Maggio 2020
Maggio 2020
Newsletter 5/2020
Fase 2 e GDPR: adempimenti da compiere per il datore di lavoro
Come affrontare al meglio la ripartenza anche sotto il profilo del trattamento dei dati personali.
Osservatorio Vecomp
Covid-19: l’azienda può imporre il test sierologico al lavoratore?
No, il datore di lavoro può offrire ai dipendenti l’opportunità di effettuare i test sierologici, ma non può imporli.
L’accertamento sanitario deve essere una scelta del dipendente oppure deve essere il medico a chiederlo. L’indicazione arriva dal Garante sotto forma di FAQ.
Data: 14/05/20
Clicca qui per approfondire
No, il datore di lavoro può offrire ai dipendenti l’opportunità di effettuare i test sierologici, ma non può imporli.
L’accertamento sanitario deve essere una scelta del dipendente oppure deve essere il medico a chiederlo. L’indicazione arriva dal Garante sotto forma di FAQ.
Data: 14/05/20
Clicca qui per approfondire
Fase 2 e GDPR: adempimenti da compiere per il datore di lavoro
Come affrontare al meglio la ripartenza anche sotto il profilo del trattamento dei dati personali.
- Informazione. Tra gli obblighi che l’azienda/studio dovrà osservare vi è quello di fornire le dovute informazioni a lavoratori e/o terzi sulle disposizioni anti-contagio adottate, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili (ingresso, aree comuni, vie di transito ecc.) le misure che vengono applicate e gli eventuali nuovi trattamenti di dati personali effettuati (regolamentazione degli accessi, controllo temperatura all’accesso, etc.).
- Autorizzazione all’ingresso con negativizzazione. L’ingresso dei lavoratori risultati positivi al Covid-19 dovrà essere autorizzato previa certificazione medica da inviare al Datore di Lavoro da cui risulti la “negativizzazione”, secondo le modalità previste dal dipartimento ASL di prevenzione territoriale di competenza. Questa gestione prevede il trattamento di dati di natura particolare.
- Gestione lavoratori “fragili”. Al Medico Competente spetta segnalare al Datore di lavoro i casi di lavoratori in situazioni di particolare fragilità (c.d. lavoratori fragili), informazioni queste che richiedono nuovi accorgimenti per il loro trattamento.
- Misurazione della temperatura corporea all’ingresso. Se effettuata, va contemplato un nuovo trattamento identificando i soggetti autorizzati, la finalità (contenimento del contagio), la base giuridica (DPCM 26 aprile) e la durata del trattamento (fine emergenza). Il dato relativo alla temperatura non va registrato quando inferiore 37.5°. In caso di febbre invece la gestione è consentita ai fini della tutela della salute pubblica.
- Riservatezza. I dati sullo stato di salute non devono essere diffusi o comunicati a terzi al di fuori di specifiche previsioni normative e in caso di richiesta da parte dell’autorità sanitaria. In caso di isolamento momentaneo del lavoratore dovuto al superamento della soglia di temperatura, di altri sintomi riconducibili al Covid-19 o nel caso in cui il lavoratore comunichi al Datore di lavoro di aver avuto, al di fuori del contesto dell’organizzazione, contatti con soggetti risultati positivi al Covid-19 negli ultimi 14 giorni, dovranno essere assicurate la riservatezza della comunicazione e la dignità del lavoratore. Tali garanzie dovranno essere assicurate anche in caso di allontanamento del lavoratore dal luogo di lavoro.
Data: 22-05-2020
Conservazione documenti digitali: il Garante chiede maggiori tutele
Il parere sulle linee guida AgID.
Il Garante richiede all’Agenzia per l’Italia Digitale (AgID) di rivedere le “Linee guida” proposte per la conservazione dei documenti digitali. Andranno stabilite regole più precise soprattutto nel caso in cui il fornitore cessasse di erogare il servizio. Infatti, la norma impone al conservatore (che in questo caso riveste il ruolo di Responsabile del trattamento):
Il parere sulle linee guida AgID.
