Posts by editor

Biometria per rilevare le presenze dei lavoratori: attenti alla privacy!

19 Dicembre 2019 Posted by notizie 0 thoughts on “Biometria per rilevare le presenze dei lavoratori: attenti alla privacy!”

L’articolo 4 comma 1 punto 14 del Regolamento UE 2016/679, definisce i dati biometrici: “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.”

I dati biometrici rientrano in quella categoria particolare di dati per i quali il Regolamento UE 2016/679, art. 9, pone una specifica attenzione, vietandone il trattamento, tranne che in alcune particolari situazioni, indicate dall’articolo 9 comma 2.

Dette disposizioni, sono confermate anche dall’articolo 2 septies del D.lgs. 101/2018: “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, secondo il quale “i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR e in conformità alle misure di garanzie disposte dal Garante con apposito provvedimento che, adottato con cadenza biennale, dovrà tenere conto non solo delle migliori prassi applicative, ma anche dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure.”

In ottica aziendale, principalmente pubblica, l’utilizzo di sistemi di riconoscimento biometrico aiuterebbero a verificare lo svolgimento della prestazione lavorativa, in particolare controllando la lotta all’assenteismo ed allo scambio dei cartellini tra colleghi.

Il Garante per la protezione dei dai personali, recentemente si è espresso, in seguito alla riforma Buongiorno contro l’assenteismo, con un parere del 19 settembre 2019 [9147290], secondo il quale è necessario fornire un’idonea informativa agli interessati ai sensi dell’art. 13 del Regolamento europeo 2016/679 specificando le cautele adottate, ed i tempi di conservazione.

Inoltre, la disciplina analizzata, prevede che per il trattamento dei dati particolari, dati biometrici, risulta necessario effettuare una valutazione d’impatto, secondo le indicazioni fornite dal WP 29 e dallo stesso Garante circa il “rischio elevato” che presentano tali trattamenti. E’ stato proposto di inserire una specifica disposizione nel regolamento che preveda che la singola amministrazione, in qualità di datore di lavoro e titolare del trattamento, prima dell’attivazione del sistema prescelto effettui una valutazione di impatto ai sensi dell’articolo 35 del Regolamento

La valutazione potrà essere effettuata anche da parte di più titolari del trattamento in considerazione delle caratteristiche analoghe delle relative amministrazioni.

La disposizione potrebbe avere la seguente formulazione, secondo quanto riportato nel parere sopracitato:

Nel rispetto del principio di responsabilizzazione, il titolare del trattamento, previa valutazione di impatto, da sottoporre al Garante ai sensi dell’art. 2-quinquiesdecies del decreto legislativo 30 giugno 2003, n. 196, individua: le categorie di interessati, in ragione delle mansioni svolte, circoscrivendo il numero di soggetti da sottoporre ai controlli; gli ulteriori presupposti per l’adozione dei sistemi in questione, alla luce delle condizioni più specifiche, anche ambientali, delle amministrazioni di riferimento; le caratteristiche tecniche dei sistemi al fine di garantire la selettività degli accessi ed elevati livelli di sicurezza.”

In ambito privato, invece, il Garante per la protezione dei dati non si è ancora espresso, anche se molte aziende stanno implementando sistemi di rilevamento delle presenze, accompagnate da lettera firmata dai dipendenti riportanti il consenso al trattamento dei dati biometrici.

L’articolo 4 dello statuto dei lavoratori, modificato dall’articolo 23, comma 1 del D.Lgs. 151/2015, visti i cambiamenti dettati dall’uso della tecnologia, ha cercato di dettare delle linee di comportamento affinché ne venga fatto buon uso, sottolineando l’importanza di un accordo con il Sindacato, o in mancanza di questo, dell’autorizzazione dell’Ispettorato del lavoro.

Questo non sussiste, esclusivamente, per gli strumenti di registrazione degli accessi e delle presenze. In questo caso, il datore di lavoro, è tenuto a fornire un’informativa circa le modalità d’uso di detti strumenti ed il modo in cui saranno trattati i dati. Cosi facendo, il datore di lavoro dovrebbe poter effettuare i trattamenti di dati particolari, ai sensi dell’articolo 9 del GDPR.

