Illecito trattamento dei dati biometrici in una palestra

Un interessante provvedimento del Garante Privacy del 29 marzo u.s. ha ribadito ancora una volta come l’utilizzo dei dati biometrici possa essere giustificato solo nel rispetto del principio di necessità, derivante da situazioni di pericolo concreto e rischi per persone o cose. Nel caso specifico, al momento dell’iscrizione, una struttura sportiva rilevava l’impronta digitale degli utenti mediante lettore ottico/scanner e l’associava ai rispettivi dati personali. Attraverso questo sistema la palestra non rilasciava tessere o schede per l’accesso alla struttura. In seguito alla segnalazione di un frequentatore della palestra stessa, il Garante Privacy è intervenuto ed ha accertato che tali dati biometrici erano illecitamente trattati. Innanzi tutto il trattamento non era stato correttamente notificato al Garante Privacy e l’uso dei dati biometrici rilevati non risultava giustificato dalle finalità e dal contesto. L’accesso in palestra, infatti, non è un’operazione connotata da un grado di rischio, per beni o persone, tale da giustificare un accertamento così rigido dell’identità dei soggetti legittimati all’ingresso. Lo specifico trattamento risulta, inoltre, sproporzionato rispetto al bisogno di regolare e controllare l’accesso alla struttura.

Il Garante Privacy fa chiarezza sulla pubblicazione dell’informativa di un laboratorio radiologico

 Con il provvedimento n.104 del 15 marzo 2012 il Garante della privacy ha imposto allo Studio Radiologico Essepi s.a.s. di Savona di cambiare il modello di informativa e di consenso utilizzato nei rapporti con i loro pazienti.

In particolare, è stato segnalato dal Codacons che nell’informativa utilizzata dalla predetta Società è prevista la comunicazione dei dati raccolti a “società di assicurazione, fondi assistenziali e previdenziali privati o pubblici; banche ed istituti di credito; professionisti e consulenti; società operanti nei settori dei trasporti, spedizioni e comunicazioni; SOGEI spa”.

Nel modello fornito è inoltre precisato che "il conferimento dei dati è obbligatorio per tutto quanto è inerente agli obblighi legali e contrattuali e pertanto l'eventuale rifiuto a fornirli ovvero l'eventuale rifiuto al trattamento potrà determinare l'impossibilità (…) a dar corso ai servizi da voi richiesti". In calce al modello di informativa fornito dalla Società è prevista un'unica manifestazione del consenso dell'interessato "al trattamento ed alla comunicazione dei propri dati per le finalità e nei limiti dell'informativa". Ed è proprio qui che si riscontra la non conformità alla normativa in materia di protezione di dati personali.

Secondo quanto stabilito dall’art.13 comma 1, lett. b) e d) del Codice, l’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa la natura obbligatoria o facoltativa del conferimento dei dati e i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi.

Nella fattispecie il garante ha ritenuto illegittima l’informativa e il relativo consenso in quanto l’organismo sanitario privato deve fornire ai propri pazienti, prima della raccolta dei loro dati personali, un’informativa in cui siano indicate in modo analitico le finalità perseguite, distinguendo tra quelle di cura della salute e amministrative a queste strettamente correlate, dalle altre finalità eventualmente perseguite (art.13, comma 1, lett. a) del Codice).

Inoltre, secondo quanto stabilito dall’art.7, comma 4, lettera b) del suddetto Codice, l’interessato ha diritto di opporsi, in tutto o in parte, al trattamento dei dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, senza rinunciare alla fruizione della prestazione medica.

Lo schifo nelle nomine Agcom e Privacy: la competenza non è argomento che interessa alla politica

Non si può utilizzare una parola diversa: è veramente immondizia quanto sta succedendo nella politica italiana.

