Categorie
Privacy

Direttiva NIS 2

Il 10 giugno 2024, il Consiglio dei Ministri ha approvato preliminarmente lo schema per recepire la Direttiva NIS2, quale nuova normativa UE sulla cybersicurezza. La Direttiva, nota come Direttiva 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, mira a rafforzare le misure di protezione contro le minacce informatiche nell’Unione Europea, aggiornando significativamente la normativa esistente in materia di sicurezza cibernetica.

La Direttiva NIS 2 prevede l’applicazione, invece, sia alle organizzazioni pubbliche che private, ma distingue tra i fornitori che gestiscono servizi essenziali e quelli che gestiscono servizi importanti.

Fornitori di servizi essenziali: comprendono operatori che forniscono servizi di importanza vitale per il funzionamento della società e dell’economia ed essendo fondamentali per la resilienza complessiva del sistema Paese e, per esteso, dell’Unione Europea, tali operatori sono soggetti a requisiti di sicurezza più stringenti e rigorosi.

Tra questi vengono fatti rientrare:

  • società di produzione e distribuzione di energia;
  • servizi sanitari;
  • trasporti;
  • infrastrutture di comunicazione elettronica;
  • servizi bancari e finanziari;

Queste imprese devono rafforzare in modo significativo i propri sistemi di cybersecurity, poiché sono considerate “strategiche” per il funzionamento dei servizi essenziali dei paesi in cui operano e spesso anche per i paesi limitrofi.

Fornitori di servizi importanti: includono operatori che, sebbene siano attivi in settori essenziali per il benessere della società, non sono classificati come vitali per il mantenimento delle funzioni sociali ed economiche di base.

Tra questi vengono fatti rientrare:

  • società per la gestione dei rifiuti;
  • società per la produzione alimentare;
  • l’industria manifatturiera;
  • fornitori di servizi digitali che includono le piattaforme online tra cui l’e-commerce; i motori di ricerca; il cloud computing e la gestione dei servizi ICT.

Queste organizzazioni, pur non essendo a livello di rischio così elevato come i primi, dovranno garantire comunque alti standard di sicurezza informatica per proteggere, sia i dati dei propri utenti che quelli di clienti e fornitori con cui operano.

I fornitori di servizi digitali saranno particolarmente coinvolti in materia, in quanto dovranno notificare alle autorità competenti eventuali incidenti di sicurezza: entro 24 ore da un incidente reputato significativo deve essere inviato un “early warning” che serve a notificare all’autorità competente che l’incidente viene sospettato di essere il risultato di atti illegittimi o malevoli e può avere un impatto transfrontaliero. Entro le 72 ore dalla conoscenza dell’incidente deve essere prodotta, inoltre, un’analisi dettagliata dell’accaduto.

Alle aziende è richiesto, inoltre, di adottare una serie di pratiche di igiene informatica che devono includere il monitoraggio e l’aggiornamento costante dei sistemi per prevenire vulnerabilità; l’implementazione di politiche di gestione dei rischi dettagliate che prevedano l’identificazione, la valutazione e la mitigazione dei rischi informatici e l’uso di tecnologie di autenticazione a più fattori per garantire un elevato livello di sicurezza e protezione contro accessi non autorizzati.

COSA DEVONO FARE LE IMPRESE PER ADEGUARSI ALLA DIRETTIVA NIS 2

L’art. 21 par. 1 della Direttiva stabilisce che i soggetti obbligati dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti utilizzate nel corso dell’attività o nella fornitura dei servizi.

Le aziende dovranno prima di tutto identificare se rientra fra le tipologie di soggetti essenziali o importanti e dopo aver individuato la categoria, è tenuta ad adottare una strategia risk-based.

Stabilito se rientra fra i soggetti obbligati, l’azienda dovrà definire, tramite una gap analisys, quali saranno le misure tecniche, operative e organizzative “adeguate”, con riferimento diretto al principio di “Accountability” del G.D.P.R., per proteggere i sistemi informatici e le reti adottando un tipo di approccio multirischio.

