Avviata la collaborazione dello studio Cola e Associati con Andrea De Giorgio, ingegnere ed ricercercatore nell’ambito dell’Intelligenza Artificiale.
Per consultare il curriculum e le pubblicazioni del giovane ricercatore è possibile visitare il sito https://andreadegiorgio.com/
Il giorno 28 gennaio 2022, alle ore 14, sarà presentato il secondo webinar “AREA 231”, LA RESPONSABILITÀ DELL’ODV: PROFILI CRITICI E SPUNTI RIFLESSIVI ALLA LUCE DELLA RECENTE GIURISPRUDENZA DI MERITO. Il corso si articolarà in una serie di giornate formative che prevedererà specifici approfondimenti.
Per maggiori informazioni scrivere all’indirizzo di posta: coordinamento scientifico: area231@gmail.com
E’ possibile consultare il programma completo cliccando il seguente link: 28.01.22_webinar_coa
Il giorno 8 giugno 2021, alle ore 14.15, sarà presentato il secondo webinar “AREA 231”, corso di formazione sulla responsabilità dell’ente da reato. Il corso si articolarà in una serie di giornate formative che prevedererà specifici approfondimenti.
Per maggiori informazioni scrivere all’indirizzo di posta: coordinamento scientifico: area231@efgm.it
E’ possibile consultare il programma completo cliccando il seguente link: Webinar “AREA 231”, secondo corso di formazione sulla responsabilità dell’ente da reato
Il giorno 25 giugno 2020, alle ore 14.30, sarà presentato il webinar “AREA 231”, corso di formazione sulla responsabilità dell’ente da reato. Il corso si articolarà in una serie di giornate formative che prevedererà specifici approfondimenti.
La partecipazione ad un singolo evento attribuirà n. 3 crediti formativi. La partecipazione all’intero corso da parte degli avvocati varrà n. 20 crediti formativi e consentirà l’iscrizione ad un apposito elenco istituito presso la camera penale di Napoli è indispensabile la prenotazione attraverso il sito “riconosco” https://riconosco.dcssrl.it/login.jspx
Il corso è soggetto ad un numero di posti limitato. La partecipazione dei dottori commercialisti attribuirà n. 3 crediti formativi per ciascuna lezione, che saranno riconosciuti a coloro che si registreranno prima di ciascuna lezione sul sito www.odcec.napoli.it\eventi e, successivamente, autocertificheranno “online”, entro sette giorni dalla singola lezione, nella stessa pagina (mediante il calendario eventi), la partecipazione. Per maggiori informazioni scrivere all’indirizzo di posta: coordinamento scientifico: area231@efgm.it
E’ possibile consultare il programma completo cliccando il seguente link: Webinar “AREA 231”, corso di formazione sulla responsabilità dell’ente da reato
L’articolo 4 comma 1 punto 14 del Regolamento UE 2016/679, definisce i dati biometrici: “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.”
I dati biometrici rientrano in quella categoria particolare di dati per i quali il Regolamento UE 2016/679, art. 9, pone una specifica attenzione, vietandone il trattamento, tranne che in alcune particolari situazioni, indicate dall’articolo 9 comma 2.
Dette disposizioni, sono confermate anche dall’articolo 2 septies del D.lgs. 101/2018: “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, secondo il quale “i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR e in conformità alle misure di garanzie disposte dal Garante con apposito provvedimento che, adottato con cadenza biennale, dovrà tenere conto non solo delle migliori prassi applicative, ma anche dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure.”
In ottica aziendale, principalmente pubblica, l’utilizzo di sistemi di riconoscimento biometrico aiuterebbero a verificare lo svolgimento della prestazione lavorativa, in particolare controllando la lotta all’assenteismo ed allo scambio dei cartellini tra colleghi.
Il Garante per la protezione dei dai personali, recentemente si è espresso, in seguito alla riforma Buongiorno contro l’assenteismo, con un parere del 19 settembre 2019 [9147290], secondo il quale è necessario fornire un’idonea informativa agli interessati ai sensi dell’art. 13 del Regolamento europeo 2016/679 specificando le cautele adottate, ed i tempi di conservazione.
Inoltre, la disciplina analizzata, prevede che per il trattamento dei dati particolari, dati biometrici, risulta necessario effettuare una valutazione d’impatto, secondo le indicazioni fornite dal WP 29 e dallo stesso Garante circa il “rischio elevato” che presentano tali trattamenti. E’ stato proposto di inserire una specifica disposizione nel regolamento che preveda che la singola amministrazione, in qualità di datore di lavoro e titolare del trattamento, prima dell’attivazione del sistema prescelto effettui una valutazione di impatto ai sensi dell’articolo 35 del Regolamento
La valutazione potrà essere effettuata anche da parte di più titolari del trattamento in considerazione delle caratteristiche analoghe delle relative amministrazioni.