Sul punto, però, il Garante per la Privacy, insieme ad alcune organizzazioni sindacali, si sono espressi in maniera critica. Il Garante per la protezione dei dati, ha affermato, in un intervento sul quotidiano Huffington Post del 8 settembre 2015, che “L’uso di tecnologie che prevedano il trattamento di dati biometrici, per garantire il rispetto degli orari di lavoro, o anche livelli di sicurezza più elevati, deve essere effettuato nel rispetto della normativa in materia di trattamento dei dati personali, ed inoltre, deve rispettare i principi di necessità e proporzionalità.”

Da ciò si evince che il Garante non vieta l’utilizzo di strumenti per il trattamento dei dati biometrici, se rispettano i requisiti sopracitati.

Inoltre, ai sensi dell’articolo 2086 del c.c., le aziende private hanno il diritto di dettare delle regole di accesso ai locali aziendali, o in maniera autonoma o tramite accordo sindacale.

Si attendono, ad ogni modo, nuove disposizioni in merito da parte dell’Autorità Garante.

 

Pubblicato il 

Il nuovo codice della Crisi D’Impresa e la valutazione della conformità del MOG 231: riflessi civili e penali

10 Dicembre 2019 Posted by notizie 0 thoughts on “Il nuovo codice della Crisi D’Impresa e la valutazione della conformità del MOG 231: riflessi civili e penali”

CONVEGNO
IL NUOVO CODICE DELLA CRISI D’ IMPRESA E LA VALUTAZIONE DELLA CONFORMITÀ DEL MOG 231
RIFLESSI CIVILI E PENALI
SEDE ODCEC NAPOLI – PIAZZA DEI MARTIRI
VENERDÌ 6 DICEMBRE 2019 ORE 15:00 – 19:00

SALUTI

VINCENZO MORETTA
Presidente Ordine dei Dottori Commercialisti ed Esperti Contabili di Napoli

GIOVANNA CEPPALUNI
Presidente Sezione G.I.P. – Tribunale di Napoli

ERMANNO CARNEVALE
Presidente Camera Penale di Napoli

IMMACOLATA M.L. VASATURO
Consigliere Delegato Commissione Responsabilità Sociale, Etica ed Amministrativa degli Enti, Privacy e Sicurezza e Commissione Diritto della Crisi
d’ Impresa e dell’Insolvenza Ordine dei Dottori Commercialisti ed Esperti Contabili di Napoli
Introduce e Modera

STEFANO COLA
Presidente Commissione Responsabilità Sociale, Etica ed Amministrativa degli Enti, Privacy e Sicurezza
Ordine dei Dottori Commercialisti ed Esperti Contabili di Napoli

Interventi

Ciro SANTORIELLO
Sostituto Procuratore della Repubblica presso il Tribunale di Torino
“Le valutazioni dell’idoneità del MOG alla luce delle innovazioni in tema di crisi d’impresa”

Virgilio MARINO
Avvocato – Coordinatore Commissione 231/01 Responsabilità Sociale, Etica ed Amministrativa degli Enti della Camera Penale di Napoli
“Il Codice della crisi e dell’insolvenza e il ruolo dell’OdV nell’adozione e applicazione del MOG”

CIRO ESPOSITO
Presidente Commissione Diritto della Crisi d’Impresa e dell’Insolvenza
Ordine dei Dottori Commercialisti ed Esperti Contabili di Napoli
“Gli assetti organizzativi, amministrativi e contabili alla luce del Codice della Crisi di impresa”

Luca DELLA RAGIONE
G.I.P. di Napoli
“Le posizioni di garanzia nel diritto penale della crisi di impresa”

Roberto COCCIA
Coordinatore Scientifico Commissione Responsabilità Sociale,
Etica ed Amministrativa degli Enti ODCEC Napoli
“La funzione del collegio sindacale in tema di crisi d’impresa”

Roberto PIRRO BALATTO
Sostituto Procuratore della Repubblica Presso il Tribunale di Napoli
“Il ruolo del PM nelle procedure concorsuali: le fattispecie ricorrenti di reato
conseguenti al dissesto d’impresa”

