Ricerca avanzata
Stampa

Dopo il COVID, quali sono le novità privacy?

Misurazione della temperature, telecamere all’ingresso, firma di moduli informativi, green pass. Durante il periodo di emergenza legato alla pandemia COVID19, tutti noi abbiamo affrontato procedure che potevano apparire invasive rispetto alla privacy individuale e alle previsioni del GDPR.

Finita l’emergenza ci si deve preoccupare ancora della protezione dei dati personali in azienda? La risposta breve è Si!

E’ bene fare chiarezza. Il GDPR e l’obbligo di proteggere i dati personali non sono mai stati sospesi e non sono mai venuti meno. Le misure sono state prese in coordinamento con le autorità nazionali per la protezione dei dati personali (Garante Privacy) e seguendo procedure di consultazione e/o di autorizzazione precise.

 A dire il vero, alcune misure sono rimaste oggetto di discussione tra giuristi, ma a livello aziendale, il richiamo alle normative in vigore e ai protocolli di sicurezza interni, hanno consentito di includere le misure anti-Covid nel novero delle procedure aziendali accettate dai processi di protezione dei dati personali interni. Non sempre è stata posta la dovuta attenzione a questi processi, ma terminata l’emergenza e ripresa la (quasi) normale attività, può essere il caso fare il punto:

 Dato per scontato che in azienda non si può più richiedere il Green Pass (e nessuna altra informazione relativa allo stato vaccinale dei lavoratori), finché rimangono attivi i protocolli di sicurezza anti-Covid si potrebbe richiedere la verifica della temperatura e la compilazione dei moduli all’ingresso. Nei fatti , però, visto l’andamento calante dei contagi e la normalizzazione della situazione, il trattamento di quelle informazioni potrebbe apparire come incoerente rispetto alle necessità e pertanto tendiamo a sconsigliarla.

 Ma il consiglio soprattutto di PORRE ATTENZIONE A TUTTE LE INFORMAZIONE RACCOLTE IN MERITO ALL’OBBLIGO DI VERIFICA DEL GREEN PASS. E’ fondamentale che tutti i dati e tutte le informazioni sia in formato cartaceo che elettronico VENGANO ELIMINATI E DISTRUTTI. Lo stesso dovrà essere di eventuali dati relativi alla misurazione della temperatura e (qualora si sia riusciti a giustificare il ricorso a tali misure) al riconoscimento biometrico all’ingresso.

DOPO IL COVID

 Ben più importante però e chiedersi cosa succede dopo il COVID.

 In questi giorni sale costantemente l’allarme sulla cyber guerra in corso tra gruppi più o meno legati a stati belligeranti e non. E’ chiaro che un attacco cyber  ad una azienda metterà a rischio il funzionamento stesso dell’azienda, i suoi segreti commerciali ed industriali e la mole, più o meno grande, dei dati personali gestiti. Mentre la strategia europea sta pensando di definire modi per sanzionare comportamenti non adeguati sul lato sicurezza cibernetica, qualora questa mancanza di sicurezza metta a rischio dati personali le sanzioni sono ben definite dal GDPR.

L’azienda che voglia ridurre i rischi si preoccuperà perciò di definire una strategia di protezione dei dati elettronici che metterà in sicurezza anche i dati personali (fossero questi anche solo quelli del personale dipendente). Un buon consulente potrà aiutare ad individuare i dati gestiti e a definire una mappa dei rischi sulla base della quale definire delle policy.

 Per focalizzare sugli aspetti più a rischio può essere utile andare a vedere su cosa pone l’attenzione il Garante Privacy.

 Per il primo semestre del 2022, per esempio, la direttiva del 21 dicembre 2021 ha individuato alcuni ambiti di verifica tra i quali vogliamo porre l’attenzione su:

  • trattamento di dati personali nel settore della c.d. “videosorveglianza”;
  • verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app. e altri applicativi informatici

Considerato il numero di sistemi di videosorveglianza nelle aziende  e l’importanza che acquisiscono i sistemi digitali legati alla gestione delle risorse umane (vedi ad esempio gli applicativi dedicati al controllo delle presenze/assenze) è chiaro che le aziende dovranno aggiornare e verificare l’adeguamento del loro dispositivo di gestione dei dati personali alle previsioni del GDPR.

Per quanto riguarda l’installazione o la modifica di sistemi di videosorveglianza, si ricorda che è necessario ottenere l’autorizzazione dell’Ispettorato Territoriale del Lavoro.

Per quanto riguarda invece l’individuazione di titolari, responsabili e un corretto inserimento delle procedure digitali per la gestione del personale, sarà necessario svolgere una analisi di quanto esistente e una valutazione degli interventi da attuare per mantenere o raggiungere un corretto livello di compliance.

Sempre più spesso poi si verificano problematiche derivanti da comportamenti che i dipendenti tengono sui social network. In questo caso la definizione di una policy aziendale potrà aiutare a prevenire episodi spiacevoli e difficilmente gestibili.

Per chiarire questi ed altri aspetti e individuare il giusto supporto, Confindustria Macerata mette a disposizione delle aziende associate il servizio privacy/GDPR.

