Il Garante per la protezione dei dati personali è intervenuto nei confronti di un ente pubblico regionale, in seguito a un reclamo presentato da una dipendente e a una segnalazione del Dipartimento della Funzione Pubblica. Entrambe le segnalazioni riguardavano l’uso, da parte dell’ente, di sistemi di geolocalizzazione per controllare i lavoratori in smart working tramite l’applicazione “Time Relax”.

In particolare, l’ente richiedeva ai dipendenti in lavoro agile di effettuare timbrature in entrata e uscita tramite dispositivi elettronici, abilitando la localizzazione, per verificare la compatibilità della posizione effettiva con quanto previsto negli accordi individuali. In almeno un caso, tali informazioni sono state utilizzate per avviare un procedimento disciplinare nei confronti della persona interessata.

Ecco i dettagli sulla decisione del Garante in  merito.

Smart working e geolocalizzazione: le violazioni evidenziate dal Garante

Il Garante ha riscontrato nell'attività del ente  numerose violazioni della normativa in materia di protezione dei dati personali, in particolare del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (D.lgs. 196/2003). Le principali criticità sono:

• Illiceità del trattamento dei dati

Il monitoraggio della posizione geografica dei lavoratori risultava finalizzato a verificare il rispetto delle condizioni dell’accordo di lavoro agile, rappresentando un controllo diretto dell’attività lavorativa. Tale finalità non è ammessa dalla legge e contrasta con i principi di proporzionalità e rispetto della libertà morale del lavoratore.

• Assenza di base giuridica idonea

L’ente ha giustificato il trattamento facendo riferimento a una propria delibera e a un accordo con i sindacati. Tuttavia, secondo il Garante, questi atti non bastano a legittimare il trattamento. Inoltre, il consenso del lavoratore, richiesto dall’app per attivare la localizzazione, non è considerato valido in ambito lavorativo a causa dello squilibrio tra le parti.

• Violazione dei principi di minimizzazione e finalità

La raccolta sistematica di coordinate GPS eccedeva quanto strettamente necessario per la gestione del rapporto di lavoro, comportando un’intrusione nella sfera privata non giustificata.

• Informativa carente

I documenti aziendali non contenevano tutte le informazioni previste dall’art. 13 del GDPR. I lavoratori non erano adeguatamente informati su come e perché venivano trattati i loro dati di geolocalizzazione.

• Assenza di valutazione d’impatto

L’ente non aveva effettuato la valutazione preventiva dei rischi sui diritti e le libertà delle persone interessate, nonostante il trattamento implicasse un elevato grado di rischio.

• Uso improprio a fini disciplinari

I dati geolocalizzati sono stati utilizzati per avviare un procedimento disciplinare, anche se successivamente sospeso. Secondo il Garante, questo utilizzo era illecito, essendo basato su dati raccolti per altre finalità e comunque senza una base giuridica adeguata.

La decisione e i limiti alla sorveglianza sul lavoro agile

l Garante ha  quindi dichiarato illecito il trattamento e ha comminato una sanzione amministrativa pecuniaria di 50.000 euro. Ha inoltre disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale per ragioni di trasparenza e funzione deterrente, data la gravità della condotta e il numero significativo di lavoratori coinvolti.

L’ente, da parte sua, ha dichiarato di aver interrotto il trattamento contestato e disattivato la funzione di geolocalizzazione dell’applicazione, adottando misure correttive in autotutela.

Il provvedimento ribadisce il  principio cardine  generale per cui il controllo dell’attività lavorativa deve avvenire nel rispetto dei diritti fondamentali dei lavoratori, senza trasformarsi in sorveglianza invasiva.

Il datore di lavoro può ricorrere a strumenti tecnologici solo se strettamente necessari per finalità organizzative, produttive, di sicurezza o tutela del patrimonio, e comunque solo in forma indiretta e limitata. Ogni trattamento di dati personali deve poggiare su basi giuridiche solide, essere proporzionato e preceduto da un’attenta valutazione dei rischi.

Va anche sottolineato  il principio  dell’inadeguatezza del consenso del lavoratore come fondamento giuridico nei rapporti di lavoro, riaffermando l’esigenza di tutele rafforzate nei contesti contrattuali asimmetrici come quello tra dipendente e datore pubblico o privato.