Il paese affonda e invece di dare un segnale di cambiamento i nostri politici continuano ad interessarsi di pura gestione e spartizione del potere anche in materie delicate come concorrenza e privacy. E per di più con l'aggravante di prendere in giro persone serie come Guido Scorza, Fulvio Sarzana, Raffaele Zallone o Luca Bolognini (e tanti altri) che, fidandosi di bugiarde rassicurazioni, avevano presentato i loro Cv per essere valutati come candidati (finalmente) di qualità, adatti a ricoprire tali importanti e complessi incarichi.

Invece quei Cv sono stati dematerializzati (ammesso che siano mai stati stampati da qualcuno) e probabilmente utilizzati come utile carta igienica per i lussuosi gabinetti del Parlamento.

Ogni componente appena eletto è frutto di scelte partitocratiche e siederà lì, non per propri meriti, ma per le logiche flautolente di una Repubblica (ammesso che si possa ancora definire tale) in declino.

E' uno schifo e non si possono usare altri termini.

Per avere qualche raccapricciante particolare in più e conoscere i nuovi eletti che dovrebbero rappresentare le Authority italiane consiglio la lettura di questo articolo

Ok del Ministero del Lavoro alla busta paga via web

Con la risposta all’interpello n. 13 del 30 maggio 2012, il Ministero del Lavoro ha espresso parere positivo circa la possibilità di consegnare il documento relativo ai prospetti paga anche tramite posta elettronica non certificata.

Già in precedenza lo stesso Ministero, con l’interpello n. 1/2008, si era pronunciato favorevolmente riguardo l’assolvimento degli obblighi di cui agli artt. 1 e 3, L. n. 4/1953, mediante messaggio inviato a mezzo Pec, alla luce sia del mancato espresso richiamo alla forma cartacea nel citato art. 1, sia della necessità di adeguamento dell’azione amministrativa alle disposizioni contenute nel D.Lgs. n. 82/2005 (Codice dell’Amministrazione Digitale).

L’assolvimento degli obblighi ex artt. 1 e 3, della L. n. 4/1953, da parte di un datore di lavoro privato è dunque possibile, oltre che tramite posta elettronica certificata, anche attraverso sito web dotato di un’area riservata con accesso consentito al proprio personale, mediante password individuale e a condizione che sia garantita al dipendente la possibilità di entrare nella disponibilità del prospetto e di poterlo materializzare.

In ogni caso, per garantire la verifica immediata da parte del lavoratore o comunque gli eventuali accertamenti dell’organo di vigilanza, appare peraltro necessario che della collocazione mensile dei prospetti di paga risulti traccia nello stesso sito.

Semplificazioni per il rilascio di autorizzazioni all’installazione di impianti audiovisivi sui luoghi di lavoro: stop alle ispezioni

