DELIBERA 30 ottobre 2018: whistleblowing

AUTORITA’ NAZIONALE ANTICORRUZIONE

DELIBERA 30 ottobre 2018

Regolamento sull’esercizio del potere sanzionatorio in materia di tutela degli autori di segnalazioni di reati o irregolarita’ di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro di cui all’art. 54-bis del decreto legislativo n. 165/2001 (c.d. whistleblowing). (Delibera n. 1033). (18A07363) (GU Serie Generale n.269 del 19-11-2018)

 

In Gazzetta Ufficiale la DELIBERA 30 ottobre 2018 dell’Autorità Nazionale Anticorruzione in materia di whistleblowing.

AUTORITA’ NAZIONALE ANTICORRUZIONE
DELIBERA 30 ottobre 2018

Regolamento sull’esercizio del potere sanzionatorio in materia di
tutela degli autori di segnalazioni di reati o irregolarita’ di cui
siano venuti a conoscenza nell’ambito di un rapporto di lavoro di cui
all’art. 54-bis del decreto legislativo n. 165/2001 (c.d.
whistleblowing). (Delibera n. 1033). (18A07363)
(GU n.269 del 19-11-2018)

Capo I
Disposizioni generali

IL CONSIGLIO DELL’AUTORITA’
NAZIONALE ANTICORRUZIONE

Visto l’art. 13 del decreto legislativo 27 ottobre 2009, n. 150,
come modificato dal decreto legislativo 25 maggio 2017, n. 74;
Vista la legge 6 novembre 2012, n. 190, e successive modificazioni
ed integrazioni;
Visti gli articoli 19, comma 5, e 31 del decreto-legge 24 giugno
2014, n. 90, convertito con modificazioni dalla legge 11 agosto 2014,
n. 114;
Visto l’art. 54-bis del decreto legislativo 30 marzo 2001, n. 165,
come modificato dall’art. 1 della legge 30 novembre 2017, n. 179 e,
in particolare, il comma 6;
Vista la legge 24 novembre 1981, n. 689;
Visto l’art. 34-bis del decreto-legge 18 ottobre 2012, n. 179,
convertito in legge 17 dicembre 2012, n. 221, come modificato dal
decreto-legge 31 agosto 2013, n. 101, convertito con modificazioni
dalla legge 30 ottobre 2013, n. 125;
Visto il «Regolamento concernente l’accesso ai documenti formati o
detenuti dall’Autorita’ ai sensi della legge 7 agosto 1990, n. 241»;
Visto il decreto del Presidente del Consiglio dei ministri 1°
febbraio 2016 con il quale e’ stato approvato il Piano di riordino
dell’Autorita’ nazionale anticorruzione;
Visti il «Regolamento sull’esercizio dell’attivita’ di vigilanza in
materia di contratti pubblici», il «Regolamento sull’esercizio
dell’attivita’ di vigilanza in materia di prevenzione della
corruzione», il «Regolamento sull’esercizio dell’attivita’ di
vigilanza sul rispetto degli obblighi di pubblicazione di cui al
decreto legislativo 14 marzo 2013, n. 33», il «Regolamento
sull’esercizio dell’attivita’ di vigilanza in materia di
inconferibilita’ e incompatibilita’ di incarichi nonche’ sul rispetto
delle regole di comportamento dei pubblici funzionari»;
Vista la «Direttiva annuale sullo svolgimento della funzione di
vigilanza» dell’Autorita’;
Viste le «Linee guida in materia di tutela del dipendente pubblico
che segnala illeciti (c.d. whistleblower)» dell’Autorita’;
Vista la delibera n. 1196 del 23 novembre 2016 recante il
«Riassetto organizzativo dell’Autorita’ nazionale anticorruzione a
seguito dell’approvazione del Piano di riordino e delle nuove
funzioni attribuite in materia di contratti pubblici e di prevenzione
della corruzione e della trasparenza, e individuazione dei centri di
responsabilita’ in base alla missione istituzionale dell’Autorita’»,
come modificata dalla delibera n. 1 del 10 gennaio 2018;
Tenuto conto della procedura di consultazione pubblica terminata il
30 settembre 2018;

E m a n a

il seguente regolamento:

Art. 1 – Definizioni

Ai fini del presente regolamento, si intende per:

a) «art. 54-bis», l’art. 54-bis del decreto legislativo 30 marzo
2001, n. 165, come modificato dall’art. 1 della legge 30 novembre
2017, n. 179;

b) «Autorita’», l’Autorita’ nazionale anticorruzione;

c) «Presidente», il Presidente dell’Autorita’;

d) «Consiglio», il Consiglio dell’Autorita’;

e) «ufficio», l’Ufficio per la vigilanza sulle segnalazioni
pervenute all’Autorita’, ai sensi dell’art. 54-bis, competente per il
procedimento sanzionatorio di cui al presente regolamento;

f) «dirigente», il dirigente dell’ufficio;

g) «responsabile della prevenzione della corruzione e della
trasparenza (RPCT)», il soggetto individuato ai sensi dell’art. 1,
comma 7, della legge 6 novembre 2012, n. 190, come modificato
dall’art. 41 del decreto legislativo 25 maggio 2016, n. 97;

h) «comunicazione», la comunicazione di violazioni di cui al
comma 6, primo periodo, dell’art. 54-bis fatta in ogni caso
all’Autorita’, ai sensi del comma 1, penultimo periodo, dell’art.
54-bis, da parte dell’interessato o delle organizzazioni sindacali
maggiormente rappresentative nell’amministrazione nella quale si
ritiene siano state commesse tali violazioni;

i) «segnalazione», la segnalazione di violazioni di cui al comma
6, secondo e terzo periodo, dell’art. 54-bis all’Autorita’, da parte
dei soggetti di cui al comma 2, dell’art. 54-bis;

j) «misure discriminatorie», tutte le misure individuate all’art.
54-bis, comma 1, primo periodo, adottate in conseguenza della
segnalazione di reati o irregolarita’ di cui allo stesso comma 1,
aventi effetti negativi, diretti o indiretti, sulle condizioni di
lavoro del segnalante come definito al comma 2, dell’art. 54-bis;

k) «sanzioni», le sanzioni amministrative pecuniarie individuate
nel loro ammontare minimo e massimo dall’art. 54-bis, comma 6.

Art. 2 – Oggetto

1. Il presente regolamento, adottato nell’ambito del potere
regolamentare riconosciuto all’Autorita’, disciplina il procedimento
per l’irrogazione delle sanzioni amministrative pecuniarie di cui
all’art. 54-bis, comma 6.