Dal 30 maggio 2025 Meta, la società proprietaria di Facebook, Instagram e WhatsApp, inizierà a utilizzare i dati personali degli utenti per addestrare i propri sistemi di intelligenza artificiale (IA). È quanto annunciava  il Garante per la protezione dei dati personali in un comunicato di marzo 2025 invitando  tutti a informarsi e, se lo desiderano, a esercitare il diritto di opposizione entro la fine del mese.

L’utilizzo dei dati per l’IA non riguarda solo chi ha un account sui social Meta, ma potenzialmente anche chi non è iscritto, se i propri dati sono stati condivisi da altri utenti. Per questo è importante agire subito, compilando gli appositi moduli messi a disposizione online sulle piattaforme social.

Il termine si avvicina: vediamo piu in dettaglio di cosa si tratta.

Cosa farà Meta con i nostri dati

Meta ha annunciato che userà i contenuti pubblici pubblicati dagli utenti maggiorenni – come post, commenti, foto, didascalie – e anche le informazioni inserite nelle chat con i servizi di IA (ad esempio su WhatsApp), per migliorare i suoi sistemi di intelligenza artificiale. In particolare, questi dati alimenteranno strumenti come il chatbot Meta AI o i modelli linguistici come Llama.

Questo trattamento sarà basato sul “legittimo interesse” di Meta. Tuttavia, il Garante ha sottolineato che il Regolamento europeo (GDPR) riconosce agli utenti il diritto di opporsi a questo uso dei propri dati.

Il Garante ricorda anche che il diritto di opposizione non riguarda solo Meta. Anche altri sistemi di intelligenza artificiale – come quelli sviluppati da OpenAI (ChatGPT), DeepSeek o Google – possono essere soggetti alla stessa regola. È sempre possibile chiedere che i propri dati non vengano utilizzati per addestrare algoritmi.

Opposizione per l’uso dei propri dati sui sociale: cosa fare

Chi non vuole che i propri contenuti vengano utilizzati da Meta per l’IA deve compilare un modulo online che le piattaforme sono obbligate a rendere disponibili, ai seguenti link:

• Per gli utenti Facebook: Modulo opposizione Facebook
• Per gli utenti Instagram: Modulo opposizione Instagram
• Per chi non ha un account ma teme che i propri dati siano presenti: Modulo non utenti

ATTENZIONE : chi esercita l’opposizione entro fine maggio potrà impedire che tutti i propri dati personali vengano usati. 

Chi invece si oppone dopo, riuscirà a bloccare solo l’uso dei dati pubblicati dopo la data dell’opposizione. I dati già raccolti fino a quel momento resteranno a disposizione di Meta per l’addestramento dei suoi sistemi.

Va inoltre  tenuto presente che anche i dati dei non utenti e dei minori sono a rischio: anche chi non è registrato a Facebook o Instagram potrebbe vedere i propri dati coinvolti, se ad esempio appaiono in foto o testi pubblicati da altri. In questo caso si può usare il modulo per i non utenti.

Privacy dei dati e intelligenza artificiale: cosa sta facendo il Garante

Nel frattempo, l’Autorità italiana per la privacy sta collaborando con le altre autorità europee per valutare la legittimità del comportamento di Meta. 

Si punta a capire se esistano le basi legali per un uso così esteso dei dati personali, e se il diritto di opposizione sia davvero garantito in modo semplice, effettivo e completo. In particolare, è stato richiesto a Meta di chiarire anche l’uso delle immagini di minorenni postate da adulti.

In sintesi: chi utilizza Facebook, Instagram o anche solo ha la propria immagine o informazioni online, dovrebbe valutare con attenzione se desidera che i propri dati alimentino i sistemi di intelligenza artificiale. Se la risposta è no, è fondamentale agire entro fine maggio 2025.

Ricordiamo che sul tema  già nel 2023  il Garante aveva  avviato una indagine conoscitiva  e l'anno scorso ha deliberato un provvedimento sui rischi e i possibili interventi per la tutela dei dati.

Lo alleghiamo  qui per maggiore informazione: Web scraping ed intelligenza artificiale generativa: nota informativa e possibili azioni di contrasto

La protezione della privacy dei lavoratori e dei cittadini rimane una priorità assoluta, e le violazioni sono da sanzionare duramente.

Lo evidenzia un nuovo  recente intervento del Garante per la protezione dei dati personali che ha comminato una sanzione da 17 mila euro per il rilascio di un certificato medico che riportava dettagli sul reparto sanitario responsabile della prestazione e per altre inadempienze.