La Direttiva NIS2 chiarisce la definizione di “incidente significativo”: affinché un data breach possa essere considerato tale, è necessario valutare se l’incidente ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato, oppure se ha avuto o può avere ripercussioni su altre persone fisiche o giuridiche, provocando perdite materiali o immateriali considerevoli. In caso di incidente significativo, l’azienda deve rispettare un iter di notifica alle autorità competenti organizzato in più fasi.

L’Iter prevede la trasmissione di:

i) un preallarme entro 24 ore da quando si è venuti a conoscenza dell’incidente;

ii) una notifica entro 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;

iii) una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo sarà dettagliato dal legislatore dello stato membro in fase di recepimento.

La Direttiva specifica anche la necessità di adottare un Data Breach Recovery Plan che, tra le altre, dovrebbe prevedere le seguenti misure organizzative:

a) nomina di un responsabile della sicurezza informatica;

b) la definizione dei ruoli e delle responsabilità del personale coinvolto nella gestione degli incidenti;

c) la definizione delle procedure da seguire in caso di Data Breach.

Le autorità competenti sono incaricate di monitorare affinché i singoli Stati membri adottino le misure necessarie per garantire il rispetto della Direttiva NIS 2 e i singoli Stati Membri devono vigilare sull’osservanza della Direttiva stessa.

In caso di violazione comprovata, le autorità hanno la possibilità di imporre sanzioni amministrative pecuniarie.

Le misure di vigilanza a cui possono essere sottoposti i soggetti essenziali comprendono audit, ispezioni, richieste di informazioni, scansioni di sicurezza e richieste di dati che dimostrino l’attuazione delle politiche di cybersecurity. Per quanto riguarda le sanzioni amministrative pecuniarie, la NIS 2 distingue tra entità essenziali e importanti:

  • per i soggetti essenziali, la Direttiva impone agli Stati membri di prevedere sanzioni amministrative pecuniarie con un importo massimo di almeno 10 milioni di euro o del 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore;
  • per le entità importanti, la NIS 2 prevede una sanzione pecuniaria massima di almeno 7 milioni di euro o dell’1,4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.

IN QUALI SANZIONI INCORRE SE L’AZIENDA NON SI ADEGUA

La Direttiva NIS è stata creata con l’obiettivo di migliorare la sicurezza informatica nell’Unione Europea e le sanzioni possono essere di natura amministrativa o penale.

Un elenco preciso delle sanzioni non c’è nel testo della Direttiva NIS2, in quanto lascia agli Stati Membri la facoltà di legiferare in materia adattando il regime sanzionatorio alla propria legislazione.

La Direttiva prevede comunque dei limiti massimi in funzione del fatto che un operatore sia qualificato come essenziale o come importante:

  • gli operatori essenziali potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 Milioni di Euro o il 2% del totale del fatturato mondiale globale;
  • gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7 Milioni di Euro o a fino ad un massimo del 1,4 % del totale del fatturato mondiale globale.

Per quanto riguarda le sanzioni penali si rimanda tutto alla specifica legislazione che ogni Stato Membro produrrà in materia, tenendo presente che, in Italia, è prevista la reclusione fino a 7 anni per violazioni gravi della privacy.

Una importante novità della NIS2 è l’obbligo per l’organizzazione colpita di pubblicare sui propri canali la violazione subita. È importante essere consapevoli che il danno globale che può subire un’azienda in caso di incidente grave non è solo dovuto alle sanzioni. Spesso, un evento disastroso comporta anche danni reputazionali e perdite finanziarie, oltre a dover affrontare costi per risarcire i danni causati agli eventuali interessati che hanno subito perdite.
Categorie
Privacy

Metadati

Il Garante privacy, con il Provvedimento del 21 dicembre 2023, n.642, aveva iniziato a fornire delle Linee Guida per i Datori di Lavoro pubblici e privati, sulla gestione della posta elettronica dei dipendenti e collaboratori.