Art. 3 – Attivita’ sanzionatoria d’ufficio, su comunicazione e su segnalazione

1. L’Autorita’ esercita il potere sanzionatorio:

a) d’ufficio, qualora accerti una o piu’ delle violazioni di cui
all’art. 54-bis, comma 6, nell’ambito di attivita’ espletate secondo
la direttiva annuale sullo svolgimento della funzione di vigilanza
dell’Autorita’;

b) su comunicazione di cui all’art. 1, comma 1, lettera h);

c) su segnalazione di cui all’art. 1, comma 1, lettera i).

2. Le comunicazioni e le segnalazioni sono presentate, di norma,
attraverso il modulo della piattaforma informatica disponibile sul
sito istituzionale dell’Autorita’, che utilizza strumenti di
crittografia e garantisce la riservatezza dell’identita’ del
segnalante e del contenuto della segnalazione nonche’ della relativa
documentazione.

Art. 4 – Responsabile del procedimento

1. Responsabile del procedimento sanzionatorio e’ il dirigente.

2. Il responsabile del procedimento, esaminate le comunicazioni e
le segnalazioni e attribuito alle stesse l’ordine di priorita’ di cui
all’art. 5, puo’ individuare uno o piu’ funzionari cui affidare lo
svolgimento dell’istruttoria.

Art. 5 – Ordine di priorita’ delle comunicazioni e delle segnalazioni

1. Le comunicazioni e le segnalazioni sono trattate secondo il
seguente ordine di priorita’:

a) nei casi di cui al comma 6, primo periodo, art. 54-bis, si ha
riguardo alla gravita’ delle misure discriminatorie e all’eventuale
danno alla salute nonche’ alla reiterata adozione di misure
discriminatorie e alla adozione di piu’ misure discriminatorie
oltreche’ alla partecipazione di diversi soggetti all’adozione di
misure discriminatorie;

b) nei casi di cui al comma 6, secondo periodo, art. 54-bis, si
ha riguardo all’assenza di procedure per l’inoltro e la gestione
delle segnalazioni nonche’ all’adozione di procedure non conformi
alle linee guida dell’Autorita’, in particolare, riguardo alla
promozione, ai sensi dell’art 54-bis, comma 5, ultimo periodo, del
ricorso a strumenti di crittografia per garantire la riservatezza
dell’identita’ del segnalante e del contenuto della segnalazione
nonche’ della relativa documentazione;

c) nei casi di cui al comma 6, terzo periodo, art. 54-bis, si ha
riguardo alla gravita’ degli illeciti segnalati al RPCT, all’ampiezza
dell’intervallo temporale della inerzia del RPCT e al numero degli
illeciti segnalati al RPCT.

Art. 6 – Provvedimenti conclusivi del procedimento

1. Il procedimento si conclude con l’adozione di uno o piu’ dei
seguenti provvedimenti:

a) di archiviazione, qualora sia stata riscontrata l’assenza dei
presupposti di fatto o di diritto per la comminazione della sanzione
amministrativa pecuniaria;

b) di irrogazione della sanzione amministrativa pecuniaria tra il
minimo ed il massimo edittale, tenuto conto del criterio della
dimensione dell’amministrazione o dell’ente cui si riferisce la
comunicazione o la segnalazione di cui all’art. 54-bis, comma 6 e dei
criteri di cui all’art. 11 della legge n. 689/1981.

Capo II
Procedimento sanzionatorio

Art. 7 – Avvio del procedimento

1. La comunicazione di avvio del procedimento e’ effettuata dal
responsabile del procedimento mediante lettera di contestazione degli
addebiti.

2. La comunicazione e’ inviata ai soggetti destinatari del
provvedimento finale.

3. Nella comunicazione di avvio di cui al comma 1 sono indicati:

a) l’oggetto del procedimento;

b) la contestazione della violazione, con l’indicazione delle
disposizioni violate, delle relative norme sanzionatorie e delle
sanzioni comminabili all’esito del procedimento, nonche’ la menzione
della possibilita’ di effettuare, entro sessanta giorni, il pagamento
della sanzione in misura ridotta, ai sensi dell’art. 16 della legge
n. 689/1981, indicandone le modalita’;

c) il responsabile del procedimento;

d) l’ufficio presso cui si puo’ accedere agli atti;

e) la facolta’ di presentare eventuali memorie, deduzioni scritte
e documenti nonche’ la richiesta di audizione presso l’ufficio e il
termine entro cui possono essere presentati;

f) la facolta’ per i soggetti che abbiano esercitato una delle
facolta’ di cui alla lettera precedente di richiedere l’audizione al
Consiglio e il termine entro cui essa puo’ essere richiesta;

g) la casella di posta elettronica certificata (PEC), presso la
quale effettuare le comunicazioni relative al procedimento, e
l’invito a comunicare, con il primo atto utile, l’eventuale altra
PEC, presso la quale il soggetto interessato intende ricevere le
comunicazioni e le notificazioni relative al procedimento;

h) il termine di conclusione del procedimento.

4. Il termine per la comunicazione di avvio del procedimento,
decorrente dall’acquisizione della notizia della violazione di cui
all’art. 54-bis, comma 6, o della comunicazione o della segnalazione,
e’, salve specifiche esigenze del procedimento, di novanta giorni.

5. Il termine di cui al precedente comma puo’ essere prorogato in
presenza di particolari e motivate esigenze istruttorie, anche in
caso di estensione soggettiva od oggettiva del procedimento. Il
responsabile del procedimento comunica la proroga ai soggetti di cui
al comma 2 e ne informa i soggetti di cui al comma 8.

6. In ragione di un rilevante numero di destinatari la
comunicazione personale di cui al comma 2 puo’ essere sostituita da
modalita’ di volta in volta stabilite dall’Autorita’, nel rispetto
della vigente normativa in materia di protezione dei dati personali.

7. Il responsabile del procedimento invia al Consiglio, con cadenza
bimestrale, l’elenco dei procedimenti avviati ai sensi del presente
articolo.

8. Il responsabile del procedimento informa dell’avvio del
procedimento sanzionatorio i soggetti che hanno effettuato le
comunicazioni o le segnalazioni.

Art. 8 – Istruttoria

1. L’Ufficio, ricevute le deduzioni e i documenti dei soggetti cui
e’ stato comunicato l’avvio del procedimento, o scaduto il termine
per la loro presentazione, procede all’esame degli atti del
procedimento sanzionatorio.