Comitato organizzatore

Immacolata M. L. Vasaturo, Stefano Cola, Stefano Meer, Vincenzo Cicala, Roberto Coccia, Rosaria Lenzi, Leandro Musella, Gianpiero Uricchio

06.12.19_231_NUOVOCODICE.pdf

Whistleblowing: dove finisce la 231 e comincia la privacy

20 Novembre 2019 Posted by notizie 0 thoughts on “Whistleblowing: dove finisce la 231 e comincia la privacy”

Il presente articolo si pone l’obiettivo di analizzare la misura in cui il segnalante è protetto contro possibili ritorsioni in seguito della denuncia, e come questa disciplina rientra nella disciplina della Privacy.

Il 25 novembre 2017 è stato definitivamente approvata la disciplina sul whistleblowing.

La disciplina del whistleblowing nasce come legge volta a tutelare i soggetti che segnalano, hanno segnalato, o vogliono segnalare illeciti nell’ambito di un rapporto lavorativo, e che potrebbero ritorcersi contro lo stesso soggetto, in seguito alla denuncia.

Per la prima volta, nel 2012 con la Legge n. 190 del 6 novembre 2012, si è iniziato a parlare di whistleblowing, limitatamente al settore pubblico e con una successiva Direttiva n. 2004/39/CE, approvata in Italia con il D.Lgs. 3 agosto 2017, si è ampliato l’ambito di applicazione anche al settore privato.

Innanzitutto, è stato modificato il D.Lgs. 231/2001 che riguarda la responsabilità amministrativa delle persone giuridiche, in particolare, il d.lgs. 231/2001 si pone l’obbiettivo di esonerare o limitare le responsabilità per le società che adottino il Modello di Organizzazione gestione e controllo. Le modifiche riguardano, principalmente, la possibilità di segnalare reati, irregolarità, o anche il non utilizzo dei Modelli di organizzazione, gestione e controllo adottati dall’azienda, garantendo la tutela del segnalante e il suo anonimato.

Si vede, quindi, come la disciplina del whistleblowing è strettamente collegata alla disciplina della Privacy.

Il Garante per la protezione dei dati personali già nel 2009 aveva posto la sua attenzione sulla disciplina del whistleblowing, evidenziando un problema nel sistema disciplinare. Il Garante, ha dunque, sollecitato la disciplina del whistleblowing, evidenziando anche i punti che questa avrebbe dovuto specificare. I due punti cardine della disciplina possono essere cosi riassunti: a) la disciplina si applica solo alle società che hanno adottato un Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001; b) la disciplina pone delle limitazioni riguardo “l’anonimato” del segnalante, se le informazioni risultano false (direttiva 95/46/CE che sul punto non è molto difforme dal Regolamento GDPR).

Sembra evidente, che la disciplina del whislteblowing, deve integrarsi con il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Secondo il GDPR, dunque, la disciplina del whistleblowing dovrà necessariamente rispettare i seguenti punti: a) definire esaustivamente i ruoli attribuiti ai vari attori coinvolti nella procedura anche dal punto di vista dell’organigramma privacy; b) garantire adeguate misure di sicurezza del dato personale e/o sensibile trattato; c) in caso di multinazionali, disciplinare le modalità di eventuali trasferimenti di dati tra Stati extra-europei; d) disciplinare il diritto di accesso del soggetto segnalato agli atti.

 

Pubblicato su Altalex.com da Gianpiero Uricchio

ODV: Titolare autonomo del trattamento o responsabile del trattamento

29 Ottobre 2019 Posted by notizie 0 thoughts on “ODV: Titolare autonomo del trattamento o responsabile del trattamento”

Non ci sono precisazioni sul ruolo e le responsabilità dell’Organismo di Vigilanza (ODV) in ambito privacy, alla luce del Regolamento Europeo 2016/679.

È da tempo che si discute sulla possibilità di identificare l’ODV come Responsabile del trattamento ex art. 28 del GDPR, o come contitolare del Trattamento, ma ad oggi il Garante per la privacy non ha dato un parere esplicito sulla questione.

L’ODV, per adempiere alle sue funzioni, ha accesso a tutta una serie di dati personali, giudiziari, o comunque riservati, che farebbero pensare alla necessità di inquadrarlo come responsabile del trattamento, o come contitolare del trattamento.