Con il nuovo Provvedimento del 6 giugno 2024, n. 364, il Garante afferma che i metadati “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate” e che tecnicamente si tratta di informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni client.

I metadati includono perciò: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.

Si tratta di dati registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla (manifestazione di) volontà dell’utente, e non vanno in alcun modo confusi con il contenuto del corpus del messaggio di testo/e-mail.

Sempre il Garante spiega come questi metadati siano in grado di formare il cosiddetto “envelope”, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Il Garante conclude dicendo come dette informazioni “ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente”.

Le informazioni dell’envelope sono inseparabili dall’email di cui ne costituiscono parte integrante, ma rimangono sotto il controllo esclusivo dell’utente, sia esso il mittente o il destinatario dei messaggi.

Circa l’applicabilità del comma II dell’art. 4 della L. n. 300/1970 o Statuto dei Lavoratori, la raccolta e conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è consentita per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari.

Dovendo assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e, quindi, sempre nell’ambito della stessa finalità, l’eventuale data retention per un tempo ancora più ampio è possibile, ma solo in presenza di “particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability, […] le specificità della realtà tecnica e organizzativa del titolare” e spetta al titolare, in caso di un’estensione ulteriore di 48 ore, “adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.

Il Garante conclude che la raccolta e la conservazione generalizzata dei metadati dei log di posta elettronica per un periodo di tempo prolungato, anche se motivata dalla necessità di garantire la sicurezza informatica e tutelare l’integrità del patrimonio del datore di lavoro, si configura come un controllo a distanza indiretto dell’attività dei lavoratori. Questo tipo di controllo richiede senza dubbio l’adozione delle garanzie previste dall’art. 4, comma I, dello Statuto dei Lavoratori.

Nel caso di privacy by design e by default, si ritiene che il datore di lavoro/titolare del trattamento debba accertarsi che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specialmente in ambito lavorativo. Ad esempio, ciò potrebbe comportare la necessità di adeguare i tempi di conservazione dei dati o di chiedere al fornitore del servizio di anonimizzare i metadati raccolti, nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.

La stessa dinamica si deve applicare anche ai produttori dei servizi e delle applicazioni, i quali devono tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte. Ne consegue che anche i fornitori devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità al GDPR.

In tale prospettiva, saranno i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a dover tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte.

I datori di lavoro pubblici e privati dovranno adottare tutte le misure necessarie per conformare i propri trattamenti. In particolare, spetterà al titolare del trattamento verificare con la dovuta diligenza che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano all’utente/cliente, ossia al datore di lavoro, di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola. Questo deve essere fatto tenendo conto del periodo massimo di conservazione previsto per i metadati.
Categorie
Privacy

Concorsi della P.A. – online solo le graduatorie definitive dei vincitori.

Con la Newsletter del giorno 06 Giugno 2024, il Garante Privacy si è espresso in materia di Concorsi della P.A. sancendo che questa sia autorizzata a pubblicare online solo le graduatorie definitive dei vincitori.

Tale decisione è stata adottata a seguito di un reclamo presentato da un partecipante ad un concorso pubblico, a 1858 posti, di consulente protezione sociale nei ruoli del personale dell’INPS.

Il reclamante aveva lamentato la pubblicazione sul sito web dell’Istituto di numerosi atti e documenti, tra cui gli elenchi degli ammessi e non ammessi alla prova scritta e prova orale e l’elenco dei partecipanti, contenente la valutazione dei titoli da parte della Commissione di concorso, con l’indicazione del punteggio attribuito a ciascun candidato. Tali documenti sarebbero poi finiti anche sui social network ad opera di terzi.

Il Garante è intervenuto ricordando che la disciplina della protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, G.D.P.R.) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”. Per tale motivo, pubblicare sul web gli esiti delle prove intermedie o i dati personali dei concorrenti non vincitori o non ammessi ad un concorso è una violazione della privacy.