2. Il responsabile del procedimento puo’ richiedere ulteriori
informazioni, chiarimenti, atti e documenti ai soggetti cui e’ stato
comunicato l’avvio del procedimento, anche avvalendosi dell’ufficio
ispettivo dell’Autorita’, della Guardia di finanza, ovvero
dell’Ispettorato per la funzione pubblica del Dipartimento della
funzione pubblica della Presidenza del Consiglio dei ministri.

3. Le richieste di cui al precedente comma sono formulate per
iscritto e indicano:

a) i fatti e le circostanze in ordine ai quali si effettuano tali
richieste;
b) il termine per l’adempimento che, tenuto conto dell’urgenza,
della quantita’ e qualita’ delle informazioni e dei documenti
richiesti, e’ non inferiore a dieci giorni e non superiore a trenta
giorni.

4. I documenti di cui e’ richiesta l’esibizione sono forniti,
preferibilmente, su supporto informatico, con allegata dichiarazione
di conformita’ all’originale. In alternativa, possono essere forniti
in originale o copia conforme.

5. Le richieste di informazioni e di esibizione di documenti
possono essere formulate anche oralmente nel corso di audizioni o
ispezioni, rendendole note all’interessato e verbalizzando le
medesime.

6. Il responsabile del procedimento, ove ritenuto necessario, puo’
convocare in audizione, anche su loro richiesta, i soggetti che hanno
effettuato le comunicazioni o le segnalazioni.

7. I soggetti cui e’ stata data comunicazione di avvio del
procedimento esercitano il proprio diritto di difesa, in merito agli
addebiti contestati nella fase istruttoria, mediante:
a) presentazione di memorie, deduzioni scritte e documenti;
b) accesso agli atti;
c) audizione innanzi all’ufficio.

8. Le memorie, le deduzioni scritte e i documenti sono inviati
all’ufficio entro il termine di trenta giorni dalla notifica della
lettera di contestazione degli addebiti. Tale termine puo’ essere
prorogato, per una sola volta e per un periodo non superiore a trenta
giorni, a seguito di motivata richiesta dei soggetti interessati.

9. L’accesso agli atti del procedimento avviene mediante istanza
all’ufficio nel rispetto delle modalita’ e dei termini previsti dal
«Regolamento concernente l’accesso ai documenti formati o detenuti
dall’Autorita’ ai sensi della legge 7 agosto 1990, n. 241». Sono
sottratte all’accesso le comunicazioni e le segnalazioni, ai sensi
dell’art. 54-bis, comma 4.

10. L’audizione puo’ essere richiesta entro il termine di dieci
giorni dalla data di ricezione della comunicazione di avvio del
procedimento. Tale richiesta contiene l’oggetto e la descrizione
sintetica, ancorche’ precisa, chiara e puntuale, della esposizione
orale nonche’ le ragioni per le quali sia ritenuta necessaria. Ove
accolta, il responsabile del procedimento comunica agli istanti la
data e il luogo in cui sara’ svolta l’audizione. Tale data, anche a
fronte di istanze di differimento reiterate, puo’ essere differita,
su richiesta motivata, per un periodo comunque non superiore a trenta
giorni.

11. Nel corso delle audizioni i soggetti convocati possono farsi
assistere dal proprio legale di fiducia.

12. Delle audizioni e’ redatto processo verbale, contenente le
principali dichiarazioni delle parti, sottoscritto dai soggetti
partecipanti. Del processo verbale e’ consegnata copia ai soggetti
partecipanti che ne facciano richiesta. Ai soli fini di supporto per
la verbalizzazione, puo’ essere disposta, a cura dell’Autorita’, la
registrazione magnetica e/o informatica delle audizioni.

Art. 9 – Conclusione del procedimento

1. Al termine dell’istruttoria, qualora non ricorrano i presupposti
per l’archiviazione, ai sensi dell’art. 6, comma 1, lettera a),
l’ufficio, entro centottanta giorni dalla data di avvio del
procedimento, comunica all’interessato che intende proporre al
Consiglio l’adozione del provvedimento sanzionatorio.

2. L’interessato, entro dieci giorni dalla comunicazione di cui al
precedente comma, puo’ presentare ulteriori memorie difensive, ovvero
chiedere l’audizione in Consiglio, in presenza di circostanze e fatti
nuovi rispetto a quanto accertato in sede istruttoria. La richiesta
di audizione puo’ essere accolta con disposizione del Presidente. Si
applica il comma 11 e, nelle parti compatibili, il comma 10 dell’art.
8.

3. Il Consiglio, tenuto conto delle memorie presentate e delle
risultanze dell’eventuale audizione, adotta il provvedimento
conclusivo.

4. Il provvedimento sanzionatorio indica gli elementi di fatto e di
diritto su cui si fonda la decisione, il termine per ricorrere e
l’autorita’ cui proporre ricorso nonche’ le modalita’ e il termine
entro il quale effettuare il pagamento della sanzione. Il
provvedimento viene notificato al responsabile dell’infrazione
contestata.

5. Nel caso di mancato pagamento della sanzione nel termine
indicato nel provvedimento sanzionatorio, l’ufficio competente
provvede all’iscrizione a ruolo delle somme dovute.

6. Il provvedimento di archiviazione indica gli elementi di fatto e
di diritto su cui si fonda la decisione. Il provvedimento viene
comunicato ai soggetti di cui al comma 2 dell’art. 7.

7. Il responsabile del procedimento comunica gli esiti del
procedimento ai soggetti che hanno effettuato la comunicazione o la
segnalazione.

Art. 10 – Procedimento sanzionatorio semplificato

1. Il procedimento e’ svolto in forma semplificata nei casi in cui:

a) nell’espletamento dell’attivita’ di vigilanza dell’Autorita’
venga riscontrata la mancanza delle procedure di ricezione e/o
gestione delle segnalazioni di cui all’art. 54-bis;
b) la segnalazione della mancanza delle procedure di ricezione
e/o gestione delle segnalazioni di cui all’art. 54-bis, e’ ritenuta
ragionevolmente fondata a seguito dello svolgimento dell’attivita’
preistruttoria dell’ufficio.

2. Nei casi di cui al comma 1, la comunicazione di avvio del
procedimento di cui all’art. 7, comma 1, contiene, altresi’, i
presupposti di fatto e le ragioni di diritto in relazione agli esiti
delle attivita’ svolte dall’Autorita’ che depongono per l’irrogazione
della sanzione.