Vediamo ulteriori dettagli nei prossimi paragrafi

Garante privacy no ai dati sulla salute nei certificati medici

Il caso riguardava una paziente  che aveva segnalato una violazione da parte di un’Azienda Sanitaria Territoriale, colpevole di aver rilasciato un certificato medico che indicava dettagli specifici sul reparto ospedaliero dove era stata erogata la prestazione sanitaria. 

Questi dettagli, come il timbro con la specializzazione del medico o il nome della struttura, costituiscono informazioni potenzialmente riconducibili allo stato di salute della persona, in violazione dei principi fondamentali di protezione dei dati personali. 

Il Garante ha sottolineato che i certificati medici destinati a giustificare un’assenza dal lavoro o l’impossibilità di partecipare a un concorso devono contenere esclusivamente le informazioni strettamente necessarie, senza alcun riferimento che possa rivelare la natura delle condizioni di salute. 

Questa violazione ha portato l’Azienda Sanitaria a ricevere una sanzione amministrativa di 17mila euro.

Certificati medici e Privacy by design: un obbligo, non un’opzione

Oltre alla violazione del principio di minimizzazione dei dati, il Garante ha accertato un mancato rispetto del principio di privacy by design.

Questo principio richiede che, fin dalla progettazione di processi e moduli, vengano adottate misure tecniche e organizzative per garantire la protezione dei dati personali. 

Nel caso specifico, l’Azienda non aveva predisposto adeguati accorgimenti per evitare la diffusione di informazioni sensibili nei certificati medici. 

Nonostante l’intervento del Garante abbia portato l’Azienda a modificare i moduli e a formare il personale sul trattamento dei dati, il ritardo nell’adozione di queste misure ha avuto conseguenze gravi: un numero potenzialmente elevato di pazienti è stato coinvolto per un lungo periodo.

 Inoltre, l’Azienda ha aggravato la situazione non rispondendo tempestivamente alle richieste di informazioni da parte dell’Autorità, incorrendo in ulteriori violazioni del Codice della Privacy. 

Questo caso rappresenta un monito per tutte le organizzazioni sanitarie e non , chiamate a garantire non solo la qualità dei servizi  ma anche il pieno rispetto dei diritti alla riservatezza dei cittadini, pena sanzioni rilevanti e danni alla propria reputazione.

Sanzionato con multa da 120mila euro il datore di lavoro che utilizzava un software di monitoraggio puntuale dell'attività dei dipendenti ( su tempi, modalità di lavorazione e  pause)  , senza adeguata informativa,  e uno strumento per l'accesso  al luogo di lavoro tramite riconoscimento facciale. 

Si tratta del provvedimento del Garante Privacy  338 2024 del 6 giugno 2024.

Vediamo il caso in maggiore dettaglio.

Utilizzo software di controllo e riconoscimento facciale: il caso

A seguito di un reclamo presentato da un dipendente contro il proprio datore di lavoro (una officina meccanica)  per un presunto illecito trattamento dei dati personali dei dipendenti,  l'Autorità Garante per la Protezione dei Dati Personali ha esaminato la documentazione e ha effettuato ispezioni per verificare la conformità della società alle normative vigenti in materia di protezione dei dati.

Il dipendente in particolare evidenziava che erano stati utilizzati  senza un adeguata informativa ai dipendenti :

1. il software "Infinity DMS" per la gestione delle prestazioni lavorative di ciascun lavoratore  e 
2. l'hardware  "X-Face 380" ,  un sistema di riconoscimento facciale,  per il controllo degli accessi sul luogo di lavoro. 

Le ispezioni effettuate presso la società hanno confermato l'uso di questi strumenti e hanno raccolto informazioni dettagliate sul loro funzionamento e finalità.

L'installazione del software considerata  integrata alle attrezzature di lavoro, che raccoglieva e trattava dati personali dei dipendenti senza fornire loro una adeguata informativa, era avvenuta senza accordo con la rappresentanza sindacale.

Sono state quindi accertate  violazioni  in tema di trattamento dei dati personali   sui principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679. 

Software di controllo e dati biometrici vietati: la decisione del Garante Privacy

Per quanto riguarda l'hardware che consente il riconoscimento facciale dei dipendenti, il Garante ha ribadito l'indirizzo  restrittivo già seguito in casi simili:  tali strumenti sono proibiti perché realizzano un trattamento illecito dei dati  biometrici  che appartengono alle categorie di dati  sensibili . 