In conclusione, quando svolgono procedure concorsuali, le amministrazioni devono trattare i dati personali dei partecipanti in conformità con le normative vigenti, il che significa che non è consentito pubblicare online dati dei partecipanti non previsti dalla legge. Non sono ammessi livelli di tutela della privacy differenziati, né in base al territorio né tra diverse amministrazioni, soprattutto quando il legislatore ha già stabilito regole uniformi a livello nazionale.
Categorie
Privacy Senza categoria

Nuovo accordo sul trasferimento dei dati verso gli Stati Uniti “EU-US Data Privacy Framework” –

Siti Web che utilizzano Google Analytics

Con la pubblicazione della nuova decisione di adeguatezza del 10 luglio 2023 la Commissione Europea ha ufficialmente approvato il nuovo accordo sul trasferimento dei dati verso gli Stati Uniti “EU-US Data Privacy Framework”.

Con tale accordo è stata riconosciuta la sussistenza di sufficienti garanzie per la protezione dei dati personali dei cittadini dell’UE trattati nel territorio statunitense, nonché tutele legali che insieme ai nuovi parametri sono in grado di limitare l’invasivo operato delle agenzie di intelligence Usa.

Anche se si tratta di una buona notizia per le aziende che per svolgere le loro attività necessitano di poter trasferire lecitamente dati personali negli Usa, non è ancora chiaro se questa nuova decisione di adeguatezza potrà reggere.

Infatti, a maggio 2023, lo stesso Parlamento Europeo aveva ritenuto che le misure Usa fossero insufficienti per garantire la protezione dei dati degli europei invitando la Commissione Ue a riaprire i negoziati. Inoltre appare altamente probabile che venga proposto ricorso alla Corte di Giustizia dell’Ue da parte dell’organizzazione fondata dall’attivista Max Schrems, noto per le due sentenze della suprema Corte europea che portano il suo cognome, sentenze che, a suo tempo, avevano già invalidato i due precedenti accordi che regolavano il trasferimento dei dati verso gli Usa (prima il Safe Harbor e poi il Privacy Shield).
Categorie
Privacy 231 ODV

Whistleblowing e Valutazione d’Impatto (DPIA) – Modelli Organizzativi ex D.Lgs 231/2001 e Privacy

In data 15 marzo 2023 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 24/2023 (Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali).

Tale normativa allarga il perimetro di applicazione della disciplina in materia di whistleblowing (in precedenza limitato alle sole imprese dotate di modello organizzativo, ai sensi del D.lgs. 231/2001) ed introduce le c.d. “segnalazioni esterne”. L’ANAC, Autorità Nazionale Anticorruzione, diventa l’unico soggetto competente a valutare tali segnalazioni e l’eventuale applicazione delle sanzioni amministrative, sia per quanto riguarda il settore pubblico che per il settore privato.

Tra le varie previsioni introdotte da tale normativa, in tema di tutela dei dati personali (Privacy), è stato previsto l’obbligo, a carico dei soggetti che devono predisporre canali di segnalazioni interni a disposizione dei whistleblower, di dar corso ad una valutazione d’impatto ai sensi dell’art. 35 del Regolamento 2016/679 (GDPR).

Tra i soggetti obbligati ad applicare tale Decreto Legislativo figurano, tra gli altri, le imprese private:

  • che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • che rientrano nell’ambito di applicazione degli atti dell’Unione Europea, soprattutto in materia di protezione del risparmio, anche se nell’ultimo anno non hanno raggiunto questa media di lavoratori subordinati;
  • che hanno adottato Modelli di organizzazione ai sensi del D.Lgs. n. 231/2001 e che hanno nominato un Organismo di Vigilanza (O.d.V.);

A questi si aggiungono i soggetti del settore pubblico ed altri soggetti previsti all’articolo 1 del D.Lgs. 24/2023.

Le disposizioni del Decreto Legislativo n.24/2023 avranno effetto:

  • a decorrere dal 15 luglio 2023 per tutti i soggetti, con la seguente eccezione di seguito riportata;
  • a decorrere dal 17 dicembre 2023 (obbligo di istituzione del canale di segnalazione interna) per i soggetti del settore privato che abbiano impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249.