Il Garante richiede all’Agenzia per l’Italia Digitale (AgID) di rivedere le “Linee guida” proposte per la conservazione dei documenti digitali. Andranno stabilite regole più precise soprattutto nel caso in cui il fornitore cessasse di erogare il servizio. Infatti, la norma impone al conservatore (che in questo caso riveste il ruolo di Responsabile del trattamento):
- di adempiere a precisi obblighi in materia di restituzione dei dati al produttore (Titolare del trattamento);
- di ampliare l’“analisi dei rischi”, tenendo conto di quelli connessi al trattamento dei dati personali valutando, tra l’altro, la presenza di dati personali di categorie particolari, come quelli relativi alla salute, alle condanne penali o a reati.
- di adottare adeguate misure di sicurezza per il “trasferimento degli archivi di conservazione”, così da garantire riservatezza, integrità e disponibilità dei dati contenuti nei documenti.
- di indicare per quanto tempo sarà garantita l’accessibilità dei documenti, e definire modalità sicure per la “cancellazione degli archivi di conservazione”.
Pillole d'uso
Come semplificare il GDPR
Scomporre il percorso di adeguamento in singole parti può servire. Ecco come fare.
La struttura del Modulo privacy Sistemi aiuta a semplificare il percorso di adeguamento al GDPR. La raccolta e la gestione dei dati avvengono in modo facile e graduale. Queste le sezioni da affrontare:
Scomporre il percorso di adeguamento in singole parti può servire. Ecco come fare.
La struttura del Modulo privacy Sistemi aiuta a semplificare il percorso di adeguamento al GDPR. La raccolta e la gestione dei dati avvengono in modo facile e graduale. Queste le sezioni da affrontare:
- Ditta e soggetti attivi: configurare innanzitutto la ditta e/o le ditte (ogni ditta deve essere configurata singolarmente) e poi i soggetti attivi, cioè quelle entità che “gravitano” attorno e all’interno della Organizzazione: Amministratori di sistema (siano essi esterni e/o interni), DPO (se richiesto), Responsabili del trattamento, Incaricati al trattamento, etc. Per avere un elenco dei soggetti attivi da gestire bisogna lavorare in collaborazione con tutti i reparti aziendali: amministrazione, ufficio personale, marketing, sistema informativo, ufficio acquisti, reparto commerciale, etc.
- Trattamenti effettivi: la raccolta dei trattamenti effettivi dell’organizzazione viene facilitata dal Software perché il modulo propone, per ogni singolo ambito lavorativo, un elenco “standard” di trattamenti. Anche in questo caso la collaborazione dell’ufficio amministrazione, come degli altri reparti della ditta, può aiutare a identificare e aggiungere i trattamenti non presenti in questa lista.
- Gestione degli asset: per “asset” si intendono tutti quei dispositivi che, all’interno della organizzazione, trattano dati (Server, PC, Smartphone, Tablet, etc.). Vanno compresi anche i dispositivi esterni (esempio: backup in Cloud, l’hub della fatturazione elettronica, il servizio di conservazione digitale, etc.). Anche in questo caso, è utile confermare con i colleghi che gestiscono il sistema informativo aziendale i dati necessari a “fotografare” come si compone la gestione degli asset della vostra organizzazione.
- Documenti privacy. La documentazione prodotta dal Software segue una procedura sequenziale ed automatica. I dati precedentemente inseriti vengono utilizzati per personalizzare i modelli disponibili. È necessario non modificare i “modelli”, creare un proprio Standard (con il logo aziendale, ad esempio) e verificare con puntualità il contenuto del documento prodotto. Questa verifica è molto utile perché permette di rilevare mancanze, incongruenze e ridondanze che vanno modificate intervenendo sui dati di origine (esempio nei trattamenti effettivi, negli incaricati, negli asset, etc.).
Domande e Risposte
Il manutentore del fotocopiatore è un Responsabile del Trattamento?
