Home
Chi Siamo
Settori
Soluzioni
News
Contatti
Lavora con noi
Area clienti
Academy
v-white.svg

Gennaio 2021

Gennaio 2021

Gennaio 2021

  1. Home
  2. |
  3. Newsletter GDPR
  4. Gennaio 2021
Newsletter 01/2021
 

OSSERVATORIO VECOMP
 

Cookie e privacy: le nuove Linee Guida
Si è conclusa la consultazione avviata a dicembre. Ecco le 5 regole da rispettare.

Il 10 gennaio si è conclusa la consultazione sulle “Linee Guida per l’utilizzo di cookie e di altri strumenti di tracciamento” avviata dal Garante con il Provvedimento n. 255 del 26 novembre 2020.
L’Autorità ha valutato necessario un nuovo intervento sulla regolamentazione dei cookie per due motivi:

  • Adeguare il quadro normativo con le novità intervenute tra il 2014 ed oggi (su tutti la pubblicazione del GDPR)

  • Tutelare gli utenti dalla crescente diffusione di nuove tecnologie potenzialmente pervasive.

Il documento rappresenta il primo aggiornamento post-GDPR alle pregresse indicazioni del Garante, risalenti all’8 maggio 2014 (individuazione delle modalità di informativa e consenso, con relative FAQ), al 2015 (chiarimenti attuativi) e fa seguito anche alle importanti Linee guida aggiornate dell’EDPB sul consenso n. 5/2020. Vediamo in sintesi 5 punti fondamentali in cui insiste il documento:

  1. Viene ribadito che è tuttora valido il provvedimento del maggio 2014 che rimane parte integrante del corpus normativo di riferimento dei cookie.

  2. La tecnica dello scrolling (azione che consiste nel lasciare scorrere la pagina in modo da mostrare all’utente sullo schermo del proprio dispositivo la parte sottostante il banner che contiene l’informativa breve), non è da ritenersi di per sé idonea ad esprimere la volontà dell’interessato ad accettare il posizionamento di cookie diversi da quelli tecnici 

  3. È illecito adottare meccanismi noti come “cookie wall” perché condizionano l’accesso al sito alla prestazione del consenso alla installazione dei cookie di profilazione. È invece necessario offrire all’utente la possibilità di accedere a un servizio equivalente senza prestare il consenso all’installazione e uso di cookie.

  4. L’uso fisiologico dei cookie analitici va limitato unicamente alla produzione di statistiche aggregate che non possano consentire il tracciamento della navigazione dell’utente. Vanno quindi adottate misure di minimizzazione qualora l’uso avvenga ad opera di terze parti.

  5. Va predisposta una informativa granulare che parta da indicazioni minime sull’utilizzo di cookie tecnici con il collegamento ad un link con una informativa più estesa ove vengono fornite indicazioni più di dettaglio riguardo al funzionamento di cookie tecnici analitici e/o di profilazione. L’utente deve poter selezionare ciascuna funzionalità e le terze parti coinvolte nell’operazione di profilazione eventualmente raggruppati per categorie omogenee per scegliere e prestare il consenso.

Data: 10 gennaio 2021
Approfondisci qui

Registro Pubblico delle Opposizioni: a che punto siamo?
A dieci anni dall'avvio del Registro, è in dirittura d'arrivo l’estensione del servizio a tutti i numeri nazionali, cellulari inclusi. 
Lo schema di regolamento previsto dalla Legge n. 5/2018 - per contrastare il telemarketing indesiderato - ha raccolto lo scorso luglio il parere del Consiglio di Stato e a Gennaio quello delle Commissioni parlamentari competenti. A questo punto manca l’approvazione del Consiglio dei Ministri, prima della firma del Presidente della Repubblica.