Con una circolare del 16 aprile 2012, il Ministero del Lavoro, con il dichiarato intento di impegnare il proprio personale unicamente alla ricerca e alla lotta al lavoro nero, ha di fatto eliminato il sopralluogo preventivo nelle aziende che chiedono alla Direzione Provinciale del Lavoro l’autorizzazione per installare sistemi di videosorveglianza. Ciò, naturalmente, a condizione che l’installazione di tali impianti avvenga nel rispetto dello Statuto dei Lavoratori e delle prescrizioni contenute nel d.lgs. 196/2003. Il numero crescente di richieste pervenute in questi ultimi anni alle DPL, finalizzate per lo più alla prevenzione di fenomeni legati alla criminalità, e le evidenti difficoltà degli ispettori nel procedere tempestivamente agli accertamenti, infatti, hanno indotto il Ministero a prendere questa importante decisione, che avrà certamente dei risvolti in sede di interpretazione e coordinamento con quanto già da tempo stabilito dal Garante Privacy in materia di videosorveglianza. Se da una parte, infatti, si potrebbe pensare a una liberalizzazione dell’utilizzo delle videocamere aziendali, dall’altra l’Autorità Garante, nei confronti delle singole aziende ispezionate, continua a prescrivere con i suoi provvedimenti il raggiungimento di un accordo con i sindacati o, in alternativa, l’obbligatorietà dell’istanza alla DPL (con relativa autorizzazione) quali condizioni di liceità del trattamento per l’utilizzo di impianti di videosorveglianza all’interno dei contesti aziendali. Nella circolare, tuttavia, vengono citate solo alcune attività commerciali (come tabaccherie, ricevitorie, oreficerie, edicole, distributori di carburante, etc.) che presentano forti rischi per la sicurezza dei lavoratori e che giustificherebbero l’installazione di un impianto di videosorveglianza anche in assenza di un accertamento tecnico preventivo dello stato dei luoghi da parte della DPL, perché ininfluente ai fini del rilascio dell’autorizzazione; è certo, comunque, che in questi casi farà fede la documentazione inviata dal datore di lavoro (contenente le caratteristiche tecniche del sistema di videosorveglianza, la planimetria dei locali, il numero di telecamere e il loro posizionamento) e il rispetto del provvedimento generale del 8 aprile 2010 emanato dall’Autorità Garante Privacy. Nella Circolare si citano a titolo esemplificativo le seguenti prescizioni: 1) il rispetto della disciplina dettata dal D.Lgs. n. 196/03 recante il Codice in materia di protezione dei dati personali e dai successivi provvedimenti del Garante per la protezione dei dati personali, in particolare il Provvedimento generale dell’8 aprile 2010 sulla videosorveglianza; 2) il rispetto di tutta la normativa in materia di raccolta e conservazione delle immagini; 3) prima della messa in funzione dell’impianto l’azienda dovrà dare apposita informativa scritta al personale dipendente in merito all’attivazione dello stesso, al posizionamento delle telecamere e alle modalità di funzionamento e dovrà informare i clienti con appositi cartelli; 4) l’impianto, che registrerà solo le immagini indispensabili, sarà costituito da telecamere orientate verso le aree maggiormente esposte ai rischi di furto e danneggiamento (limitando l’angolo delle riprese ed evitando, quando non indispensabili, immagini dettagliate), l’eventuale ripresa di dipendenti avverrà esclusivamente in via incidentale e con criteri di occasionalità; 5) all’impianto non potrà essere apportata alcuna modifica e non potrà essere aggiunta alcuna ulteriore apparecchiatura al sistema da installare, se non in conformità al dettato dell’art. 4 della L. n. 300/1970 e previa relativa comunicazione alla DPL; 6) le immagini registrate non potranno in nessun caso essere utilizzate per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori, né per l’adozione di provvedimenti disciplinari; 7) in occasione di ciascun accesso alle immagini (che di norma dovrebbe avvenire solo nelle ipotesi di verificazione di atti criminosi o di eventi dannosi), l’azienda dovrà darne tempestiva informazione ai lavoratori occupati; 8 ) i lavoratori potranno verificare periodicamente il corretto utilizzo dell’impianto. Restano, tuttavia, alcune questioni a cui la citata circolare del Ministero del Lavoro omette di dare risposta: - Cosa fare nei casi di esercizi commerciali diversi da quelli citati nella circolare? - Come si deve operare se in azienda non vi sono rappresentanze sindacali? - Può valere anche in altri contesti la “presunzione di ammissibilità” delle domande? Sicuramente le aziende dovranno prestare la massima attenzione in fase di presentazione della domanda e della relativa documentazione, valutando in modo corretto il proprio e specifico caso al fine di verificare se si possa rientrare in tali semplificazioni. Ricordiamo, infatti, che il Garante Privacy non è quasi mai permissivo in circostanze che prevedono l’utilizzo di sistemi potenzialmente invasivi e pericolosi per la riservatezza del lavoratore (e gli ultimi provvedimenti in materia lo dimostrano chiaramente). Ciò detto, il risultato è sempre lo stesso: ci troviamo di fronte al solito scontro tra semplificazione, da una parte, e imposizioni di rigorose misure di sicurezza, dall’altra.