La disposizione potrebbe avere la seguente formulazione, secondo quanto riportato nel parere sopracitato:
“Nel rispetto del principio di responsabilizzazione, il titolare del trattamento, previa valutazione di impatto, da sottoporre al Garante ai sensi dell’art. 2-quinquiesdecies del decreto legislativo 30 giugno 2003, n. 196, individua: le categorie di interessati, in ragione delle mansioni svolte, circoscrivendo il numero di soggetti da sottoporre ai controlli; gli ulteriori presupposti per l’adozione dei sistemi in questione, alla luce delle condizioni più specifiche, anche ambientali, delle amministrazioni di riferimento; le caratteristiche tecniche dei sistemi al fine di garantire la selettività degli accessi ed elevati livelli di sicurezza.”
In ambito privato, invece, il Garante per la protezione dei dati non si è ancora espresso, anche se molte aziende stanno implementando sistemi di rilevamento delle presenze, accompagnate da lettera firmata dai dipendenti riportanti il consenso al trattamento dei dati biometrici.
L’articolo 4 dello statuto dei lavoratori, modificato dall’articolo 23, comma 1 del D.Lgs. 151/2015, visti i cambiamenti dettati dall’uso della tecnologia, ha cercato di dettare delle linee di comportamento affinché ne venga fatto buon uso, sottolineando l’importanza di un accordo con il Sindacato, o in mancanza di questo, dell’autorizzazione dell’Ispettorato del lavoro.
Questo non sussiste, esclusivamente, per gli strumenti di registrazione degli accessi e delle presenze. In questo caso, il datore di lavoro, è tenuto a fornire un’informativa circa le modalità d’uso di detti strumenti ed il modo in cui saranno trattati i dati. Cosi facendo, il datore di lavoro dovrebbe poter effettuare i trattamenti di dati particolari, ai sensi dell’articolo 9 del GDPR.
Sul punto, però, il Garante per la Privacy, insieme ad alcune organizzazioni sindacali, si sono espressi in maniera critica. Il Garante per la protezione dei dati, ha affermato, in un intervento sul quotidiano Huffington Post del 8 settembre 2015, che “L’uso di tecnologie che prevedano il trattamento di dati biometrici, per garantire il rispetto degli orari di lavoro, o anche livelli di sicurezza più elevati, deve essere effettuato nel rispetto della normativa in materia di trattamento dei dati personali, ed inoltre, deve rispettare i principi di necessità e proporzionalità.”
Da ciò si evince che il Garante non vieta l’utilizzo di strumenti per il trattamento dei dati biometrici, se rispettano i requisiti sopracitati.
Inoltre, ai sensi dell’articolo 2086 del c.c., le aziende private hanno il diritto di dettare delle regole di accesso ai locali aziendali, o in maniera autonoma o tramite accordo sindacale.
Si attendono, ad ogni modo, nuove disposizioni in merito da parte dell’Autorità Garante.
Pubblicato il
CONVEGNO
IL NUOVO CODICE DELLA CRISI D’ IMPRESA E LA VALUTAZIONE DELLA CONFORMITÀ DEL MOG 231
RIFLESSI CIVILI E PENALI
SEDE ODCEC NAPOLI – PIAZZA DEI MARTIRI
VENERDÌ 6 DICEMBRE 2019 ORE 15:00 – 19:00
SALUTI
VINCENZO MORETTA
Presidente Ordine dei Dottori Commercialisti ed Esperti Contabili di Napoli
GIOVANNA CEPPALUNI
Presidente Sezione G.I.P. – Tribunale di Napoli
ERMANNO CARNEVALE
Presidente Camera Penale di Napoli
IMMACOLATA M.L. VASATURO
Consigliere Delegato Commissione Responsabilità Sociale, Etica ed Amministrativa degli Enti, Privacy e Sicurezza e Commissione Diritto della Crisi
d’ Impresa e dell’Insolvenza Ordine dei Dottori Commercialisti ed Esperti Contabili di Napoli
Introduce e Modera
STEFANO COLA
Presidente Commissione Responsabilità Sociale, Etica ed Amministrativa degli Enti, Privacy e Sicurezza
Ordine dei Dottori Commercialisti ed Esperti Contabili di Napoli
Interventi
Ciro SANTORIELLO
Sostituto Procuratore della Repubblica presso il Tribunale di Torino
“Le valutazioni dell’idoneità del MOG alla luce delle innovazioni in tema di crisi d’impresa”
Virgilio MARINO