Cosa prevede la Legge n. 5/2018?
Si tratta di una vera e propria riforma del telemarketing: con un'unica iscrizione al Registro si vieterà a tutti gli operatori di utilizzare il proprio numero di telefono per fini pubblicitari, indifferentemente dalla modalità in cui siano stati acquisiti i consensi e dalla fonte utilizzata per estrapolare i dati.
Quindi:

  • L'ambito di applicazione del Registro viene esteso a tutti i numeri nazionali, fissi e cellulari, anche se non presenti negli elenchi telefonici pubblici.
  • L'iscrizione al nuovo Registro consentirà l'annullamento di tutti i consensi pregressi rilasciati per finalità di telemarketing e sancirà il divieto di cessione a terzi dei dati personali, indifferentemente dalla fonte dei contatti che utilizzano gli operatori. su come rifiutarli”.

Data: 2 febbraio 2021
Approfondisci qui

Cassazione: quando la videosorveglianza costituisce reato?
Non commette reato il datore che installi impianti di videosorveglianza, senza accordo sindacale, a tutela il proprio patrimonio.
La Cassazione con la sentenza n. 3255/2 chiarisce che deve escludersi la configurabilità del reato concernente la violazione della disciplina di cui alla L. 20 maggio 1970, n. 300, art. 4 quando l’impianto audiovisivo o di controllo a distanza, sebbene installato sul luogo di lavoro in difetto di accordo con le rappresentanze sindacali legittimate, o di autorizzazione dell’Ispettorato del Lavoro, sia strettamente funzionale alla tutela del patrimonio aziendale, sempre, però, che il suo utilizzo non implichi un significativo controllo sull’ordinario svolgimento dell’attività lavorativa dei dipendenti, o debba restare necessariamente "riservato" per consentire l’accertamento di gravi condotte illecite degli stessi.

Data: 27 gennaio 2021
Leggi la sentenza

HYSTORIES

Francia: sanzione esemplare a Carrefour
Il Garante francese ha sanzionato per 3 milioni di euro il Gruppo Carrefour a causa violazioni multiple delle disposizioni del GDPR.
L’ammontare totale della sanzione è stato quantificato prendendo in considerazione il fatturato totale dell’intero gruppo societario non il solo quello delle 2 società per le quali sono state accertate le violazioni privacy (Carrefour France e Carrefour Banque).  Per i numerosi reclami ricevuti dagli interessati, il Garante francese (CNIL) aveva effettuato vari controlli nel corso del 2019 rilevando gravi violazioni al GDPR:

  • Violazione del principio di informazione, le privacy policy del sito web e del programma di fidelizzazione dei clienti di Carrefour France sono state collocate in fondo al documento riguardante termini e condizioni, risultando non immediatamente visionabile da parte dell’interessato.

  • Violazione del principio di chiarezza causata dall’utilizzo nelle informative di formule eccessivamente generiche o di contenuti incompleti.

  • Violazione della definizione del corretto periodo di conservazione. Carrefour France conservava i dati personali dei clienti membri del programma di fidelizzazione dei clienti per un periodo di 4 anni dall’ultima attività in uno dei punti vendita Carrefour. Tale periodo risulta per la CNIL eccessivo. Inoltre, l’istruttoria della CNIL ha evidenziato l’incapacità di Carrefour France di rispettare il periodo di conservazione prestabilito, rilevando la presenza di dati personali dei membri del programma fedeltà anche dopo dieci anni dall’ultima attività del cliente.

  • Violazione del principio di minimizzazione. la società poneva in essere sistematiche violazioni richiedendo continuamente agli interessati di fornire documenti di identità

  • Violazioni nella gestione dei cookie, sia Carrefour Banque sia Carrefour France si sono avvalsi sistematicamente di alcune categorie di Cookies analitici cui utilizzo è consentito solo previo ottenimento del consenso da parte dell’interessato.

  • Mancata adozione di efficaci misure di sicurezza, le fatture dei clienti erano accessibili tramite URL non protetto da meccanismi di autenticazione preventiva, permettendo dunque a chiunque di accedere ai dati contenuti.

  • Mancata notifica di ripetuti data breach. La CNIL ha accertato 800.000 tentativi di connessione da 10.000 indirizzi IP che avrebbe causato 4.000 autenticazioni e 275 accessi effettivi agli account dei clienti. 