Essendo, però, l’ODV un ente autonomo, indipendente, dotato di pieni poteri, potrebbe anche essere inquadrato come Titolare autonomo del trattamento.

Partiamo dalla fase di indagine per spiegare il motivo di tale tesi. L’ODV, riceve e classifica informazioni che possono contenere dati sensibili, giudiziari o in altro modo riservati, come già enunciato sopra. Di conseguenza, le informazioni devono essere trattate conformemente alle prescrizioni della normativa in materia di protezione dei dati personali.

Si passa alla seconda fase, “istruzione della notizia”. In questa fase, l’ODV può eventualmente accedere ad ulteriori notizie, anche contattando all’interno dell’ente e senza limitazioni le persone dalle quali ritenga necessario acquisire nuove informazioni. Acquisite tali informazioni aggiuntive, l’ODV le valuta sulla base del valore probatorio dei documenti e delle dichiarazioni, e il loro utilizzo in sede di raccomandazione o di analisi incidentale.

Infine, l’ODV conserva ed archivia i documenti di supporto, sotto la responsabilità del Presidente dell’ODV.

Tutto ciò, farebbe dunque pensare ad un possibile inquadramento dell’ODV come contitolare del Trattamento, ma non bisogna tralasciare i rapporti dell’ODV con i procedimenti penali e le forme di collaborazione con le Autorità Giudiziarie, per poter dare fare un’analisi puntuale sul ruolo dell’ODV in ambito privacy.

L’ODV ha quindi l’obbligo alla riservatezza, alla difesa e al segreto istruttorio, e può conservare i dati non oltre il tempo necessario per il perseguimento delle finalità per le quali i dati sono stati originariamente raccolti o utilizzati.

Sulla base delle considerazioni fatte sin qui, sembrerebbe corretto nominare l’ODV come Titolare autonomo del trattamento, anche alla luce della totale indipendenza nello svolgimento dei propri compiti ai sensi del D.Lgs. 231/2001.

È opportuno precisare, che inquadrando l’ODV come Titolare autonomo del trattamento, questo dovrà a tutti gli effetti adeguarsi al Regolamento europeo 2016/679. L’ODV avrà quindi l’obbligo di informativa (art. 13 GDPR), dovrà richiedere il consenso per il trattamento dei dati personali, dovrà nominare i responsabili e gli incaricati al trattamento (art. 2 – quaterdecies codice privacy).

Il Garante per la Privacy, come già detto in precedenza, non si è espresso in modo esplicito sull’argomento, ma nel Provvedimento del 19 luglio 2018 [9040242], nel fornire un parere “su uno schema di decreto volto a dare attuazione alle disposizioni del D.lgs. 81/08 in materia di tutela della salute e della sicurezza nei luoghi di lavoro, nell’ambito delle articolazioni centrali e periferiche della Polizia di Stato, del Dipartimento dei vigili del fuoco, del soccorso pubblico e della difesa civile, del Corpo nazionale dei vigili del fuoco, nonché delle strutture del Ministero dell’interno destinate per finalità istituzionali alle attività degli organi con compiti in materia di ordine e sicurezza pubblica” afferma che “il sistema delle responsabilità in tema di salute e sicurezza dei lavoratori ivi delineato abbia rilevanza ai soli fini degli adempimenti in materia di salute e sicurezza dei dipendenti, restando salva la titolarità dei relativi trattamenti e l’imputazione delle eventuali conseguenti responsabilità in capo all’amministrazione interessata”.

Di conseguenza appare evidente una propensione verso l’inquadramento dell’ODV, in ambito privacy, come responsabile del trattamento ex art. 28 GDPR, visto che la titolarità dei trattamenti rimane in capo all’amministrazione interessata. In questo caso, non ci sarebbe bisogno di alcuna informativa, o consenso al trattamento dei dati, bensì, un accordo specifico come prescritto dall’art. 28 del Regolamento UE contenente tutte le prescrizioni cautelative.

(Altalex, 2 aprile 2019. Articolo di Stefano Cola Gianpiero Uricchio)

GDPR, quando è obbligatorio chiedere e conservare la fotocopia della carta di identità?