L'utilizzo è generalmente vietato, salvo quando sia necessario per adempiere obblighi e esercitare diritti specifici in materia di diritto del lavoro e protezione sociale; questa ipotesi  non si verifica nel caso in questione, mentre è giustificata ad esempio per la  compilazione delle buste paga .

 Il Garante sottolinea che, nel contesto del rapporto di lavoro, il consenso espresso dai dipendenti non può essere considerato un valido presupposto di liceità del trattamento, data l'asimmetria tra le rispettive posizioni.

Anche l'utilizzo del software gestionale è stato duramente criticato dall'autorità in quanto il datore di lavoro aveva imposto ai dipendenti, tramite un codice a barre  individuale, la registrazione delle  diverse fasi dell'attività lavorativa, comprese le pause (con la specifica causale). 

L'Autorità ha sottolineato inoltre la mancanza di risposte da parte del datore di lavoro sulla natura e tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, che non ha permesso di valutare l'effettiva necessità e proporzionalità del software rispetto alle finalità da perseguire.

Ancora piu grave il fatto che  tali informazioni non fossero state comunicate nemmeno ai dipendenti,  considerando che nell'ambito del rapporto di lavoro l'obbligo di informare il dipendente è espressione del dovere di correttezza e trasparenza

Controllo dipendenti: le sanzioni previste dal Garante Privacy

Alla luce degli elementi sopra indicati e delle valutazioni effettuate,  è stata irrogata la sanzione amministrativa pari ad euro 120.000,00 (centoventimila).

Inoltre in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019,  è stata richiesta la pubblicazione in chiaro  del  provvedimento sul sito Internet del Garante.

Infine il Garante ha richiesto alla Società di comunicare le iniziative intraprese  per

• conformare il trattamento dei dati effettuato mediante il software gestionale Infinity DMS alle disposizioni e ai principi generali in materia di trattamento dei dati personali nei termini esposti in motivazione entro 90 giorni dalla data di notifica del provvedimento;
• cessare  il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale.

e di fornire comunque riscontro adeguatamente documentato  entro il termine di 90 giorni dalla data di notifica del provvedimento;

L’eventuale mancato riscontro può comportare l’applicazione della ulteriore sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

La Corte di Giustizia dell’Unione Europea, con Sentenza dell’11 aprile 2024, relativa alla causa C-741/21  in tema di  violazione dei  dati personali attraverso attività di  marketing diretto,  ha ritenuto responsabile il titolare aziendale del trattamento, precisando che non è rilevante che  il danno sia stato causato dall’errore del dipendente che ha violato le istruzioni ricevute.

La sentenza ha fornito inoltre chiarimenti sul diritto al risarcimento in caso di violazione del Regolamento (UE) 2016/679,  Regolamento Generale sulla Protezione dei Dati (GDPR).

Vediamo in maggiore dettaglio la vicenda e la sentenza della Corte.

Marketing diretto nonostante la revoca del consenso

Il caso specifico affrontato dalla Corte di Giustizia dell'Unione Europea (CGUE) riguardava un avvocato  tedesco che aveva revocato il proprio consenso alla ricezione di materiale pubblicitario da parte di una società che gestisce una banca dati giuridica. 

Nonostante la revoca del consenso, il ricorrente continuava a ricevere materiale pubblicitario, il che ha portato a una violazione del Regolamento Generale sulla Protezione dei Dati (GDPR).

Il ricorrente ha adito il Tribunale del Land di Saarbrücken ( Germania) per ottenere:

• il risarcimento del danno materiale, relativo alle spese sostenute per l'ufficiale giudiziario e il notaio,  e per 
•  il risarcimento per danno immateriale, affermando di aver subito una perdita di controllo sui propri dati personali.

 Ha sostenuto che tale perdita di controllo costituisse di per sé un danno immateriale, indipendentemente dalla gravità o dagli effetti ulteriori di tale perdita, sulla base del diritto garantito dall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e precisato dal GDPR.

La società imputata, per parte sua ha negato ogni responsabilità, sostenendo di aver istituito un adeguato sistema di gestione delle opposizioni al marketing diretto e attribuendo la mancata considerazione delle opposizioni del ricorrente, ipoteticamente  

• a un errore umano di un collaboratore oppure
• al fatto che sarebbe stato eccessivamente oneroso tenerne conto.