3. Il presente procedimento e’ disciplinato dalle disposizioni dei
Capi I e III, e, ad esclusione delle disposizioni di cui ai commi 1 –
4, dell’art. 9 e delle disposizioni inerenti alla facolta’ di
richiedere audizione all’ufficio o al Consiglio, del Capo II.

4. Il dirigente, entro quarantacinque giorni, decorrenti dalla data
di ricevimento delle deduzioni e dei documenti da parte dei soggetti
cui e’ stata notificata la lettera di contestazione degli addebiti
ovvero scaduto il termine per la loro presentazione, trasmette al
Consiglio la proposta di adozione del provvedimento conclusivo.

5. Il Consiglio, tenuto conto delle eventuali memorie prodotte,
adotta il provvedimento conclusivo.

Art. 11 – Pubblicazione del provvedimento

1. Il provvedimento sanzionatorio e’ pubblicato sul sito
istituzionale dell’Autorita’ nella sezione dedicata alle segnalazioni
di cui all’art. 54-bis dopo la notizia dell’avvenuta notificazione al
soggetto interessato ovvero, nel caso di piu’ soggetti, dopo la
notizia dell’avvenuta ultima notificazione.

2. Il Consiglio puo’ altresi’ disporre la pubblicazione sul sito
istituzionale dell’amministrazione o dell’ente.

3. Il Consiglio, al fine di tutelare la riservatezza dell’identita’
del segnalante, puo’ disporre la pubblicazione del provvedimento in
forma anche parzialmente anonima ovvero l’esclusione della
pubblicazione.

Art. 12 – Comunicazioni relative al procedimento

1. Le comunicazioni e le notificazioni previste dal presente
regolamento sono effettuate secondo le seguenti modalita’:

a) mediante la piattaforma informatica di cui all’art. 3, comma
2;
b) mediante casella di posta elettronica certificata (PEC)
indicata all’Autorita’;
c) nelle altre forme previste dall’ordinamento vigente.

Capo III
Disposizioni finali

Art. 13 – Disposizioni relative ai procedimenti di vigilanza attivati sulla
base di una segnalazione di reati o irregolarita’ ai sensi dell’art. 54-bis

1. Nel caso di segnalazione di illeciti, ai sensi dell’art. 54-bis,
i procedimenti di vigilanza in materia di contratti pubblici di
lavori, servizi e forniture, di anticorruzione, di trasparenza e di
imparzialita’ dei funzionari pubblici sono affidati all’ufficio, che
svolge le attivita’ istruttorie, ai sensi dei rispettivi regolamenti
di vigilanza e delle linee guida adottate dall’Autorita’ in materia,
nel rispetto della tutela della riservatezza dell’identita’ del
segnalante come previsto dall’art. 54-bis, con la collaborazione
degli uffici di vigilanza interessati per materia. Il dirigente
informa il Consiglio dei casi nei quali richiede la collaborazione
degli uffici di vigilanza suddetti.

2. In casi di particolare complessita’, su richiesta del dirigente,
il Consiglio puo’ autorizzare la proroga dei termini previsti per il
compimento degli atti del procedimento di vigilanza.
3. I provvedimenti conclusivi dei procedimenti di cui al presente
articolo sono adottati dal Consiglio, su congiunta proposta del
dirigente e del dirigente dell’ufficio di vigilanza interessato.

Art. 14 – Entrata in vigore

1. Il presente regolamento entra in vigore il quindicesimo giorno
successivo alla pubblicazione nella Gazzetta ufficiale. Esso si
applica ai procedimenti sanzionatori avviati successivamente alla sua
entrata in vigore.

Approvato dal Consiglio dell’Autorita’ con delibera n. 1033
nell’adunanza del 30 ottobre 2018.

Roma, 30 ottobre 2018

Il Presidente: Cantone

 

Scarica la DELIBERA 30 ottobre 2018 completa: DELIBERA 30 OTTOBRE 2018 – ANTICORRUZIONE

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati

gazzetta ufficiale privacy

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 11 ottobre 2018 Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35, comma 4, del regolamento (UE) n. 2016/679. (Delibera n. 467). (18A07359)

E’ stata pubblicata sulla Gazzetta Ufficiale del 19 novembre 2018 la DELIBERA 11 ottobre 2018 riportante l’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35, comma 4, del regolamento (UE) n. 2016/679.

Di seguito il testo della delibera della Delibera.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 
 