Per ulteriori informazioni:

Stefano orlandoni – orlandoni@confindustriamacerata.it – 0733 279 622

Il Direttore

Gianni Niccolò

Misurazione della temperature, telecamere all’ingresso, firma di moduli informativi, green pass. Durante il periodo di emergenza legato alla pandemia COVID19, tutti noi abbiamo affrontato procedure che potevano apparire invasive rispetto alla privacy individuale e alle previsioni del GDPR.

Finita l’emergenza ci si deve preoccupare ancora della protezione dei dati personali in azienda? La risposta breve è Si!

E’ bene fare chiarezza. Il GDPR e l’obbligo di proteggere i dati personali non sono mai stati sospesi e non sono mai venuti meno. Le misure sono state prese in coordinamento con le autorità nazionali per la protezione dei dati personali (Garante Privacy) e seguendo procedure di consultazione e/o di autorizzazione precise.

A dire il vero, alcune misure sono rimaste oggetto di discussione tra giuristi, ma a livello aziendale, il richiamo alle normative in vigore e ai protocolli di sicurezza interni, hanno consentito di includere le misure anti-Covid nel novero delle procedure aziendali accettate dai processi di protezione dei dati personali interni. Non sempre è stata posta la dovuta attenzione a questi processi, ma terminata l’emergenza e ripresa la (quasi) normale attività, può essere il caso fare il punto:

Dato per scontato che in azienda non si può più richiedere il Green Pass (e nessuna altra informazione relativa allo stato vaccinale dei lavoratori), finché rimangono attivi i protocolli di sicurezza anti-Covid si potrebbe richiedere la verifica della temperatura e la compilazione dei moduli all’ingresso. Nei fatti , però, visto l’andamento calante dei contagi e la normalizzazione della situazione, il trattamento di quelle informazioni potrebbe apparire come incoerente rispetto alle necessità e pertanto tendiamo a sconsigliarla.

Ma il consiglio soprattutto di PORRE ATTENZIONE A TUTTE LE INFORMAZIONE RACCOLTE IN MERITO ALL’OBBLIGO DI VERIFICA DEL GREEN PASS. E’ fondamentale che tutti i dati e tutte le informazioni sia in formato cartaceo che elettronico VENGANO ELIMINATI E DISTRUTTI. Lo stesso dovrà essere di eventuali dati relativi alla misurazione della temperatura e (qualora si sia riusciti a giustificare il ricorso a tali misure) al riconoscimento biometrico all’ingresso.

DOPO IL COVID

Ben più importante però e chiedersi cosa succede dopo il COVID.

In questi giorni sale costantemente l’allarme sulla cyber guerra in corso tra gruppi più o meno legati a stati belligeranti e non. E’ chiaro che un attacco cyber  ad una azienda metterà a rischio il funzionamento stesso dell’azienda, i suoi segreti commerciali ed industriali e la mole, più o meno grande, dei dati personali gestiti. Mentre la strategia europea sta pensando di definire modi per sanzionare comportamenti non adeguati sul lato sicurezza cibernetica, qualora questa mancanza di sicurezza metta a rischio dati personali le sanzioni sono ben definite dal GDPR.

L’azienda che voglia ridurre i rischi si preoccuperà perciò di definire una strategia di protezione dei dati elettronici che metterà in sicurezza anche i dati personali (fossero questi anche solo quelli del personale dipendente). Un buon consulente potrà aiutare ad individuare i dati gestiti e a definire una mappa dei rischi sulla base della quale definire delle policy.

Per focalizzare sugli aspetti più a rischio può essere utile andare a vedere su cosa pone l’attenzione il Garante Privacy.

Per il primo semestre del 2022, per esempio, la direttiva del 21 dicembre 2021 ha individuato alcuni ambiti di verifica tra i quali vogliamo porre l’attenzione su:

-          trattamento di dati personali nel settore della c.d. “videosorveglianza”;

-          verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app. e altri applicativi informatici

Considerato il numero di sistemi di videosorveglianza nelle aziende  e l’importanza che acquisiscono i sistemi digitali legati alla gestione delle risorse umane (vedi ad esempio gli applicativi dedicati al controllo delle presenze/assenze) è chiaro che le aziende dovranno aggiornare e verificare l’adeguamento del loro dispositivo di gestione dei dati personali alle previsioni del GDPR.

Per quanto riguarda l’installazione o la modifica di sistemi di videosorveglianza, si ricorda che è necessario ottenere l’autorizzazione dell’Ispettorato Territoriale del Lavoro.

Per quanto riguarda invece l’individuazione di titolari, responsabili e un corretto inserimento delle procedure digitali per la gestione del personale, sarà necessario svolgere una analisi di quanto esistente e una valutazione degli interventi da attuare per mantenere o raggiungere un corretto livello di compliance.

Sempre più spesso poi si verificano problematiche derivanti da comportamenti che i dipendenti tengono sui social network. In questo caso la definizione di una policy aziendale potrà aiutare a prevenire episodi spiacevoli e difficilmente gestibili.

Per chiarire questi ed altri aspetti e individuare il giusto supporto, Confindustria Macerata mette a disposizione delle aziende associate il servizio privacy/GDPR.

Per ulteriori informazioni:

Stefano orlandoni – orlandoni@confindustriamacerata.it – 0733 279 622

Il Direttore

Gianni Niccolò