-
Geolocalizzazione lavoratori in smart working: sanzione del Garante Privacy
Il Garante per la protezione dei dati personali è intervenuto nei confronti di un ente pubblico regionale, in seguito a un reclamo presentato da una dipendente e a una segnalazione del Dipartimento della Funzione Pubblica. Entrambe le segnalazioni riguardavano l’uso, da parte dell’ente, di sistemi di geolocalizzazione per controllare i lavoratori in smart working tramite l’applicazione “Time Relax”.
In particolare, l’ente richiedeva ai dipendenti in lavoro agile di effettuare timbrature in entrata e uscita tramite dispositivi elettronici, abilitando la localizzazione, per verificare la compatibilità della posizione effettiva con quanto previsto negli accordi individuali. In almeno un caso, tali informazioni sono state utilizzate per avviare un procedimento disciplinare nei confronti della persona interessata.
Ecco i dettagli sulla decisione del Garante in merito.
Smart working e geolocalizzazione: le violazioni evidenziate dal Garante
Il Garante ha riscontrato nell'attività del ente numerose violazioni della normativa in materia di protezione dei dati personali, in particolare del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (D.lgs. 196/2003). Le principali criticità sono:
- Illiceità del trattamento dei dati
Il monitoraggio della posizione geografica dei lavoratori risultava finalizzato a verificare il rispetto delle condizioni dell’accordo di lavoro agile, rappresentando un controllo diretto dell’attività lavorativa. Tale finalità non è ammessa dalla legge e contrasta con i principi di proporzionalità e rispetto della libertà morale del lavoratore.
- Assenza di base giuridica idonea
L’ente ha giustificato il trattamento facendo riferimento a una propria delibera e a un accordo con i sindacati. Tuttavia, secondo il Garante, questi atti non bastano a legittimare il trattamento. Inoltre, il consenso del lavoratore, richiesto dall’app per attivare la localizzazione, non è considerato valido in ambito lavorativo a causa dello squilibrio tra le parti.
- Violazione dei principi di minimizzazione e finalità
La raccolta sistematica di coordinate GPS eccedeva quanto strettamente necessario per la gestione del rapporto di lavoro, comportando un’intrusione nella sfera privata non giustificata.
- Informativa carente
I documenti aziendali non contenevano tutte le informazioni previste dall’art. 13 del GDPR. I lavoratori non erano adeguatamente informati su come e perché venivano trattati i loro dati di geolocalizzazione.
- Assenza di valutazione d’impatto
L’ente non aveva effettuato la valutazione preventiva dei rischi sui diritti e le libertà delle persone interessate, nonostante il trattamento implicasse un elevato grado di rischio.
- Uso improprio a fini disciplinari
I dati geolocalizzati sono stati utilizzati per avviare un procedimento disciplinare, anche se successivamente sospeso. Secondo il Garante, questo utilizzo era illecito, essendo basato su dati raccolti per altre finalità e comunque senza una base giuridica adeguata.
La decisione e i limiti alla sorveglianza sul lavoro agile
l Garante ha quindi dichiarato illecito il trattamento e ha comminato una sanzione amministrativa pecuniaria di 50.000 euro. Ha inoltre disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale per ragioni di trasparenza e funzione deterrente, data la gravità della condotta e il numero significativo di lavoratori coinvolti.
L’ente, da parte sua, ha dichiarato di aver interrotto il trattamento contestato e disattivato la funzione di geolocalizzazione dell’applicazione, adottando misure correttive in autotutela.
Il provvedimento ribadisce il principio cardine generale per cui il controllo dell’attività lavorativa deve avvenire nel rispetto dei diritti fondamentali dei lavoratori, senza trasformarsi in sorveglianza invasiva.
Il datore di lavoro può ricorrere a strumenti tecnologici solo se strettamente necessari per finalità organizzative, produttive, di sicurezza o tutela del patrimonio, e comunque solo in forma indiretta e limitata. Ogni trattamento di dati personali deve poggiare su basi giuridiche solide, essere proporzionato e preceduto da un’attenta valutazione dei rischi.
Va anche sottolineato il principio dell’inadeguatezza del consenso del lavoratore come fondamento giuridico nei rapporti di lavoro, riaffermando l’esigenza di tutele rafforzate nei contesti contrattuali asimmetrici come quello tra dipendente e datore pubblico o privato.