Inoltre, ha argomentato che la mera violazione di un obbligo del GDPR non costituisce automaticamente un "danno" ai sensi dell'articolo 82 del regolamento.

Il tribunale tedesco ha  quindi sollevato la questione presso la  CGUE  cercando chiarimenti sull'interpretazione di varie disposizioni del GDPR, specialmente riguardo :

• al diritto al risarcimento per danni immateriali senza la necessità di dimostrare la gravità del danno e 
• sulle condizioni di responsabilità del titolare del trattamento quando il danno è causato dall'errore di una persona sotto la sua autorità.

I chiarimenti della CGUE su risarcimento e responsabilità

 La decisione della Corte chiarisce i seguenti punti:

• Violazione e Danno Immateriale: La Corte ha stabilito che una violazione del GDPR non è di per sé sufficiente per stabilire un danno immateriale. Per avere diritto al risarcimento, l'interessato deve dimostrare di aver subito un danno immateriale reale causato dalla violazione. Non è necessario che il danno raggiunga una certa gravità, ma deve essere comunque dimostrato.
• Responsabilità del Titolare del Trattamento: In caso di violazione del GDPR causata dall'errore di un dipendente, il titolare del trattamento non può automaticamente esimersi dalla responsabilità. La Corte ha sottolineato che il titolare del trattamento deve dimostrare che l'evento dannoso non gli è in alcun modo imputabile. Non basta quindi soltanto indicare che il danno è stato causato dall'errore di un dipendente per liberarsi da ogni responsabilità.
• Calcolo del Risarcimento: I criteri previsti dall'articolo 83 del GDPR per la determinazione delle sanzioni amministrative pecuniarie non devono essere applicati nel calcolo del risarcimento per i danni ai sensi dell'articolo 82 del GDPR. Il risarcimento dovuto dovrebbe riflettere una compensazione per il danno effettivamente subito, non avendo una natura punitiva ma compensativa.

Si ribadisce  quindi la necessità che gli ordinamenti nazionali  rafforzino il diritto delle persone fisiche alla protezione dei loro dati personali, garantendo che possano ottenere un risarcimento effettivo in caso di violazione, e assicurando al contempo che i titolari del trattamento adottino misure adeguate per prevenire tali violazioni.

Nuovo intervento del Garante per la protezione dei dati personali  in tema di tutela della posta elettronica dei dipendenti  mette in stand by le raccomandazioni estremamente restrittive  del documento di indirizzo del 21 dicembre 2023, pubblicato il 6 febbraio 2024,  denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati che prescriveva severi limiti nella conservazione dei dati  ( max 7 giorni di conservazione dei metadati che consentono di archiviare con ordine i documenti elettronici) 

Scarica qui il testo del provvedimento del 6 febbraio .  

Le raccomandazioni del Garante, che come noto sono vincolanti ,  hanno prodotto molta preoccupazione tra gli addetti ai lavori  per l'applicabilità , ancora tutta da definire.

 Sul tema era intervenuta  pochi giorni dopo il ministro del lavoro Calderone assicurando che il Governo e l'ispettorato del lavoro erano al lavoro per mettere a punto  le indicazioni operative . 

Il nuovo provvedimento  annuncia una proroga di almeno 30 giorni  dell'entrata in vigore delle nuove regole e una consultazione pubblica per ridefinire in dettaglio i tempi e le modalità di applicazione.

 Vediamo con ordine nei paragrafi seguenti.

Privacy: nuovi limiti di conservazione dei dati della posta elettronica dei dipendenti

Le linee guida del  6 febbraio  2024 sono indirizzate ai  datori di lavoro pubblici e privati   per prevenire trattamenti di dati in contrasto con le norme sulla protezione della privacy ai fini di tutelare la libertà e la dignità dei lavoratori.

Il provvedimento analizza in particolare  l'utilizzo di programmi forniti  in modalità cloud  che spesso trattano  in modo generalizzato e sistematico i dati  senza possibilità di  disabilitare o modificare le modalità di archiviazione, con possibile violazione delle norme vigenti e indica nuovi limiti temporali per la conservazione dei dati ( vedi i dettagli sotto)

Il documento  è nato a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti ( si tratta ad esempio di  giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). 

In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Nel provvedimento  il Garante  chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione 

ATTENZIONE Il periodo considerato congruo  sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica  del  lavoratore è fissato a

• un massimo di 7 giorni, 
• estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.

