OSSERVATORIO VECOMP
 

Green Pass e GDPR: le regole da rispettare 
Dal 15 ottobre è stato imposto l’obbligo di Green Pass in tutti gli ambienti di lavoro. I Titolari del trattamento che sono tenuti a verificarne il possesso e la validità devono rispettare le prescrizioni in materia di privacy. La verifica del Green Pass comporta, infatti, un trattamento di dati personali.

Come noto il Green Pass contiene informazioni particolari relative al suo intestatario, da ciò è necessario adottare misure di sicurezza idonee a garantire la tutela della riservatezza dell’interessato. Il DPCM 17 giugno 2021 definisce quelle che sono le modalità di verifica delle Certificazioni Verdi Covid-19 (art. 13) che bisogna rispettare:

• il controllo del QR Code avviene tramite l’APP Verifica C-19 che consente di verificarne l’autenticità, la validità e l’integrità
• i soggetti deputati alla verifica del QRCode devono essere incaricati con atto formale recante le necessarie istruzioni sull’esercizio delle attività di verifica
• con Circolare del Ministero dell’Interno del 10 agosto 2021, si precisa che la verifica dell’identità dell’interessato - mediante l’esibizione del documento d’identità - non è un obbligo indefettibile, ma risulterà necessaria solo nei casi di abuso o elusione della norma come nei casi in cui appaia manifesta l’incongruenza con i dati anagrafici contenuti nella certificazione.
• le operazioni di trattamento legate alla verifica del Green pass dovranno, poi, essere contenute nel Registro dei trattamenti (art. 30 del GDPR).
• non va conservata la documentazione Green pass né i dati degli utenti.

Data: 24 settembre 2021
Fonte: FAQ del Garante

Consiglio di Stato: la richiesta del Green pass non viola la privacy
La richiesta del Certificato Verde non comporta la violazione della riservatezza dei dati sanitari. Il sistema di verifica non rende noto ai terzi il motivo per cui il documento è stato emesso (vaccino o attestato di negatività al virus)
 
Lo ha stabilito la III Sezione del Consiglio di Stato in sede cautelare, con l'Ordinanza 17 settembre 2021, n. 5130, rigettando l’appello contro il provvedimento cautelare già emesso dal Tar. Sono assenti i rischi per la riservatezza sanitaria; infatti, tenendo in considerazione l’opzione, per il singolo cittadino, di non immunizzarsi, trova prevalenza l’interesse pubblico. Gli appellanti avevano impugnato il Dpcm del 17 giugno 2021 (attuativo del Dl 52/2021) che regola la certificazione verde COVID-19, chiedendone la sospensione e lamentando la lesione della riservatezza sanitaria, il rischio di discriminazioni, nonché il pregiudizio economico per i frequenti tamponi.
 
Il Consiglio di Stato ha confermato la pronuncia di primo grado "atteso che, da un lato, il prospettato rischio di compromissione della sicurezza nel trattamento dei dati sensibili appare rivestire carattere meramente potenziale"; dall'altro, non vi è alcuna lesione del diritto alla riservatezza sanitaria "dal momento che l'attuale sistema non sembra rendere conoscibili ai terzi il concreto presupposto dell'ottenuta certificazione (vaccinazione o attestazione della negatività al virus)".
Inoltre, si legge nella decisione, "il depotenziamento degli strumenti destinati ad operare in modo coordinato … con la campagna vaccinale in corso ... determinerebbe un vuoto regolativo foriero, nell'attuale fase non del tutto superata di emergenza pandemica, di conseguenze non prevedibili sul piano della salvaguardia della salute dei cittadini, la grande maggioranza dei quali, peraltro, ha aderito alla proposta vaccinale e ha comunque ottenuto la certificazione verde".
 
Data: 17 settembre 2021
Ordinanza del Consiglio di Stato n.5130 del 17 settembre 2021


HISTORIES

Multa privacy alla Bocconi per 200 mila euro
L'Università è stata multata dal Garante per l'utilizzo, poco trasparente e non corretto, di un sistema di "controllo" per gli esami a distanza durante i mesi più duri dell'emergenza coronavirus, quando gli Atenei erano stati chiusi e gli studenti erano stati costretti a partecipare agli appelli da casa.