-
Dati sui social per l’intelligenza artificiale: come opporsi entro maggio
Dal 30 maggio 2025 Meta, la società proprietaria di Facebook, Instagram e WhatsApp, inizierà a utilizzare i dati personali degli utenti per addestrare i propri sistemi di intelligenza artificiale (IA). È quanto annunciava il Garante per la protezione dei dati personali in un comunicato di marzo 2025 invitando tutti a informarsi e, se lo desiderano, a esercitare il diritto di opposizione entro la fine del mese.
L’utilizzo dei dati per l’IA non riguarda solo chi ha un account sui social Meta, ma potenzialmente anche chi non è iscritto, se i propri dati sono stati condivisi da altri utenti. Per questo è importante agire subito, compilando gli appositi moduli messi a disposizione online sulle piattaforme social.
Il termine si avvicina: vediamo piu in dettaglio di cosa si tratta.
Cosa farà Meta con i nostri dati
Meta ha annunciato che userà i contenuti pubblici pubblicati dagli utenti maggiorenni – come post, commenti, foto, didascalie – e anche le informazioni inserite nelle chat con i servizi di IA (ad esempio su WhatsApp), per migliorare i suoi sistemi di intelligenza artificiale. In particolare, questi dati alimenteranno strumenti come il chatbot Meta AI o i modelli linguistici come Llama.
Questo trattamento sarà basato sul “legittimo interesse” di Meta. Tuttavia, il Garante ha sottolineato che il Regolamento europeo (GDPR) riconosce agli utenti il diritto di opporsi a questo uso dei propri dati.
Il Garante ricorda anche che il diritto di opposizione non riguarda solo Meta. Anche altri sistemi di intelligenza artificiale – come quelli sviluppati da OpenAI (ChatGPT), DeepSeek o Google – possono essere soggetti alla stessa regola. È sempre possibile chiedere che i propri dati non vengano utilizzati per addestrare algoritmi.
Opposizione per l’uso dei propri dati sui sociale: cosa fare
Chi non vuole che i propri contenuti vengano utilizzati da Meta per l’IA deve compilare un modulo online che le piattaforme sono obbligate a rendere disponibili, ai seguenti link:
- Per gli utenti Facebook: Modulo opposizione Facebook
- Per gli utenti Instagram: Modulo opposizione Instagram
- Per chi non ha un account ma teme che i propri dati siano presenti: Modulo non utenti
ATTENZIONE : chi esercita l’opposizione entro fine maggio potrà impedire che tutti i propri dati personali vengano usati.
Chi invece si oppone dopo, riuscirà a bloccare solo l’uso dei dati pubblicati dopo la data dell’opposizione. I dati già raccolti fino a quel momento resteranno a disposizione di Meta per l’addestramento dei suoi sistemi.
Va inoltre tenuto presente che anche i dati dei non utenti e dei minori sono a rischio: anche chi non è registrato a Facebook o Instagram potrebbe vedere i propri dati coinvolti, se ad esempio appaiono in foto o testi pubblicati da altri. In questo caso si può usare il modulo per i non utenti.
Privacy dei dati e intelligenza artificiale: cosa sta facendo il Garante
Nel frattempo, l’Autorità italiana per la privacy sta collaborando con le altre autorità europee per valutare la legittimità del comportamento di Meta.
Si punta a capire se esistano le basi legali per un uso così esteso dei dati personali, e se il diritto di opposizione sia davvero garantito in modo semplice, effettivo e completo. In particolare, è stato richiesto a Meta di chiarire anche l’uso delle immagini di minorenni postate da adulti.
In sintesi: chi utilizza Facebook, Instagram o anche solo ha la propria immagine o informazioni online, dovrebbe valutare con attenzione se desidera che i propri dati alimentino i sistemi di intelligenza artificiale. Se la risposta è no, è fondamentale agire entro fine maggio 2025.
Ricordiamo che sul tema già nel 2023 il Garante aveva avviato una indagine conoscitiva e l'anno scorso ha deliberato un provvedimento sui rischi e i possibili interventi per la tutela dei dati.
Lo alleghiamo qui per maggiore informazione: Web scraping ed intelligenza artificiale generativa: nota informativa e possibili azioni di contrasto
-
Certificati di malattia: sanzioni per mancato rispetto della privacy
La protezione della privacy dei lavoratori e dei cittadini rimane una priorità assoluta, e le violazioni sono da sanzionare duramente.