Avvocato – Coordinatore Commissione 231/01 Responsabilità Sociale, Etica ed Amministrativa degli Enti della Camera Penale di Napoli
“Il Codice della crisi e dell’insolvenza e il ruolo dell’OdV nell’adozione e applicazione del MOG”
CIRO ESPOSITO
Presidente Commissione Diritto della Crisi d’Impresa e dell’Insolvenza
Ordine dei Dottori Commercialisti ed Esperti Contabili di Napoli
“Gli assetti organizzativi, amministrativi e contabili alla luce del Codice della Crisi di impresa”
Luca DELLA RAGIONE
G.I.P. di Napoli
“Le posizioni di garanzia nel diritto penale della crisi di impresa”
Roberto COCCIA
Coordinatore Scientifico Commissione Responsabilità Sociale,
Etica ed Amministrativa degli Enti ODCEC Napoli
“La funzione del collegio sindacale in tema di crisi d’impresa”
Roberto PIRRO BALATTO
Sostituto Procuratore della Repubblica Presso il Tribunale di Napoli
“Il ruolo del PM nelle procedure concorsuali: le fattispecie ricorrenti di reato
conseguenti al dissesto d’impresa”
Comitato organizzatore
Immacolata M. L. Vasaturo, Stefano Cola, Stefano Meer, Vincenzo Cicala, Roberto Coccia, Rosaria Lenzi, Leandro Musella, Gianpiero Uricchio
Il presente articolo si pone l’obiettivo di analizzare la misura in cui il segnalante è protetto contro possibili ritorsioni in seguito della denuncia, e come questa disciplina rientra nella disciplina della Privacy.
Il 25 novembre 2017 è stato definitivamente approvata la disciplina sul whistleblowing.
La disciplina del whistleblowing nasce come legge volta a tutelare i soggetti che segnalano, hanno segnalato, o vogliono segnalare illeciti nell’ambito di un rapporto lavorativo, e che potrebbero ritorcersi contro lo stesso soggetto, in seguito alla denuncia.
Per la prima volta, nel 2012 con la Legge n. 190 del 6 novembre 2012, si è iniziato a parlare di whistleblowing, limitatamente al settore pubblico e con una successiva Direttiva n. 2004/39/CE, approvata in Italia con il D.Lgs. 3 agosto 2017, si è ampliato l’ambito di applicazione anche al settore privato.
Innanzitutto, è stato modificato il D.Lgs. 231/2001 che riguarda la responsabilità amministrativa delle persone giuridiche, in particolare, il d.lgs. 231/2001 si pone l’obbiettivo di esonerare o limitare le responsabilità per le società che adottino il Modello di Organizzazione gestione e controllo. Le modifiche riguardano, principalmente, la possibilità di segnalare reati, irregolarità, o anche il non utilizzo dei Modelli di organizzazione, gestione e controllo adottati dall’azienda, garantendo la tutela del segnalante e il suo anonimato.
Si vede, quindi, come la disciplina del whistleblowing è strettamente collegata alla disciplina della Privacy.
Il Garante per la protezione dei dati personali già nel 2009 aveva posto la sua attenzione sulla disciplina del whistleblowing, evidenziando un problema nel sistema disciplinare. Il Garante, ha dunque, sollecitato la disciplina del whistleblowing, evidenziando anche i punti che questa avrebbe dovuto specificare. I due punti cardine della disciplina possono essere cosi riassunti: a) la disciplina si applica solo alle società che hanno adottato un Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001; b) la disciplina pone delle limitazioni riguardo “l’anonimato” del segnalante, se le informazioni risultano false (direttiva 95/46/CE che sul punto non è molto difforme dal Regolamento GDPR).
Sembra evidente, che la disciplina del whislteblowing, deve integrarsi con il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Secondo il GDPR, dunque, la disciplina del whistleblowing dovrà necessariamente rispettare i seguenti punti: a) definire esaustivamente i ruoli attribuiti ai vari attori coinvolti nella procedura anche dal punto di vista dell’organigramma privacy; b) garantire adeguate misure di sicurezza del dato personale e/o sensibile trattato; c) in caso di multinazionali, disciplinare le modalità di eventuali trasferimenti di dati tra Stati extra-europei; d) disciplinare il diritto di accesso del soggetto segnalato agli atti.