  • Violazione del principio di correttezza del trattamento. Carrefour Banque, all’interno delle informative privacy fornite ai clienti, ha dichiarato di non trasmettere a soggetti terzi informazioni differenti da cognome, nome e indirizzo e-mail. La CNIL ha invece constatato la trasmissione di informazioni quali l’indirizzo postale, il numero telefonico e il numero dei componenti del nucleo familiare dei clienti.
 
Data: 26 novembre 2020
Approfondisci qui


DOMANDE E RISPOSTE

Il datore di lavoro può trattare i dati “sensibili” dei dipendenti?
La gestione del rapporto di lavoro da parte del datore di lavoro determina un trattamento di dati personali. L’azienda, infatti, per gestire il dipendente e dare esecuzione al contratto di lavoro deve necessariamente trattare i dati personali del lavoratore (nome, cognome, codice fiscale, data di nascita; indirizzo di residenza; dati retributivi; dati relativi alle performance lavorative; Iban).
Il datore di lavoro può trattare lecitamente questi dati in quanto il GDPR prevede che una delle basi giuridiche su cui può fondarsi il trattamento dei dati personali è l’esecuzione di un contratto di cui l’interessato è parte [Art. 6 del GDPR].
Nell’ambito del rapporto di lavoro, tuttavia, possono essere oggetto di trattamento anche i dati particolari dei dipendenti, tra cui:

  • dati relativi allo stato di salute;

  • dati relativi all’eventuale condizione di disabilità;

  • dati giudiziari;

  • affiliazione sindacale del dipendente. 

Il GDPR prevede espressamente la possibilità per il Datore di Lavoro di trattare i dati particolari dei dipendenti se il trattamento è necessario per assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato [Art. 9 del GDPR].
 
Ma cos’è un dato particolare?
Sono dati personali con un profilo di riservatezza particolarmente forte e sono soggetti ad una disciplina maggiormente stringente. Sono tra gli altri, quelli che rivelano:

  • l’origine razziale o etnica;
  • le opinioni politiche;
  • le convinzioni religiose o filosofiche;
  • l’appartenenza sindacale;
  • i dati genetici;
  • i dati biometrici intesi a identificare in modo univoco una persona fisica;
  • i dati relativi alla salute o alla vita sessuale;
  • l’orientamento sessuale della persona.

Serve il consenso del candidato per trattare i dati del suo Curriculum?
Il candidato non deve fornire un consenso ma deve avere accesso all’Informativa. Il trattamento dei dati da parte del Titolare è lecito ma i dati personali non sono tutti uguali. Vi sono, infatti, delle informazioni che afferiscono ad una sfera particolarmente riservata della persona e che, come tali, necessitano di particolari cautele nel caso di loro trattamento: Sono dati particolari, ad esempio:

  • affiliazione sindacale;
  • opinione politica;
  • orientamento sessuale;
  • fede religiosa;
  • stato di salute;
  • eventuale condizione di disabilità del candidato. 

In linea generale, chi invia un curriculum vitae non deve inserire all’interno del documento dei dati particolari, a meno che ciò non sia strettamente necessario per il perseguimento della finalità di candidatura alla posizione aperta (ad esempio una posizione riservata ai soggetti che appartengono alle categorie protette).

 

Certificazioni di qualità

  • Sistemi
  • Microsoft
Vecomp Spa Società Benefit
Verona, Via Dominutti 2
Bolzano, Via Lancia 6/A
Trento, Viale del Commercio 21

Sostenibilità e Rating di Legalità

  • Family Audit
  • Rating di Legalità
Certificazione Parità di Genere
Rating di Legalità ★★★
Scopri la sostenibilità secondo Vecomp
Bilancio di Sostenibilita 2023
 

Via A. Dominutti 2 - 37135 Verona

Tel: 045 8378311

P.Iva: 01336920234

Privacy
Modello organizzativo
Documentazione
Whistleblowing
Creato da Vecomp con SelfComposer CMS