  Nella riunione odierna,  in  presenza  del  dott.  Antonello  Soro, presidente, della dott.ssa Augusta Iannini,  vice  presidente,  della dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano, componenti, e del dott. Giuseppe Busia, segretario generale; 
  Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e  del Consiglio del 27 aprile 2016, relativo alla protezione delle  persone fisiche con riguardo al trattamento dei dati personali, nonche'  alla libera circolazione di tali dati e che abroga la  direttiva  95/46/CE (regolamento generale sulla protezione dei dati, di seguito «RGPD»); 
  Visto, in specie, l'art. 35, paragrafo 1, del RGPD, che  stabilisce l'obbligo per  il  titolare  di  effettuare,  prima  dell'inizio  del trattamento, una valutazione dell'impatto del  trattamento  medesimo, laddove quest'ultimo  possa  presentare  un  rischio  elevato  per  i diritti e le liberta' delle persone fisiche, «allorche' preved[a]  in particolare  l'uso  di  nuove  tecnologie,  considerati  la   natura, l'oggetto, il contesto e le finalita' [...]»; 
  Visto il paragrafo 3 del medesimo articolo,  che  individua  alcune ipotesi in cui e' richiesta la valutazione d'impatto; 
  Visto il paragrafo 10 del predetto art. 35, che individua invece le ipotesi in cui tale valutazione  non  e'  richiesta,  in  particolare «qualora il trattamento effettuato ai sensi dell'art. 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o  nel  diritto  dello Stato membro cui il titolare del trattamento  e'  soggetto  una  base giuridica,  tale  diritto  disciplini  il  trattamento  specifico   o l'insieme di trattamenti in questione, e sia  gia'  stata  effettuata una valutazione d'impatto sulla protezione dei  dati  nell'ambito  di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica [...], salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima  di  procedere  alle  attivita'  di trattamento»; 
  Considerato che l'art. 35, paragrafo 4, rimette alle  autorita'  di controllo nazionali il compito di  redigere  e  rendere  pubblico  un elenco delle tipologie di trattamenti soggetti al  requisito  di  una valutazione d'impatto e di comunicarlo al  Comitato  europeo  per  la protezione dei dati di cui all'art. 68 del RGPD; 
  Considerato che il  paragrafo  6  del  citato  art.  35  stabilisce l'applicazione del meccanismo di coerenza  di  cui  all'art.  63  del RGPD, da parte  della  singola  autorita'  di  controllo  competente, qualora l'elenco  comprenda  «attivita'  di  trattamento  finalizzate all'offerta di beni o servizi a interessati  o  al  monitoraggio  del loro comportamento in piu' stati membri, o attivita'  di  trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione»; 
  Viste le indicazioni contenute nei «considerando» numeri 71,  75  e 91 del RGPD; 
  Viste le «Linee guida in materia  di  valutazione  d'impatto  sulla protezione dei  dati  e  determinazione  della  possibilita'  che  il trattamento  "possa  presentare  un  rischio  elevato"  ai  fini  del regolamento (UE) n. 2016/679» del Gruppo di lavoro  art.  29  per  la protezione dei dati del 4 aprile 2017, come modificate e adottate  da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per  la protezione dei dati il 25 maggio 2018 (di seguito «WP 248, rev. 01»), che  hanno  individuato  i  seguenti  nove  criteri  da   tenere   in considerazione  ai  fini  dell'identificazione  dei  trattamenti  che possono  presentare  un   «rischio   elevato»:   1)   valutazione   o assegnazione di un punteggio, inclusiva di profilazione e previsione, in  particolare  in  considerazione  di   «aspetti   riguardanti   il rendimento professionale, la  situazione  economica,  la  salute,  le preferenze  o  gli  interessi   personali,   l'affidabilita'   o   il comportamento, l'ubicazione o gli spostamenti  dell'interessato»;  2) processo decisionale automatizzato che ha effetto giuridico o  incide in modo analogo significativamente  sulle  persone;  3)  monitoraggio sistematico degli  interessati;  4)  dati  sensibili  o  dati  aventi carattere altamente personale; 5) trattamento di dati su larga scala;
6) creazione di corrispondenze o combinazione di insiemi di dati;  7) dati  relativi  a  interessati  vulnerabili;  8)  uso  innovativo   o applicazione di nuove soluzioni  tecnologiche  od  organizzative;  9) quando  il  trattamento  in  se'  «impedisce  agli   interessati   di esercitare un  diritto  o  di  avvalersi  di  un  servizio  o  di  un contratto»); 
  Rilevato che il ricorrere di due o piu'  dei  predetti  criteri  e' indice di un trattamento  che  presenta  un  rischio  elevato  per  i diritti e le liberta' degli interessati e  per  il  quale  e'  quindi richiesta una valutazione d'impatto sulla protezione dei  dati  (cfr. WP 248, rev. 01, pag. 11); 
  Considerato che il garante ha predisposto un elenco delle tipologie di trattamento ai sensi dell'art. 35, paragrafo  4  da  sottoporre  a valutazione d'impatto; 
  Considerato che le previsioni di cui all'art. 35, paragrafo  1  del RGPD, che dispongono che «quando un tipo  di  trattamento,  allorche' prevede in particolare l'uso  di  nuove  tecnologie,  considerati  la natura, l'oggetto, il contesto e le finalita' del  trattamento,  puo' presentare un rischio elevato per  i  diritti  e  le  liberta'  delle persone fisiche, il  titolare  del  trattamento  effettua,  prima  di procedere  al   trattamento,   una   valutazione   dell'impatto   dei trattamenti previsti sulla protezione dei dati personali», prevalgono in ogni caso; 
  Considerato altresi' che il predetto elenco  e'  stato  predisposto sulla  base  del  WP  248,  rev.  01,  allo  scopo  di   specificarne ulteriormente il contenuto e a complemento dello stesso; 
  Rilevato che tale elenco e' stato comunicato in data 11 luglio 2018 al Comitato per il prescritto parere (art. 35, paragrafi  4  e  6,  e dall'art. 64, paragrafo 1, lettera a), del RGPD); 
  Viste le osservazioni rese dal Comitato nel parere adottato  il  25 settembre 2018  e  notificato  il  2  ottobre  2018  (disponibile  su https://edpb.europa.eu); 
  Ritenuto, in ottemperanza a quanto previsto dall'art. 64, paragrafo 7, del RGPD, di aderire  alle  osservazioni  contenute  nel  suddetto parere e di modificare,  in  conformita',  il  relativo  progetto  di decisione e di darne comunicazione al presidente del Comitato; 
  Rilevato che tale elenco e' riferito esclusivamente a tipologie  di trattamento  soggette  al  meccanismo  di  coerenza  e  che  non   e' esaustivo,  restando  fermo  quindi   l'obbligo   di   adottare   una valutazione d'impatto sulla protezione dei dati laddove ricorrano due o piu' dei criteri individuati dal WP 248, rev. 01 e  che  in  taluni casi «un titolare del trattamento puo' ritenere  che  un  trattamento che  soddisfa  soltanto  uno  [dei  predetti]  criteri  richieda  una valutazione d'impatto sulla protezione dei dati» (cfr. WP  248,  rev. 01, pag. 11); 
  Rilevato,  altresi',  che  il   predetto   elenco   potra'   essere ulteriormente  modificato  o  integrato  anche   sulla   base   delle risultanze emerse nel corso della  prima  fase  di  applicazione  del RGPD; 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi dell'art. 15 del regolamento del garante n. 1/2000; 
  Relatore il dott. Antonello Soro; 
 
Tutto cio' premesso: 
 
  a) ai sensi degli articoli 35, paragrafo  4,  e  57,  paragrafo  1, lettera k), del RGPD fermo restando quanto indicato nel richiamato WP 248, rev. 01, individua  l'elenco  delle  tipologie  di  trattamenti, soggetti al meccanismo  di  coerenza,  da  sottoporre  a  valutazione d'impatto, riportate nell'allegato 1  facente  parte  integrante  del presente provvedimento, che specificano quanto riportato  nel  citato WP 248, rev. 01; 
  b) ai  sensi  dell'art.  64,  paragrafo  7  del  RGPD  comunica  al presidente del Comitato il presente  provvedimento  che  recepisce  i rilievi formulati nel parere richiamato in premessa; 
  c)   invia   copia   della   presente   deliberazione   all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia  ai  fini della sua pubblicazione nella  Gazzetta  Ufficiale  della  Repubblica
italiana. 
    Roma, 11 ottobre 2018 
 