Pubblicato su Altalex.com da Gianpiero Uricchio
Non ci sono precisazioni sul ruolo e le responsabilità dell’Organismo di Vigilanza (ODV) in ambito privacy, alla luce del Regolamento Europeo 2016/679.
È da tempo che si discute sulla possibilità di identificare l’ODV come Responsabile del trattamento ex art. 28 del GDPR, o come contitolare del Trattamento, ma ad oggi il Garante per la privacy non ha dato un parere esplicito sulla questione.
L’ODV, per adempiere alle sue funzioni, ha accesso a tutta una serie di dati personali, giudiziari, o comunque riservati, che farebbero pensare alla necessità di inquadrarlo come responsabile del trattamento, o come contitolare del trattamento.
Essendo, però, l’ODV un ente autonomo, indipendente, dotato di pieni poteri, potrebbe anche essere inquadrato come Titolare autonomo del trattamento.
Partiamo dalla fase di indagine per spiegare il motivo di tale tesi. L’ODV, riceve e classifica informazioni che possono contenere dati sensibili, giudiziari o in altro modo riservati, come già enunciato sopra. Di conseguenza, le informazioni devono essere trattate conformemente alle prescrizioni della normativa in materia di protezione dei dati personali.
Si passa alla seconda fase, “istruzione della notizia”. In questa fase, l’ODV può eventualmente accedere ad ulteriori notizie, anche contattando all’interno dell’ente e senza limitazioni le persone dalle quali ritenga necessario acquisire nuove informazioni. Acquisite tali informazioni aggiuntive, l’ODV le valuta sulla base del valore probatorio dei documenti e delle dichiarazioni, e il loro utilizzo in sede di raccomandazione o di analisi incidentale.
Infine, l’ODV conserva ed archivia i documenti di supporto, sotto la responsabilità del Presidente dell’ODV.
Tutto ciò, farebbe dunque pensare ad un possibile inquadramento dell’ODV come contitolare del Trattamento, ma non bisogna tralasciare i rapporti dell’ODV con i procedimenti penali e le forme di collaborazione con le Autorità Giudiziarie, per poter dare fare un’analisi puntuale sul ruolo dell’ODV in ambito privacy.
L’ODV ha quindi l’obbligo alla riservatezza, alla difesa e al segreto istruttorio, e può conservare i dati non oltre il tempo necessario per il perseguimento delle finalità per le quali i dati sono stati originariamente raccolti o utilizzati.
Sulla base delle considerazioni fatte sin qui, sembrerebbe corretto nominare l’ODV come Titolare autonomo del trattamento, anche alla luce della totale indipendenza nello svolgimento dei propri compiti ai sensi del D.Lgs. 231/2001.
È opportuno precisare, che inquadrando l’ODV come Titolare autonomo del trattamento, questo dovrà a tutti gli effetti adeguarsi al Regolamento europeo 2016/679. L’ODV avrà quindi l’obbligo di informativa (art. 13 GDPR), dovrà richiedere il consenso per il trattamento dei dati personali, dovrà nominare i responsabili e gli incaricati al trattamento (art. 2 – quaterdecies codice privacy).
Il Garante per la Privacy, come già detto in precedenza, non si è espresso in modo esplicito sull’argomento, ma nel Provvedimento del 19 luglio 2018 [9040242], nel fornire un parere “su uno schema di decreto volto a dare attuazione alle disposizioni del D.lgs. 81/08 in materia di tutela della salute e della sicurezza nei luoghi di lavoro, nell’ambito delle articolazioni centrali e periferiche della Polizia di Stato, del Dipartimento dei vigili del fuoco, del soccorso pubblico e della difesa civile, del Corpo nazionale dei vigili del fuoco, nonché delle strutture del Ministero dell’interno destinate per finalità istituzionali alle attività degli organi con compiti in materia di ordine e sicurezza pubblica” afferma che “il sistema delle responsabilità in tema di salute e sicurezza dei lavoratori ivi delineato abbia rilevanza ai soli fini degli adempimenti in materia di salute e sicurezza dei dipendenti, restando salva la titolarità dei relativi trattamenti e l’imputazione delle eventuali conseguenti responsabilità in capo all’amministrazione interessata”.
Di conseguenza appare evidente una propensione verso l’inquadramento dell’ODV, in ambito privacy, come responsabile del trattamento ex art. 28 GDPR, visto che la titolarità dei trattamenti rimane in capo all’amministrazione interessata. In questo caso, non ci sarebbe bisogno di alcuna informativa, o consenso al trattamento dei dati, bensì, un accordo specifico come prescritto dall’art. 28 del Regolamento UE contenente tutte le prescrizioni cautelative.