Si allega alla presente uno schema riepilogativo dei principali adempimenti.

DOCUMENTI DI SENTESI DEI PRINCIPALI ADEMPIMENTI EX D.LVO 24/2023

Adempimenti principali:

  • individuare e valutare idonee soluzioni organizzative mediante la definizione della governance del processo di gestione delle segnalazioni,
  • affidare la gestione del canale di segnalazione a una persona o a un ufficio interno autonomo con personale formato per la gestione del canale di segnalazione, ovvero ad un soggetto esterno, anch’esso autonomo e con personale adeguatamente formato;
  • garantire al whistleblower la trasparenza del processo;
  •  svolgere corsi di formazione periodica in materia di whistleblowing;
  • definire le modalità operative in cui si articola il processo di gestione delle segnalazioni;
  • regolamentare il processo di analisi e gestione delle segnalazioni ricevute;
  • implementare un canale interno per la gestione delle segnalazioni e stabilire idonee modalità di tutela del segnalante, quali misure tecniche che garantiscano la riservatezza della identità del whistleblower, delle persone coinvolte, nonché del contenuto della segnalazione (ad. es. con sistemi di pseudonimizzazione);
  • implementare procedure e policy ad hoc che permettano la gestione anche delle segnalazioni pervenute mediante canali diversi da quello informatizzato (es. incontri in presenza, a mezzo del telefono);
  • aggiornare il registro dei trattamenti procedendo con l’analisi e l’individuazione delle misure previste dal GDPR (Privacy);
  • effettuare la Valutazione d’Impatto (DPIA) ex art. 35 del GDPR;
  • prevedere nelle elaborande procedure che venga dato riscontro alla segnalazione entro il termine di tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
  • fornire contestualmente a tutti gli interessati la informativa ex art. 13 GDPR in materia di protezione dei dati personali.

Adempimenti principali in materia di trasparenza:

  • condividere informazioni chiare ed accessibili in merito alle procedure, al canale individuato e ai presupposti per procedere con la segnalazione interna;
  • condividere informazioni chiare ed accessibili in merito alle procedure e ai presupposti per effettuare segnalazioni esterne;
  • assicurarsi che dette informazioni siano rese facilmente visibili nei luoghi di lavoro, nonché accessibili anche ai soggetti legali all’azienda che però non frequentano abitualmente il luogo di lavoro;
  • garantire che dette informazioni vengano pubblicate nel sito web dell’azienda nel caso in cui la stessa ne possieda uno;
  •  comunicare al segnalante la presa in carico della segnalazione, mediante “avviso di ricevimento” da rilasciare entro sette giorni dalla ricezione;

Sanzioni previste:

  •  fermi restando gli altri profili di responsabilità, l’ANAC può comminare sanzioni amministrative pecuniarie fino a euro 50.000, nei seguenti cari:
  • non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute,
  • non sono stati istituiti canali di segnalazione,
  • non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni,
  • l’adozione di tali procedure non è conforme a quelle previste dal decreto,
  • la segnalazione è stata ostacolata o vi è stato un tentativo in tal senso;
  • è stato violato l’obbligo di riservatezza.
  • sono state commesse ritorsioni.
Categorie
Privacy Sicurezza

Rientro al lavoro: modalità di gestione dei casi e dei contatti stretti di caso COVID-19

in data 31.12.2022, è stata emanata la Circolare del Ministero della Salute n.51961.

Tale Circolare riduce la durata dell’isolamento in caso di malattia semplificando le modalità di conclusione e modifica le modalità di autosorveglianza, in caso di contatti stretti con un soggetto confermato positivo al Covid 19.