Nel mirino del Garante è finito l'impiego di due software della società americana "Respondus Inc", due strumenti di "proctoring" necessari, secondo l'Università, per aiutare i docenti nella supervisione delle verifiche scritte e utilizzati da un altro migliaio di atenei. Il primo, "Lockdown browser", è stato utilizzato sostanzialmente per bloccare tutte le altre attività sui computer di ragazze e ragazzi, evitando così possibili scorciatoie. Il secondo, "Respondus monitor", è stato usato invece come una sorta di videocamera sempre attiva per tenere d'occhio gli studenti e segnalare, con dei "flag", eventuali comportamenti anomali come lo sguardo non rivolto verso il computer, l'assenza dal monitor o la "non corrispondenza" tra la foto scattata all'inizio del test - con documento in mano - e quello che la webcam registra. 
Nella sentenza del Garante viene sottolineato che "tali sistemi non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità". Ma soprattutto sono rimarcate tutte le mancanze dell'informativa che gli studenti hanno dovuto accettare dal sito della Bocconi prima di poter sostenere gli esami con i due software di "Respondus Inc". Secondo l'autorità, "il trattamento posto in essere dall'ateneo non può ritenersi conforme al principio di liceità, trasparenza e correttezza non essendo stati forniti tutti gli elementi informativi".
Da qui la decisione di sanzionare l'università milanese con 200mila euro di multa e di ordinare lo stop all'utilizzo dei 2 software. 


Data: 16 settembre 2021
Fonte: Ordinanza di ingiunzione


Perché gli occhiali di Facebook preoccupano?
Il prodotto fa discutere per questioni di privacy. I dubbi sono legati alle foto e alle riprese video che non vengono adeguatamente segnalate mentre sono in corso.

I nuovi smart glasses in questione si chiamano Ray-Ban Stories e permettono di scattare foto e registrare video semplicemente con un comando vocale, riducendo così il rischio di immagini mosse o poco nitide. Anche senza pulsante quindi, che rimarrà comunque presente e funzionante. Il sistema pensato per segnalare che è in corso una ripresa non sembra efficace: è un semplice led bianco che si attiva agendo su un pulsante montato sulla bacchetta destra degli occhiali.
Il Garante - prima della loro commercializzazione sul mercato italiano - aveva richiesto all’Autorità Garante irlandese (DPC - Data Protection Commission) di sollecitare Facebook affinché rispondesse ad una serie di quesiti. L’Autorità ha chiesto, in particolare, di conoscere la base giuridica in relazione alla quale Facebook tratta i dati personali; le misure messe in atto per tutelare le persone occasionalmente riprese, in particolare i minori; gli eventuali sistemi adottati per anonimizzare i dati raccolti; le caratteristiche dell’assistente vocale collegato agli occhiali. Con un Comunicato stampa del 17 settembre il Garante riferisce che si sono svolti due incontri con i rappresentanti rispettivamente di Facebook e Luxottica.
Le società si sarebbero dichiarate disponibili a lavorare, anche in raccordo con l’Autorità, per avviare iniziative di informazione e sensibilizzazione con l’obiettivo di responsabilizzare sia coloro che acquisteranno gli occhiali sia tutti i cittadini. L’Autorità si riserva di valutare l’efficacia delle proposte operative che saranno presentate. Facebook ha inoltre informato di avere già inviato al DPC le risposte alle questioni sollevate dal Garante.
 

Data: 14 agosto 2021

Garante Italiano: Richiesta informazioni a Facebook
DPC irlandese: Comunicato stampa
 

WhatsApp nel mirino privacy, ma cosa è successo?
Una multa di 225 mila euro per informazioni poco trasparenti riguardo alla condivisione dei dati con altre società di Facebook.

La Data Protection Commission (DPC) irlandese ha annunciato la conclusione di un'indagine condotta su WhatsApp. L'indagine era iniziata nel dicembre 2018 e ha esaminato gli obblighi di trasparenza nelle informazioni fornite sia agli utenti che per i non utenti del servizio WhatsApp. Includendo approfondimenti sul trattamento dei dati personali e la loro cessione ad altre società di Facebook. Il pronunciamento della DPC è arrivato dopo molte critiche rispetto alla sua inazione nei confronti dei giganti tecnologici. Così il Comitato europeo per la protezione dei dati (EDPB) ha contribuito nel 28 luglio 2021 a fare chiarezza sulla questione adottando una decisione vincolante notificata al DPC irlandese per la sua esecuzione. La decisione conteneva un'istruzione chiara che richiedeva al DPC di rivalutare e aumentare la sua proposta di sanzione e sottoporre ad ulteriore riesame WhatsApp. In seguito a tale analisi è stata comminata una sanzione di 225 milioni di euro. Oltre all'irrogazione di una sanzione amministrativa, il DPC ha anche imposto un'ammonizione e un'ingiunzione a WhatsApp di rendere conforme il proprio trattamento adottando una serie di azioni correttive specificate.
L'EDPB ha pubblicato la sua decisione ai sensi dell'articolo 65 del GDPR.
 
