni in caso di perdita o distruzione di dati?

L’approccio preventivo e protettivo da parte di ogni titolare del trattamento dati, come lo stesso Regolamento Europeo UE 2016/679 richiede, risiede anche nella scelta di un cloud provider conforme. Già in fase contrattuale è necessario acquisire ogni garanzia che vi siano misure atte a trattare in sicurezza i dati e che, in caso di “incidenti”, l’organizzazione a cui ci affidiamo abbia previsto strategie idonee in grado di mitigarne l’impatto negativo. Tali garanzie soddisfano il principio dell’accountability (responsabilità) che nell’ambito del trattamento dei dati coinvolge tutti i soggetti coinvolti. Nel caso in cui il titolare affidi il trattamento di dati a un terzo esterno indentificandolo come responsabile al trattamento, come può essere il caso dei servizi hosting, cloud e provider, dovrà valutarne attentamente l’affidabilità a tutela dei dati degli interessati di cui intende affidargli il trattamento.

L’approccio preventivo e protettivo da parte di ogni titolare del trattamento dati, come lo stesso Regolamento Europeo UE 2016/679 richiede, risiede anche nella scelta di un cloud provider conforme.

Va ricordato inoltre che, in caso di eventi simili, vi è il coinvolgimento in un data breach, ovvero la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Quanto accaduto alla OVH costituisce a tutti gli effetti una situazione di data breach e, in quanto tale, è soggetta alla notifica all’autorità di controllo entro 72 ore dal momento in cui il titolare ne viene a conoscenza. Nel caso in cui tale violazione comporti un rischio elevato per i diritti delle persone, necessita anche la comunicazione a tutti gli interessati coinvolti. La OVH, pertanto, si trova a dover gestire le reazioni dei clienti per il disservizio e risponderà all’autorità di controllo in merito alle misure adottate per dimostrare la conformità al Regolamento Europeo.

Anche piccole e medie imprese ormai si basano su dati che viaggiano in rete, e non possono permettersi di non prevedere un adeguato disaster recovery plan.

Oltre ogni adempimento imposto, il management aziendale si deve fondare sul buon senso. Non è certamente la dimensione aziendale a fare la differenza, anche piccole e medie imprese ormai si basano su dati che viaggiano in rete, e non possono permettersi di non prevedere un adeguato disaster recovery plan, una procedura che descriva azioni finalizzate a fronteggiare tempestivamente emergenze, quali eventi naturali di seria gravità (terremoti, alluvioni), incendi, attacchi informatici (cybercrime), furti e rapine, incidenti causati da errori umani, malfunzionamenti e danni di natura informatica.

Quando succede qualcosa di imprevisto questo prende il sopravvento su tutto il resto, stravolgendo piani, progetti e priorità. Tempi di inattività e la perdita dei dati costano cari e possono mettere a serio rischio l’esistenza stessa delle aziende, con riflessi negativi sull’affidabilità e la reputazione.

Quali verifiche vanno effettuate prima di affidare i dati a un cloud o a un gestore di servizi in rete?