Lo evidenzia un nuovo recente intervento del Garante per la protezione dei dati personali che ha comminato una sanzione da 17 mila euro per il rilascio di un certificato medico che riportava dettagli sul reparto sanitario responsabile della prestazione e per altre inadempienze.
Vediamo ulteriori dettagli nei prossimi paragrafi
Garante privacy no ai dati sulla salute nei certificati medici
Il caso riguardava una paziente che aveva segnalato una violazione da parte di un’Azienda Sanitaria Territoriale, colpevole di aver rilasciato un certificato medico che indicava dettagli specifici sul reparto ospedaliero dove era stata erogata la prestazione sanitaria.
Questi dettagli, come il timbro con la specializzazione del medico o il nome della struttura, costituiscono informazioni potenzialmente riconducibili allo stato di salute della persona, in violazione dei principi fondamentali di protezione dei dati personali.
Il Garante ha sottolineato che i certificati medici destinati a giustificare un’assenza dal lavoro o l’impossibilità di partecipare a un concorso devono contenere esclusivamente le informazioni strettamente necessarie, senza alcun riferimento che possa rivelare la natura delle condizioni di salute.
Questa violazione ha portato l’Azienda Sanitaria a ricevere una sanzione amministrativa di 17mila euro.
Certificati medici e Privacy by design: un obbligo, non un’opzione
Oltre alla violazione del principio di minimizzazione dei dati, il Garante ha accertato un mancato rispetto del principio di privacy by design.
Questo principio richiede che, fin dalla progettazione di processi e moduli, vengano adottate misure tecniche e organizzative per garantire la protezione dei dati personali.
Nel caso specifico, l’Azienda non aveva predisposto adeguati accorgimenti per evitare la diffusione di informazioni sensibili nei certificati medici.
Nonostante l’intervento del Garante abbia portato l’Azienda a modificare i moduli e a formare il personale sul trattamento dei dati, il ritardo nell’adozione di queste misure ha avuto conseguenze gravi: un numero potenzialmente elevato di pazienti è stato coinvolto per un lungo periodo.
Inoltre, l’Azienda ha aggravato la situazione non rispondendo tempestivamente alle richieste di informazioni da parte dell’Autorità, incorrendo in ulteriori violazioni del Codice della Privacy.
Questo caso rappresenta un monito per tutte le organizzazioni sanitarie e non , chiamate a garantire non solo la qualità dei servizi ma anche il pieno rispetto dei diritti alla riservatezza dei cittadini, pena sanzioni rilevanti e danni alla propria reputazione.
-
Privacy: multa da 120mila euro per uso di software di controllo attività
Sanzionato con multa da 120mila euro il datore di lavoro che utilizzava un software di monitoraggio puntuale dell'attività dei dipendenti ( su tempi, modalità di lavorazione e pause) , senza adeguata informativa, e uno strumento per l'accesso al luogo di lavoro tramite riconoscimento facciale.
Si tratta del provvedimento del Garante Privacy 338 2024 del 6 giugno 2024.
Vediamo il caso in maggiore dettaglio.
Utilizzo software di controllo e riconoscimento facciale: il caso
A seguito di un reclamo presentato da un dipendente contro il proprio datore di lavoro (una officina meccanica) per un presunto illecito trattamento dei dati personali dei dipendenti, l'Autorità Garante per la Protezione dei Dati Personali ha esaminato la documentazione e ha effettuato ispezioni per verificare la conformità della società alle normative vigenti in materia di protezione dei dati.
Il dipendente in particolare evidenziava che erano stati utilizzati senza un adeguata informativa ai dipendenti :
- il software "Infinity DMS" per la gestione delle prestazioni lavorative di ciascun lavoratore e
- l'hardware "X-Face 380" , un sistema di riconoscimento facciale, per il controllo degli accessi sul luogo di lavoro.
Le ispezioni effettuate presso la società hanno confermato l'uso di questi strumenti e hanno raccolto informazioni dettagliate sul loro funzionamento e finalità.
L'installazione del software considerata integrata alle attrezzature di lavoro, che raccoglieva e trattava dati personali dei dipendenti senza fornire loro una adeguata informativa, era avvenuta senza accordo con la rappresentanza sindacale.
Sono state quindi accertate violazioni in tema di trattamento dei dati personali sui principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679.