Più nel dettaglio,

l’isolamento di 5 giorni è previsto:

  • per le persone risultate positive ad un test diagnostico molecolare o antigenico per SARS- CoV-2 (purché senza sintomi da almeno 2 giorni); per terminare l’isolamento non è necessario effettuare alcun test antigenico o molecolare; l’isolamento potrà terminare anche prima dei 5 giorni se si rimane sempre asintomatici, ma in questo caso è necessario un test molecolare o antigenico negativo effettuato presso una struttura sanitaria o in farmacia;
  • per i soggetti che abbiano fatto ingresso in Italia dalla Repubblica Popolare Cinese nei sette giorni precedenti all’accertamento della positività, se asintomatici da almeno due giorni, ma per loro è necessario un test antigenico o molecolare negativo.

È obbligatorio, a termine dell’isolamento, l’uso di dispositivi di protezione delle vie respiratorie di tipo FFP2 fino al decimo giorno dall’inizio della sintomatologia o dal primo test positivo (nel caso degli asintomatici), ed è comunque raccomandato di evitare persone ad alto rischio e/o ambienti affollati. Queste precauzioni possono essere interrotte in caso di negatività a un test antigenico o molecolare.

L’autosorveglianza di 5 giorni è prevista:

  • –per coloro che hanno avuto contatti stretti con persone positive al COVID19; tali soggetti hanno l’obbligo di indossare i dispositivi di protezione delle vie respiratorie tipo FFP2 in ambienti chiusi e in occasioni di assembramento.

La circolare del Ministero della Salute regola anche l’isolamento e l’autosorveglianza per gli operatori sanitari.

Nuove regole per il rientro dei lavoratori dopo malattia da Covid 19

  • Non vi è più l’obbligo di avere un test negativo per uscire dall’isolamento per chi sia affetto da Covid 19 (cfr art. 7-quater L. 199 del 30 dicembre 2022 che ha modificato l’art. 4 del D.Lgs. n. 24/2022).
  • Per il rientro del lavoratore dopo il contagio da Covid 19 sono, pertanto, previsti 5 giorni di isolamento con rientro al lavoro senza test negativo, ma con autosorveglianza con mascherina FFP2[1].

[1] Tale modifica aggiorna anche la previsione contenuta nel Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2/COVID-19 negli ambienti di lavoro di data 30.06.2022che rinvia al D.Lgs n. 24/2022
Categorie
Privacy Privacy

Siti Web che utilizzano Google Analytics

La presente è rivolta a tutte le aziende che per i loro siti web utilizzano Google Analytics.

Come già noto ad alcuni di Voi, il 9 giugno 2022 è stato adottato dal Garante Privacy italiano un provvedimento sullo strumento “Google Analytics”.

Questo provvedimento, di fatto, dichiara l’utilizzo di Google Analytics illegittimo “di default” (ossia se utilizzato senza l’applicazione di misure supplementari – fondamentalmente tecniche ed organizzative – adeguate), in quanto trasferirebbe una serie di dati personali degli utenti che accedono ai siti web (tra cui l’indirizzo IP) a Google LCC negli Stati Uniti, pertanto ad un’azienda operante in un paese privo di una legislazione in linea con il GDPR (ricordo che una sentenza della Commissione Europea del 2020 aveva già dichiarato non conforme il “Privacy Shield” statunitense al GDPR europeo).

Tra le criticità legate al trasferimento dei dati negli USA tramite Google Analytics, vi è in particolare quella legata al fatto che alle autorità pubbliche americane sarebbe concesso di accedere ai dati personali degli utenti europei in assenza di idonee garanzie.

Il provvedimento del Garante italiano non è un caso isolato, ma si allinea a quelli di altre Authority europee (in particolare Garante Austriaco e francese) che si erano già espresse nei mesi scorsi sulla legittimità dell’utilizzo dei Google Analytics.

I rischi di un mancato intervento sono di diversa natura, e vanno dalla gestione di reclami degli interessati/utenti dei siti web del Gruppo, a sanzioni del Garante privacy a seguito di controlli a campione, a perdita di reputazione (i provvedimenti sanzionatori del Garante sono pubblici, e vengono riportati e/o commentati sui social o in testate giornalistiche anche online).