Il presidente e relatore: Soro 
Il segretario generale: Busia 
(Allegato )
Allegato 1 
 
    1. Trattamenti valutativi o di scoring su  larga  scala,  nonché trattamenti che comportano la profilazione degli interessati  nonché lo svolgimento di attivita' predittive  effettuate  anche  on-line  o attraverso  app,  relativi  ad  «aspetti  riguardanti  il  rendimento professionale, la situazione economica, la salute,  le  preferenze  o gli  interessi  personali,  l'affidabilita'   o   il   comportamento, l'ubicazione o gli spostamenti dell'interessato». 
    2. Trattamenti automatizzati finalizzati  ad  assumere  decisioni che producono  «effetti  giuridici»  oppure  che  incidono  «in  modo analogo significativamente» sull'interessato, comprese  le  decisioni che impediscono di esercitare un diritto o di avvalersi di un bene  o di un servizio o di continuare ad esser  parte  di  un  contratto  in essere  (ad  es.  screening  dei  clienti  di  una  banca  attraverso l'utilizzo di dati registrati in una centrale rischi). 
    3. Trattamenti che prevedono un utilizzo sistematico di dati  per l'osservazione, il monitoraggio o  il  controllo  degli  interessati, compresa la  raccolta  di  dati  attraverso  reti,  effettuati  anche on-line o attraverso app, nonche' il  trattamento  di  identificativi univoci in grado di identificare gli utenti di servizi della societa' dell'informazione inclusi servizi web, tv interattiva, ecc.  rispetto alle abitudini d'uso e ai dati di  visione  per  periodi  prolungati. Rientrano in tale previsione anche i trattamenti di metadati  ad  es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma piu'  in  generale  per  ragioni  organizzative,  di previsioni di budget, di  upgrade  tecnologico,  miglioramento  reti, offerta di servizi antifrode, antispam, sicurezza etc. 
    4.  Trattamenti  su  larga  scala  di   dati   aventi   carattere estremamente personale (v. WP 248, rev. 01): si fa  riferimento,  fra gli altri, ai dati connessi alla vita familiare o  privata  (quali  i dati relativi  alle  comunicazioni  elettroniche  dei  quali  occorre tutelare la  riservatezza),  o  che  incidono  sull'esercizio  di  un diritto fondamentale (quali i dati sull'ubicazione, la  cui raccolta mette in gioco la liberta' di circolazione) oppure la cui  violazione comporta un grave  impatto  sulla  vita  quotidiana  dell'interessato (quali  i  dati  finanziari  che  potrebbero  essere  utilizzati  per commettere frodi in materia di pagamenti). 
    5. Trattamenti effettuati  nell'ambito  del  rapporto  di  lavoro mediante sistemi  tecnologici  (anche  con  riguardo  ai  sistemi  di videosorveglianza  e  di  geolocalizzazione)  dai  quali  derivi   la possibilita' di effettuare un controllo a distanza dell'attivita' dei dipendenti (si  veda  quanto  stabilito  dal  WP  248,  rev.  01,  in relazione ai criteri numeri 3, 7 e 8). 
    6. Trattamenti  non  occasionali  di  dati  relativi  a  soggetti vulnerabili (minori, disabili, anziani, infermi di  mente,  pazienti, richiedenti asilo). 
    7.  Trattamenti  effettuati  attraverso   l'uso   di   tecnologie innovative, anche con particolari misure di  carattere  organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale;  monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimita'  come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01. 
    8. Trattamenti che comportano lo scambio tra diversi titolari  di dati su larga scala con modalita' telematiche. 
    9.   Trattamenti   di   dati   personali   effettuati    mediante interconnessione, combinazione o raffronto di informazioni,  compresi i trattamenti che prevedono l'incrocio dei dati di  consumo  di  beni digitali con dati di pagamento (es. mobile payment). 
    10.  Trattamenti  di  categorie  particolari  di  dati  ai  sensi dell'art. 9 oppure di dati relativi a condanne penali e  a  reati  di cui all'art. 10 interconnessi con altri dati personali  raccolti  per finalita' diverse. 
    11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare,  del  volume  dei  dati,  della  durata,  ovvero   della persistenza, dell'attivita' di trattamento. 
    12. Trattamenti sistematici di dati genetici, tenendo  conto,  in particolare,  del  volume  dei  dati,  della  durata,  ovvero   della persistenza, dell'attivita' di trattamento. 

Scarica la DELIBERA 11 ottobre 2018 completa: DELIBERA 11 OTTOBRE 2018 – GARANTE PRIVACY

 

RISCHIO ACCESSO ALLE TELECAMERE PER VIDEOSORVEGLIANZA

Back door - Videosorveglianza

TELECAMERE PER VIDEOSORVEGLIANZA: UNA BACK DOOR PERMETTE L’ACCESSO DA REMOTO

Per chi si occupa di privacy e videosorveglianza, segnaliamo questo “problema” legato alle telecamere un po’ datate (di vari produttori).

In realtà il problema sarebbe risolvibile con un semplice aggiornamento firmware, ma non sempre questo aggiornamento viene effettuato.

Riassumendo brevemente, una grossa quota di telecamere per videosorveglianza prodotte fino al 2013-2014 contenevano nel firmware un accesso “back door” con un nome utente/password fissi che permettevano ai manutentori di avere l’accesso al sistema. Conoscendo la marca della telecamera per videosorveglianza è pertanto possibile ottenerne “irregolarmente” l’accesso e la visione di quanto da essa registrato.

Non tutti hanno aggiornato il firmware delle proprie telecamere per videosorveglianza installate indicativamente fino a 5 anni fa ed il problema potrebbe essere di avere accessi incontrollati alle riprese effettuate.

Il video allegato spiega nel dettagli il problema e le soluzioni:

<iframe width=”560″ height=”315″ src=”https://www.youtube-nocookie.com/embed/B8DjTcANBx0″ frameborder=”0″ allow=”accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture” allowfullscreen></iframe>

 

Di seguito alcune delle immagini tratte dal video

Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza

 

Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata

Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata.

I trattamenti di dati previsti dal 1 gennaio 2019 possono violare la normativa sulla protezione dei dati.

Sproporzionata raccolta di informazioni e rischi di usi impropri da parte di terzi.
Il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato dall’Agenzia delle entrate, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”. Per questo motivo ha chiesto all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica [doc. web n. 9059949].
E’ la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dalRegolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami.
Il nuovo obbligo di fatturazione elettronica – esteso a partire dal 1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori – presenta, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.
Entrando nel merito del nuovo sistema di e-fatturazione il Garante ha rilevato una serie di criticità. In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo. Tuttavia non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per séinformazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Altre criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.
Ulteriori problemi pone il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.
Anche le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.
Una preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Ue, avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.
Il provvedimento del Garante è stato inviato anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.