Software di controllo e dati biometrici vietati: la decisione del Garante Privacy
Per quanto riguarda l'hardware che consente il riconoscimento facciale dei dipendenti, il Garante ha ribadito l'indirizzo restrittivo già seguito in casi simili: tali strumenti sono proibiti perché realizzano un trattamento illecito dei dati biometrici che appartengono alle categorie di dati sensibili .
L'utilizzo è generalmente vietato, salvo quando sia necessario per adempiere obblighi e esercitare diritti specifici in materia di diritto del lavoro e protezione sociale; questa ipotesi non si verifica nel caso in questione, mentre è giustificata ad esempio per la compilazione delle buste paga .
Il Garante sottolinea che, nel contesto del rapporto di lavoro, il consenso espresso dai dipendenti non può essere considerato un valido presupposto di liceità del trattamento, data l'asimmetria tra le rispettive posizioni.
Anche l'utilizzo del software gestionale è stato duramente criticato dall'autorità in quanto il datore di lavoro aveva imposto ai dipendenti, tramite un codice a barre individuale, la registrazione delle diverse fasi dell'attività lavorativa, comprese le pause (con la specifica causale).
L'Autorità ha sottolineato inoltre la mancanza di risposte da parte del datore di lavoro sulla natura e tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, che non ha permesso di valutare l'effettiva necessità e proporzionalità del software rispetto alle finalità da perseguire.
Ancora piu grave il fatto che tali informazioni non fossero state comunicate nemmeno ai dipendenti, considerando che nell'ambito del rapporto di lavoro l'obbligo di informare il dipendente è espressione del dovere di correttezza e trasparenza
Controllo dipendenti: le sanzioni previste dal Garante Privacy
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, è stata irrogata la sanzione amministrativa pari ad euro 120.000,00 (centoventimila).
Inoltre in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, è stata richiesta la pubblicazione in chiaro del provvedimento sul sito Internet del Garante.
Infine il Garante ha richiesto alla Società di comunicare le iniziative intraprese per
- conformare il trattamento dei dati effettuato mediante il software gestionale Infinity DMS alle disposizioni e ai principi generali in materia di trattamento dei dati personali nei termini esposti in motivazione entro 90 giorni dalla data di notifica del provvedimento;
- cessare il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale.
e di fornire comunque riscontro adeguatamente documentato entro il termine di 90 giorni dalla data di notifica del provvedimento;
L’eventuale mancato riscontro può comportare l’applicazione della ulteriore sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.
-
Pubblicità in violazione GDPR: azienda responsabile per l’errore del dipendente
La Corte di Giustizia dell’Unione Europea, con Sentenza dell’11 aprile 2024, relativa alla causa C-741/21 in tema di violazione dei dati personali attraverso attività di marketing diretto, ha ritenuto responsabile il titolare aziendale del trattamento, precisando che non è rilevante che il danno sia stato causato dall’errore del dipendente che ha violato le istruzioni ricevute.
La sentenza ha fornito inoltre chiarimenti sul diritto al risarcimento in caso di violazione del Regolamento (UE) 2016/679, Regolamento Generale sulla Protezione dei Dati (GDPR).
Vediamo in maggiore dettaglio la vicenda e la sentenza della Corte.
Marketing diretto nonostante la revoca del consenso
Il caso specifico affrontato dalla Corte di Giustizia dell'Unione Europea (CGUE) riguardava un avvocato tedesco che aveva revocato il proprio consenso alla ricezione di materiale pubblicitario da parte di una società che gestisce una banca dati giuridica.
Nonostante la revoca del consenso, il ricorrente continuava a ricevere materiale pubblicitario, il che ha portato a una violazione del Regolamento Generale sulla Protezione dei Dati (GDPR).
Il ricorrente ha adito il Tribunale del Land di Saarbrücken ( Germania) per ottenere:
- il risarcimento del danno materiale, relativo alle spese sostenute per l'ufficiale giudiziario e il notaio, e per
- il risarcimento per danno immateriale, affermando di aver subito una perdita di controllo sui propri dati personali.
Ha sostenuto che tale perdita di controllo costituisse di per sé un danno immateriale, indipendentemente dalla gravità o dagli effetti ulteriori di tale perdita, sulla base del diritto garantito dall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e precisato dal GDPR.
La società imputata, per parte sua ha negato ogni responsabilità, sostenendo di aver istituito un adeguato sistema di gestione delle opposizioni al marketing diretto e attribuendo la mancata considerazione delle opposizioni del ricorrente, ipoteticamente
- a un errore umano di un collaboratore oppure
- al fatto che sarebbe stato eccessivamente oneroso tenerne conto.