24 Ottobre 2019 Posted by notizie 0 thoughts on “GDPR, quando è obbligatorio chiedere e conservare la fotocopia della carta di identità?”

Secondo l’art. 13 del Regolamento europeo 2016/679, il titolare del trattamento deve informare l’interessato circa i fini e le modalità del trattamento.

L’informativa è utilizzata per dare agli interessati un mezzo per poter esercitare i propri diritti, ed è per questo che l’informativa deve essere facile da consultare e semplice in modo da poter essere compresa da tutti gli interessati.

All’interno dell’informativa, sono espressi anche i modi in cui i dati personali vengono raccolti, ad esempio attraverso la registrazione su di un sito e le relative condizioni di liceità, ad esempio un consenso scritto, ma in nessun caso viene specificato cosa succede quando i dati vengono raccolti tramite la richiesta di una fotocopia di un documento di identità.

Ci sono casi in cui la fotocopia di un documento di identità è necessaria per poter compiere determinate attività, come per esempio la registrazione al check-in in un albergo (art. 109, Testo Unico Legge di Pubblica Sicurezza), o per acquistare dei biglietti aereo. In questo caso risulta necessario “identificare” il soggetto.

Secondo il Garante, solamente in due casi è possibile richiedere la fotocopia della carta di identità:

  1. quando bisogna acquistare una scheda per il telefonino, (art. 6, comma 2, della Legge 31 luglio 2005, n. 155);
  2. quando la richiesta ci viene fatta da una pubblica amministrazione (art. 45 del D.P.R. del 28 dicembre 2000, n. 445).

In nessun altro caso vi è un obbligo di rilascio di un nostro documento di identità.

Cosa succede quando gli istituti di credito o postali richiedono l’esibizione di un documento per poter effettuare le operazioni bancarie o postali?

Il Garante ha affrontato questa tematica, ed è stato pubblicato un provvedimento del 27.10.2005, nel quale ha fatto riferimento alla necessità di identificare una persona e le modalità con cui avviene l’identificazione. L’identificazione può essere necessaria per portare a termine determinate attività, o potrebbe derivare dalla stipula di un contratto nel quale viene specificato l’obbligo di esibizione di un documento di identità. In questi casi non è necessario alcun consenso da parte dell’interessato.

Il concetto di “identificazione” può essere facilmente frainteso. Non basta la richiesta di un documento di identità per avere la certezza di aver identificato una persona, in quanto il documento potrebbe essere falso. Questo è uno dei motivi per cui una persona potrebbe opporsi alla richiesta di esibizione del documento di identità.

Un caso particolare riguarda le attività di spedizione doganale. Nelle linee guida e nel codice deontologico degli spedizionieri doganali non vi è espresso alcun obbligo di richiesta della fotocopia della carta di identità, ma questa viene richiesta come principio necessario per identificare il soggetto conferente l’incarico. La necessità è data anche dalle potenziali richieste degli organi di polizia e guardia di finanza durante le ispezioni.

In questo caso specifico, ma il concetto si applica anche ad altre attività, si va incontro al principio di necessità. Infatti il Garante, non vieta la conservazione della fotocopia di un documento di identità, ma tutto deve essere regolamentato per spiegare che la raccolta e conservazione della fotocopia del documento di identità è necessaria ai fini dello svolgimento del lavoro.

La conservazione della fotocopia di un documento di identità, può avere l’effetto di “un’arma a doppio taglio”. Da un lato di tutela da eventuale richieste degli organi di polizia e guardia di finanza, come espresso in precedenza. Dall’altro, potrebbe essere inteso come violazione della Privacy, in quanto, questa particolare attività, non rientra nei casi descritti dal Garante della Privacy.

Per una tutela maggiore, da parte degli enti che richiedono e conservano una fotocopia del documento di identità, è necessaria la redazione di un regolamento interno, nel quale, alla luce anche dei principi di trasparenza e di accountability, si specifica la necessità della raccolta e della conservazione del documento di identità per espletare le attività aziendali.

(Altalex, 29 marzo 2019. Articolo di Gianpiero Uricchio)