[Fonte: Garante della Privacy]

Elenco trattamenti soggetti alla valutazione d’impatto sulla protezione dei dati.

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 [9058979].

Valutazione d´impatto sulla protezione dei dati, in base alle previsioni del Regolamento (UE) 2016/679

La pagina contiene link alla normativa e a documenti interpretativi, schede informative e pagine tematiche, ed è in continuo aggiornamento.

Ultimo aggiornamento 15 novembre 2018

NEWS

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679

Terza riunione plenaria del Comitato europeo per la protezione dei dati (EDPB). Adottati i pareri sulle liste dei trattamenti da sottoporre a “Valutazione d’impatto sulla protezione dei dati”

EDPB – Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR) impact assessment (Article 35.4 GDPR)

LINEE GUIDA

Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248)

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.

Le linee-guida del WP29 offrono alcuni chiarimenti sul punto; in particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all´art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

Le linee-guida chiariscono, peraltro, anche quando una valutazione di impatto non sia richiesta: ciò vale, in particolare, per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del regolamento.

Il messaggio finale delle linee-guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.

Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 – WP248rev.01  adottate il 4 aprile 2017 – come modificate e adottate da ultimo il 4 ottobre 2017

 

DOCUMENTI

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679

– Valutazione di impatto sulla protezione dei dati (DPIA). Quando effettuarla?

 

APPROFONDIMENTI

Terza riunione plenaria del Comitato europeo per la protezione dei dati (EDPB). Adottati i pareri sulle liste dei trattamenti da sottoporre a “Valutazione d’impatto sulla protezione dei dati”

EDPB – Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR) impact assessment (Article 35.4 GDPR)

– Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali –Approccio basato sul rischio e misure di accountability (responsabilizzazione) di titolari e responsabibi

– VIDEO – “Data protection by default and by design”, valutazione di impatto e consultazione preventiva Intervento tenuto nel corso dell´incontro “Regolamento UE. Il Garante per la protezione dei dati personali incontra la PA”(tappa di Bari, 15 gennaio 2018)

– Individuazione e gestione del rischio – Pagina informativa

 

STRUMENTI

Un software per la valutazione di impatto

La CNIL, l´Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione dellavalutazione d´impatto sulla protezione dei dati (DPIA)

Il software – gratuito e liberamente scaricabile dal sito www.cnil.fr (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) – offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

La versione in lingua italiana è stata messa a punto anche con la collaborazione del Garante per la protezione dei dati personali.

Occorre sottolineare che il software è in continua evoluzione, con revisioni introdotte anche sulla base dell´esperienza raccolta e delle segnalazioni degli utenti.

IMPORTANTE

Il software qui presentato NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d´impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d´impatto che va integrata in ragione delle tipologie di trattamento esaminate

E´ inoltre bene ricordare che la valutazione d´impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

Per approfondimenti, è disponibile anche un breve tutorial realizzato dal Garante italiano.

ISTRUZIONI PER L´INSTALLAZIONE

Una volta aperta la paginahttps://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil, scorrere fino al titolo “Version portable” e selezionare il tipo di sistema operativo installato sul proprio computer.

Una volta scaricato il software, lanciare l´installazione che sarà effettuata automaticamente nella versione in lingua italiana.

 

INDICE

news

linee guida

documenti

approfondimenti

strumenti

 

[Fonte: Garante Privacy]

Regolamento Ue: le istruzioni del Garante privacy sul registro dei trattamenti

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Nelle FAQ vengono indicate, tra l’altro, quali informazioni deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.

[Fonte Garante della Privacy]

GARANTE PRIVACY: Avviso relativo ai reclami, alle segnalazioni e alle richieste di verifica preliminare

In Gazzetta Ufficiale del 04 ottobre 2018

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
COMUNICATO

Avviso relativo ai reclami, alle segnalazioni e alle richieste di verifica preliminare (18A06387) (GU Serie Generale n.231 del 04-10-2018)

 

gAi sensi dell’art. 19 del decreto legislativo 10 agosto 2018, n.
101, si informa che, entro il termine di sessanta giorni dalla data
di pubblicazione del presente avviso, i soggetti che dichiarano il
loro attuale interesse possono presentare al Garante per la
protezione dei dati personali motivata richiesta di trattazione dei
reclami, delle segnalazioni e delle richieste di verifica preliminare
pervenuti entro il 25 maggio 2018.
La predetta richiesta non riguarda i reclami e le segnalazioni di
cui si e’ gia’ esaurito l’esame o di cui il Garante per la protezione
dei dati personali ha gia’ esaminato nel corso del 2018 un motivato
sollecito o una richiesta di trattazione o per i quali il Garante
medesimo e’ a conoscenza, anche a seguito di propria denuncia, che
sui fatti oggetto di istanza e’ in corso un procedimento penale. Si
intendono gia’ esaminati dal Garante i reclami e le segnalazioni per
i quali l’istante abbia ricevuto dal Garante la comunicazione di
avvio del procedimento, anche mediante una richiesta di informazioni
o di esibizione di documenti a terze parti ovvero all’istante stesso.

 

GARANTE PRIVACY: DELIBERA 27 settembre 2018

In Gazzetta Ufficiale del 04 ottobre 2018

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 27 settembre 2018

Indicazioni relative alle istanze che devono ritenersi comprese nell’ambito degli affari pregressi di cui all’articolo 19 del decreto legislativo 10 agosto 2018, n. 101. (Delibera n. 455). (18A06386)

 