Inoltre, ha argomentato che la mera violazione di un obbligo del GDPR non costituisce automaticamente un "danno" ai sensi dell'articolo 82 del regolamento.
Il tribunale tedesco ha quindi sollevato la questione presso la CGUE cercando chiarimenti sull'interpretazione di varie disposizioni del GDPR, specialmente riguardo :
- al diritto al risarcimento per danni immateriali senza la necessità di dimostrare la gravità del danno e
- sulle condizioni di responsabilità del titolare del trattamento quando il danno è causato dall'errore di una persona sotto la sua autorità.
I chiarimenti della CGUE su risarcimento e responsabilità
La decisione della Corte chiarisce i seguenti punti:
- Violazione e Danno Immateriale: La Corte ha stabilito che una violazione del GDPR non è di per sé sufficiente per stabilire un danno immateriale. Per avere diritto al risarcimento, l'interessato deve dimostrare di aver subito un danno immateriale reale causato dalla violazione. Non è necessario che il danno raggiunga una certa gravità, ma deve essere comunque dimostrato.
- Responsabilità del Titolare del Trattamento: In caso di violazione del GDPR causata dall'errore di un dipendente, il titolare del trattamento non può automaticamente esimersi dalla responsabilità. La Corte ha sottolineato che il titolare del trattamento deve dimostrare che l'evento dannoso non gli è in alcun modo imputabile. Non basta quindi soltanto indicare che il danno è stato causato dall'errore di un dipendente per liberarsi da ogni responsabilità.
- Calcolo del Risarcimento: I criteri previsti dall'articolo 83 del GDPR per la determinazione delle sanzioni amministrative pecuniarie non devono essere applicati nel calcolo del risarcimento per i danni ai sensi dell'articolo 82 del GDPR. Il risarcimento dovuto dovrebbe riflettere una compensazione per il danno effettivamente subito, non avendo una natura punitiva ma compensativa.
Si ribadisce quindi la necessità che gli ordinamenti nazionali rafforzino il diritto delle persone fisiche alla protezione dei loro dati personali, garantendo che possano ottenere un risarcimento effettivo in caso di violazione, e assicurando al contempo che i titolari del trattamento adottino misure adeguate per prevenire tali violazioni.
-
Mail dipendenti: proroga delle nuove regole
Nuovo intervento del Garante per la protezione dei dati personali in tema di tutela della posta elettronica dei dipendenti mette in stand by le raccomandazioni estremamente restrittive del documento di indirizzo del 21 dicembre 2023, pubblicato il 6 febbraio 2024, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati che prescriveva severi limiti nella conservazione dei dati ( max 7 giorni di conservazione dei metadati che consentono di archiviare con ordine i documenti elettronici)
Scarica qui il testo del provvedimento del 6 febbraio .
Le raccomandazioni del Garante, che come noto sono vincolanti , hanno prodotto molta preoccupazione tra gli addetti ai lavori per l'applicabilità , ancora tutta da definire.
Sul tema era intervenuta pochi giorni dopo il ministro del lavoro Calderone assicurando che il Governo e l'ispettorato del lavoro erano al lavoro per mettere a punto le indicazioni operative .
Il nuovo provvedimento annuncia una proroga di almeno 30 giorni dell'entrata in vigore delle nuove regole e una consultazione pubblica per ridefinire in dettaglio i tempi e le modalità di applicazione.
Vediamo con ordine nei paragrafi seguenti.
Privacy: nuovi limiti di conservazione dei dati della posta elettronica dei dipendenti
Le linee guida del 6 febbraio 2024 sono indirizzate ai datori di lavoro pubblici e privati per prevenire trattamenti di dati in contrasto con le norme sulla protezione della privacy ai fini di tutelare la libertà e la dignità dei lavoratori.
Il provvedimento analizza in particolare l'utilizzo di programmi forniti in modalità cloud che spesso trattano in modo generalizzato e sistematico i dati senza possibilità di disabilitare o modificare le modalità di archiviazione, con possibile violazione delle norme vigenti e indica nuovi limiti temporali per la conservazione dei dati ( vedi i dettagli sotto)
Il documento è nato a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti ( si tratta ad esempio di giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail).