In un comunicato stampa di qualche giorno successivo rispetto al provvedimento sopra citato del 09.06.2022, il Garante ha concesso un termine di 90 giorni dalla pubblicazione del Provvedimento per conformarsi (quindi fino al 7 settembre 2022). Successivamente procederà a verifiche ispettive a campione presso i titolari del trattamento.

Pertanto, la soluzione da adottare per rendere compliance il sito web aziendale potrebbe essere la seguente:

a) ove presente, rimuovere immediatamente Google Analytics da tutti i siti web aziendali;

b) una volta rimosso, utilizzare un servizio di analytics di fornitori alternativi che operino in Europa e garantiscano la conservazione dei dati degli utenti in Europa;

c) provvedere con l’adeguamento delle policy sulla privacy (in particolare la parte relativa ai cookie) presenti sui siti web.

La Adriaflor srl rimane a disposizione per fornire consulenza anche in merito all’adozione del rimedio sopra indicato ovvero per fornire consulenza in merito all’adozione di rimedi alternativi (quindi vincolati all’applicazione di misure tecnico-organizzative supplementari).
Categorie
News Privacy

Novità in materia di Green Pass

Cervignano del Friuli, 25 novembre 2021

Oggetto: Novità in merito al Green Pass obbligatorio nei luoghi di lavoro.

La presente per comunicare che, con la Legge n. 165 del 19.11.2021, è stato convertito il Decreto Legge n. 127 del 21.09.2021, denominato “Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening”.

Con tale Legge di conversione

dal 21 novembre 2021

sono entrate in vigore rilevanti novità che vanno ad integrare le esistenti previsioni normative e che trovate di seguito suddivise tra settore pubblico e privato.

SETTORE PRIVATO

• Ai soggetti sottoposti alle verifiche da parte dei datori di lavoro, sono stati aggiunti anche i discenti.

• Si specifica che per i lavoratori in somministrazione la verifica del possesso della certificazione verde Covid-19 nonché delle ulteriori documentazioni previste dalla legge, compete all’utilizzatore; ed è onere del somministratore informare i lavoratori circa la sussistenza delle predette verifiche.

• È ora prevista la possibilità, al fine di semplificare e razionalizzare le verifiche, che i lavoratori, possano richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde Covid-19. I lavoratori che consegnano detta certificazione, per tutta la durata della relativa validità di questa, sono esonerati dai controlli da parte dei rispettivi datori di lavoro.

• E’ previsto che le imprese con meno di quindici dipendenti, dopo il quinto giorno di assenza ingiustificata dovuta al mancato possesso di certificazione verde Covid-19 nonché delle ulteriori documentazioni previste dalla legge, il datore di lavoro possa sospendere il lavoratore per la durata corrispondente a quella del contratto di lavoro stipulato per la sostituzione, comunque per un periodo non superiore a dieci giorni lavorativi, rinnovabili fino al 31 dicembre 2021, senza conseguenze disciplinari e con diritto alla conservazione del posto di lavoro per il lavoratore sospeso.

• La scadenza della validità della certificazione verde Covid-19 in corso di prestazione lavorativa non dà luogo alle sanzioni previste dalla legge. In tali casi, la permanenza del lavoratore sul luogo di lavoro è consentita esclusivamente per il tempo necessario a portare a termine il turno di lavoro.

• Al fine di garantire il più elevato livello di copertura vaccinale e al fine di proteggere, in modo specifico, i soggetti a rischio, fino alla data di cessazione dello stato di emergenza, i datori di lavoro pubblici e privati possono promuovere campagne di informazione e sensibilizzazione sulla necessità e sull’importanza della vaccinazione anti-SARS-CoV-2. Le campagne di informazione sono dirette alla tutela della salute dei dipendenti e al contrasto e al contenimento della diffusione dell’infezione da SARS-CoV-2 negli ambienti di lavoro.
Per tale finalità i datori di lavoro si avvalgono del medico competente nominato ai sensi dell’articolo 18, comma 1, lettera a), del decreto legislativo 9 aprile 2008, n. 81.