Data: 2 settembre 2021
DPC irlandese: Ingiunzione a Whatsapp
 

DOMANDE E RISPOSTE

Chi deve effettuare il controllo del Green Pass nei luoghi di lavoro?
Saranno i datori di lavoro a dover procedere ai controlli, o i dipendenti a cui è stato assegnato questo compito con incarico formale recante le necessarie istruzioni sull’esercizio delle attività di verifica. Gli incaricati dovranno verificare il possesso della certificazione da parte anche del titolare dell’azienda.
 
Il datore di lavoro può controllare il PC dei dipendenti?
Può farlo, ma a determinate condizioni ed entro i limiti prefissati dalla legge sulla tutela dei lavoratori e sulla privacy. Recentemente la Corte di Cassazione si è soffermata sui requisiti di legittimità del controllo difensivo ex post ad opera del datore (sentenza n. 25732 del 22 settembre 2021) affermando il seguente principio di diritto: “Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto. Non ricorrendo le condizioni suddette la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua dell’art. 4 l. n. 300/1970, in particolare dei suoi commi 2 e 3”.

 
Si possono usare le telecamere per controllare i dipendenti?
Non è permesso l’uso di telecamere per controllare l’attività dei lavoratori, ma la videosorveglianza nei luoghi di lavoro è consentita solo “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, purché avvenga sempre nel rispetto delle altre garanzie previste dalla normativa di settore in materia di installazione di impianti audiovisivi e altri strumenti di controllo (art. 4 dello Statuto dei lavoratori, Legge 300/1970). Le immagini oggetto di riprese attraverso i sistemi di videosorveglianza rappresentano un trattamento dei dati personali, secondo la definizione dell’articolo 4 del GDPR.
 
È possibile pubblicare su Internet il nome dei propri clienti?
Le regole sulla privacy e quelle sulla deontologia di alcune professioni (come quella degli avvocati) vietano di comunicare a terzi, tramite social o il proprio sito, il nome o la ragione sociale dei propri clienti. L’unico modo per fornire una comunicazione di questo tipo è acquisire il consenso preventivo del cliente stesso. Il consenso, che può essere rilasciato anche in forma verbale, deve comunque essere dimostrabile in caso di successiva contestazione. Ecco perché è sempre bene far sottoscrivere una dichiarazione, in modo che possa essere opposta in qualsiasi momento.
Cosa deve fare un’azienda che subisce un attacco informatico?
La prima cosa da fare è procedere allo studio della situazione e risolvere eventuali criticità o disservizi. Si possono anche effettuare delle verifiche per accertarsi che l’attacco informatico non sia stato dovuto al comportamento di un dipendente che abbia navigato su siti poco sicuri. Secondariamente vanno seguite le fasi di valutazione descritte nella Procedura del Garante per accertarsi se è l’attacco possa aver causato anche una violazione di dati personali.

Polizia e Carabinieri possono usare body cam?
Il Garante della privacy ha dato il via libera al ministero dell’Interno e all’Arma dei carabinieri per l’impiego di questa tecnologia da parte degli agenti in caso di manifestazioni o eventi definiti “critici”. L’autorizzazione però, esclude categoricamente l’utilizzo di sistemi di riconoscimento facciale o altri sistemi di identificazione, considerati rischiosi per la tutela della libertà delle persone.

La diffusione di screenshot è lesione della privacy?
Quando si condivide la corrispondenza privata con altre persone non coinvolte nella discussione bisogna fare molta attenzione: c’è il rischio, da un lato, di violare la riservatezza altrui e, dall’altro lato, di lederne la reputazione. E ciò vale anche per le forme di corrispondenza telematica come le e-mail o gli screenshot.
In altri termini, la diffusione di screenshot può integrare la diffamazione o una lesione della privacy.
Bisogna ricordare che il numero di cellulare e il nome del mittente sono dati personali che non possono essere diffusi senza il consenso dell’interessato. Questo significa che, prima di condividere uno screenshot con terzi, si deve avere cura di oscurare i nomi e tutte le informazioni dalle quali è possibile risalire all’identità dei conversanti. Diversamente, si commette una violazione dell’altrui privacy. Se per esempio lo  screenshot della chat viene diffuso su un social network, l’interessato che sia identificabile può chiedere l’immediata rimozione del post.