In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Nel provvedimento il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione
ATTENZIONE Il periodo considerato congruo sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica del lavoratore è fissato a
- un massimo di 7 giorni,
- estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Mail dipendenti: la tutela prevista per evitare violazioni della privacy
Per i casi in cui i datori di lavoro debbano per esigenze organizzative e produttive o di tutela del patrimonio informativo del titolare ( ad esempio, per specifiche esigenze di sicurezza dei sistemi) t rattare i metadati per un periodo di tempo più esteso, si richiede di espletare le procedure di garanzia previste dallo Statuto dei lavoratori (Legge 300 1970) ovvero
- pervenire ad un accordo con le rappresentanze sindacali o
- ottenere l'autorizzazione dell’ispettorato del lavoro.
Infatti una estensione del periodo di conservazione oltre l'arco temporale sopracitato può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore, che è vietato appunto dallo Statuto dei lavoratori .
Privacy posta elettronica dipendenti: la posizione del Ministero
Il ministro del lavoro Marina Calderone a margine del Welfare & Hr summit, convegno sulla situazione del mercato del lavoro promosso dal Sole 24 Ore, è stata interpellata anche questo nuovo provvedimento che rischia di mettere difficoltà praticamente tutte le aziende con dipendenti.
Calderone ha rassicurato affermando che il ministero è al lavoro in stretta collaborazione con l'ispettorato nazionale del lavoro , che è responsabile dei controlli sul territorio, per "individuare una corsia semplificata " per dare alle aziende "la possibilità di adempiere agli obblighi senza troppe complicazioni».
Si attendono quindi provvedimenti ministeriali che chiariscano come le aziende debbano adeguarsi.
Mail dipendenti: la proroga e la consultazione pubblica
Nel nuovo documento il Garante, in considerazione delle osservazioni critiche giunte sul temaannuncia , come detto, l'avvio di una consultazione pubblica della durata di 30 giorni a partire dalla data di pubblicazione dell’avviso, quindi dal 27 febbraio al 28 marzo 2024 per acquisire proposte in merito alla congruità del termine proposto del documento del 21 dicembre e, più in generale alle forme e modalità di utilizzo per un prolungamento dei tempi .
L’efficacia del documento di indirizzo (che ordinariamente è immediata viene quindi differita al termine della predetta consultazione pubblica all’esito della quale il
Garante si riserva di adottare ulteriori determinazioni .
In caso di mancata adozione di nuovi provvedimenti l'entrata in vigore delle nuove regole viene fissata dopo ulteriori 60 giorni dal termine della consultazione
Mail dipendenti : come inviare osservazioni sul provvedimento del Garante
I soggetti interessati a far pervenire le osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, entro 30 giorni dalla pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, all’indirizzo del Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero all’indirizzo di posta elettronica [email protected] oppure [email protected].
-
Codice privacy 2023: la nuova guida del Garante
E' stata aggiornata e resa disponibile dal Garante privacy una nuova edizione della "Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali"(QUI IL TESTO) che era stata inizialmente pubblicata nel 2018.
Si tratta di una pubblicazione illustrata, di facile consultazione per enti pubblici e privati, rivolta in particolare alle piccole e medie imprese che hanno meno strumenti per gestire gli adempimenti in tema di trattamento dei dati personali, rispetto alle grandi società.
I contenuti della guida privacy 2023
Oltre a fornire tutti i riferimenti normativi sulla materia, la Guida chiarisce i principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento per il rispetto della privacy, fornendo anche consigli pratici su :
- diritti dell’interessato
- doveri dei titolari;
- trasparenza sull’uso dei dati personali
- liceità del loro trattamento.
Attenzione particolare è dedicata inoltre a:
- informativa privacy agli interessati
- notifica delle violazioni al Garante privacy
- designazione del Responsabile della protezione dei dati
- trasferimento dei dati personali in altri Paesi
Il Garante ricorda anche che con il GDPR la gestione della privacy è diventata parte integrante delle attività di un’organizzazione, per la quale i titolari devono adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.
I nuovi diritti in materia di privacy
Va anche sottolineato come il Regolamento Ue 679 2016 ha introdotto anche nuovi diritti riconosciuti alle persone, tra i quali si segnalano
- la possibilità di trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network ("diritto alla portabilità"),
- l diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte.
La pubblicazione è disponibile anche sul sito del Garante all'indirizzo www.gpdp.it.