Mail dipendenti: la tutela prevista per evitare violazioni della privacy

Per i casi in cui i  datori di lavoro  debbano per esigenze organizzative e produttive o di tutela del patrimonio  informativo del titolare ( ad esempio, per specifiche esigenze di sicurezza dei sistemi) t rattare i metadati per un periodo di tempo più esteso, si richiede di espletare le procedure di garanzia previste dallo Statuto dei lavoratori  (Legge 300 1970) ovvero 

1. pervenire ad un accordo con le rappresentanze sindacali  o 
2. ottenere l'autorizzazione dell’ispettorato del lavoro.

Infatti una estensione del periodo di conservazione oltre l'arco temporale sopracitato  può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore, che è vietato appunto dallo Statuto dei lavoratori .

Privacy posta elettronica dipendenti: la posizione del Ministero

Il ministro del lavoro Marina Calderone  a margine del Welfare & Hr summit,  convegno sulla situazione del mercato del lavoro  promosso dal Sole 24 Ore,  è stata interpellata anche  questo nuovo provvedimento che rischia di mettere  difficoltà praticamente tutte le aziende con dipendenti.

Calderone ha rassicurato affermando che il ministero è al lavoro  in stretta collaborazione con  l'ispettorato nazionale del lavoro , che è responsabile dei controlli sul  territorio,  per "individuare una corsia semplificata " per dare alle  aziende "la possibilità di adempiere agli obblighi senza troppe complicazioni». 

Si attendono quindi provvedimenti  ministeriali  che chiariscano come le aziende debbano adeguarsi.

Mail dipendenti: la proroga e la consultazione pubblica

Nel nuovo documento il  Garante,  in considerazione delle osservazioni critiche   giunte  sul temaannuncia , come detto,  l'avvio di  una consultazione pubblica della durata di 30 giorni a partire dalla  data di pubblicazione dell’avviso, quindi dal 27 febbraio  al 28 marzo 2024 per acquisire proposte in merito alla congruità del termine  proposto del documento del 21 dicembre e, più in generale  alle forme e modalità di utilizzo  per un prolungamento dei tempi .

L’efficacia del documento di indirizzo  (che ordinariamente è immediata  viene quindi  differita al termine della predetta consultazione pubblica all’esito della quale il

Garante si riserva di adottare ulteriori determinazioni .

In caso di mancata adozione di nuovi provvedimenti l'entrata in vigore delle nuove regole  viene fissata  dopo ulteriori 60 giorni dal termine della consultazione

Mail dipendenti : come inviare osservazioni sul provvedimento del Garante

I soggetti interessati a far pervenire le osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, entro 30 giorni dalla pubblicazione  dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, all’indirizzo del  Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero all’indirizzo di posta elettronica  [email protected] oppure [email protected].

E' stata aggiornata e resa disponibile dal Garante privacy  una nuova edizione della "Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali"(QUI IL TESTO)  che era stata inizialmente pubblicata nel 2018.

 Si tratta di una pubblicazione illustrata,  di facile consultazione  per  enti pubblici e privati,  rivolta in particolare alle piccole e medie imprese che hanno meno strumenti per gestire gli adempimenti  in tema di trattamento dei dati personali, rispetto alle grandi società.

I contenuti della guida privacy 2023 

 Oltre a fornire tutti i riferimenti normativi sulla materia, la Guida  chiarisce i principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento per il rispetto della privacy, fornendo anche consigli pratici su : 

•  diritti dell’interessato 
• doveri dei titolari; 
• trasparenza sull’uso dei dati personali
• liceità del loro trattamento.

Attenzione particolare è dedicata  inoltre  a:

• informativa privacy agli interessati
• notifica delle violazioni al  Garante privacy 
• designazione del Responsabile della protezione dei dati
• trasferimento dei dati personali  in altri Paesi

Il Garante ricorda anche che con il GDPR la  gestione della privacy  è  diventata parte integrante delle attività di un’organizzazione, per la quale i titolari devono adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.

I nuovi diritti in materia di privacy

 Va anche sottolineato come il Regolamento Ue  679 2016 ha introdotto anche nuovi diritti riconosciuti alle persone,  tra i quali si segnalano 

1. la possibilità di  trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network ("diritto alla portabilità"), 
2. l diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte.

La pubblicazione è disponibile  anche sul sito del Garante  all'indirizzo www.gpdp.it.