Sì, se il dispositivo è dotato di una memoria dati. Generalmente però i fotocopiatori non effettuano trattamenti dati. Solo alcuni dispositivi di ultima generazione sono dotati di disco fisso interno che può memorizzare le pagine fotocopiate e/o scansionate. In questo caso il manutentore ha potenzialmente accesso a queste informazioni durante gli interventi. Se tale opzione è presente sul dispositivo, il fornitore va nominato Responsabile del trattamento e va creato uno specifico trattamento da riportare nel Registro dei trattamenti. In caso il dispositivo sia a noleggio, al momento della restituzione e/o dismissione, si raccomanda di richiedere e verificare la cancellazione delle informazioni memorizzate sul suo disco fisso interno.
La perdita e/o il furto del PC, è un Data Breach?
Sì, nella maggior parte dei casi. Spesso il dispositivo conserva in memoria dati personali aziendali e non è adeguatamente protetto. Se però il dispositivo fosse protetto da password complessa ed il suo disco fisso fosse cifrato, può non essere necessario effettuare la notifica di violazione dei dati personali. Questa valutazione però deve essere effettuata dopo un’attenta analisi del potenziale impatto per gli interessati. È infatti necessario poter affermare con sufficiente certezza che la riservatezza delle informazioni non è stata messa a rischio. Se così non fosse, sarà necessario procedere alla notifica di un data breach. Se non è avvenuta una violazione dei dati personali, l’Organizzazione deve poter dimostrare che i dati aziendali sul dispositivo non sono possono essere compromessi, che gli archivi sono inviolati e mantenuti su portali aziendali, che non si effettuano estrazioni di file contenenti dati personali sull’hard disk dei singoli dispositivi e che è possibile ricorrere ad un controllo da remoto per il blocco dell’accesso al dispositivo rubato o perduto.
Sì, se il dispositivo è dotato di una memoria dati. Generalmente però i fotocopiatori non effettuano trattamenti dati. Solo alcuni dispositivi di ultima generazione sono dotati di disco fisso interno che può memorizzare le pagine fotocopiate e/o scansionate. In questo caso il manutentore ha potenzialmente accesso a queste informazioni durante gli interventi. Se tale opzione è presente sul dispositivo, il fornitore va nominato Responsabile del trattamento e va creato uno specifico trattamento da riportare nel Registro dei trattamenti. In caso il dispositivo sia a noleggio, al momento della restituzione e/o dismissione, si raccomanda di richiedere e verificare la cancellazione delle informazioni memorizzate sul suo disco fisso interno.
La perdita e/o il furto del PC, è un Data Breach?
Sì, nella maggior parte dei casi. Spesso il dispositivo conserva in memoria dati personali aziendali e non è adeguatamente protetto. Se però il dispositivo fosse protetto da password complessa ed il suo disco fisso fosse cifrato, può non essere necessario effettuare la notifica di violazione dei dati personali. Questa valutazione però deve essere effettuata dopo un’attenta analisi del potenziale impatto per gli interessati. È infatti necessario poter affermare con sufficiente certezza che la riservatezza delle informazioni non è stata messa a rischio. Se così non fosse, sarà necessario procedere alla notifica di un data breach. Se non è avvenuta una violazione dei dati personali, l’Organizzazione deve poter dimostrare che i dati aziendali sul dispositivo non sono possono essere compromessi, che gli archivi sono inviolati e mantenuti su portali aziendali, che non si effettuano estrazioni di file contenenti dati personali sull’hard disk dei singoli dispositivi e che è possibile ricorrere ad un controllo da remoto per il blocco dell’accesso al dispositivo rubato o perduto.
Certificazioni di qualità
Vecomp Spa Società Benefit
Verona, Via Dominutti 2
Trento, Viale del Commercio 21
Bolzano, Via Lancia 6/A
Verona, Via Dominutti 2
Trento, Viale del Commercio 21
Bolzano, Via Lancia 6/A
Sostenibilità e Rating di Legalità
Via A. Dominutti 2 - 37135 Verona
Tel: 045 8378311
P.Iva: 01336920234