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche’ alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati, di seguito
«regolamento»);
Visto il decreto legislativo 10 agosto 2018, n. 101, recante
«Disposizioni per l’adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche’ alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE (regolamento generale sulla protezione dei dati)»;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
«Codice in materia di protezione dei dati personali» (di seguito
«Codice»);
Considerato che il regolamento trova applicazione negli ordinamenti
degli Stati membri a decorrere dal 25 maggio 2018 (art. 99, par. 2);
Considerato che, ai sensi dell’art. 19, comma 1, del decreto
legislativo n. 101/2018, entro il termine di sessanta giorni dalla
data di pubblicazione dell’avviso del Garante, i soggetti che
dichiarano il loro attuale interesse possono presentare al Garante
medesimo motivata richiesta di trattazione dei reclami, delle
segnalazioni e delle richieste di verifica preliminare (c.d. affari
pregressi) «pervenuti entro la predetta data»;
Considerato, altresi’, che la predetta richiesta non riguarda i
reclami e le segnalazioni di cui si e’ gia’ esaurito l’esame «o di
cui il Garante ha gia’ esaminato nel corso del 2018 un motivato
sollecito o una richiesta di trattazione», o per i quali il Garante
medesimo e’ a conoscenza, anche a seguito di propria denuncia, che
sui fatti oggetto di istanza e’ in corso un procedimento penale (art.
19, comma 2, del decreto legislativo n. 101/2018);
Considerato che la formulazione delle predette disposizioni
potrebbe ingenerare dubbi interpretativi, sotto il profilo temporale
e sostanziale, in ordine alla sua applicabilita’ alle istanze
presentate a questa autorita’ a partire dal 25 maggio 2018;
Ritenuto, quindi, di dover fornire un opportuno chiarimento, anche
in coerenza con il regolamento, riguardante le istanze che devono
ritenersi ricomprese nell’ambito degli affari pregressi e, quindi,
oggetto di eventuale richiesta di trattazione da parte di coloro che
dichiarino il loro perdurante interesse alla relativa definizione
ovvero di trattazione da parte di questa autorita’;
Ritenuto che la disposizione di cui al citato art. 19, comma 1, del
decreto legislativo n. 101/2018, concernente le istanze riguardanti
la trattazione di affari pregressi aventi ad oggetto reclami,
segnalazioni e richieste di verifica preliminare, debba intendersi
riferita unicamente agli istituti disciplinati, dal Codice,
antecedentemente alle modifiche ad esso apportate in conseguenza
dell’applicazione della normativa europea. Tale interpretazione deve
ritenersi fondata sia nella circostanza che il diritto di proporre
reclami o segnalazioni fondati sulla nuova disciplina, prevalendo
sulle fonti interne eventualmente contrastanti, non e’ derogabile
(art. 77 del regolamento; articoli da 141 a 144 del Codice, come
novellati dal decreto legislativo n. 101/2018), sia nel fatto che,
successivamente alla menzionata data di applicazione del regolamento,
l’istituto della verifica preliminare risulta incompatibile con il
regolamento medesimo;
Ritenuto, pertanto, che all’ultimo periodo del comma 1 dell’art. 19
del decreto legislativo n. 101/2018, la locuzione «entro la predetta
data …», debba intendersi riferita al 24 maggio 2018;
Considerato, altresi’, che le norme sul procedimento amministrativo
e il regolamento n. 1/2007 riguardante le procedure interne presso
l’autorita’ aventi rilevanza esterna (pubblicato in Gazzetta
Ufficiale n. 65 del 14 dicembre 2007 e in www.gpdp.it – doc. web n.
1477480) portano a ritenere che l’esame dei reclami o delle
segnalazioni di cui al regime previgente normativo trovi inizio
nell’invio di un avviso di avvio del relativo procedimento, di una
richiesta di elementi o esibizione di documenti ovvero di altro atto
recettizio diretto al titolare o all’istante (articoli 6, 9, 10 e 14
del regolamento n. 1/2007);
Ritenuto, quindi, che la disposizione di cui al citato art. 19,
comma 2, del decreto legislativo n. 101/2018, concernente i reclami e
le segnalazioni sottratte all’esigenza di una loro sollecitazione da
parte dei soggetti che dichiarano il loro attuale interesse, in
quanto sono gia’ stati esaminati a seguito di un sollecito o una
richiesta di trattazione, debba intendersi riferita ai reclami e le
segnalazioni per i quali l’istante abbia ricevuto da parte degli
uffici di questa autorita’ la comunicazione di avvio del
procedimento, anche mediante una richiesta di informazioni o di
esibizione di documenti a terze parti ovvero all’istante stesso;
Ritenuto, pertanto, che al comma 2 dell’art. 19 del decreto
legislativo n. 101/2018, la locuzione «il Garante ha gia’ esaminato»,
debba intendersi riferita ai casi in cui gli uffici di questa
autorita’ abbiano gia’ inviato all’istante la comunicazione di avvio
del procedimento o di altro atto recettizio, anche mediante una
richiesta di informazioni o di esibizione di documenti a terze parti;
Vista la documentazione in atti;
Viste le osservazioni dell’ufficio, formulate dal segretario
generale ai sensi dell’art. 15 del regolamento del Garante, n.
1/2000;
Relatore il dott. Antonello Soro;

Tutto cio’ premesso
il Garante:

a) ai sensi degli articoli 57, par. 1, del regolamento e 154, comma
1, lettera f), del Codice, come novellato dal decreto legislativo n.
101/2018, ai fini della corretta applicazione delle disposizioni,
fornisce le indicazioni di cui in premessa in relazione alle istanze
che devono ritenersi ricomprese nell’ambito degli affari pregressi di
cui all’art. 19 del decreto legislativo n. 101/2018;
b) dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia – Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.

Roma, 27 settembre 2018

Il Presidente e relatore: Soro

Il segretario generale: Busia

Indicazioni operative per usufruire della definizione agevolata dei procedimenti sanzionatori pendenti

Il Garante per la protezione dei dati personali ha messo a punto una serie di indicazioni operative per chiarire a soggetti pubblici e privati come usufruire della definizione agevolata dei procedimenti sanzionatori pendenti. L’agevolazione è stata prevista dal recente decreto legislativo 101/2018 che ha adeguato la normativa italiana alle disposizione del Regolamento europeo 2016/679 in materia di privacy. Le FAQ sono disponibili da oggi sul sito dell’Autorità: https://www.garanteprivacy.it/home/faq/faq-definizione-agevolata-delle-violazioni-in-materia-di-protezione-dei-dati-personali

Chi intende avvalersi di questa facoltà potrà oblare le sanzioni mediante il pagamento in misura ridotta di una somma pari ai due quinti del minimo edittale stabilito per la sanzione. Il pagamento dovrà essere effettuato entro il 18 dicembre 2018.

Potranno usufruire di questa speciale procedura quanti abbiamo ricevuto entro il 25 maggio 2018, data di piena applicazione del Regolamento Ue, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione.

Tra le altre istruzioni, le FAQ del Garante specificano anche le modalità per il pagamento delle sanzioni, l’importo da pagare per ciascuna violazione commessa e i casi di esclusione dalle agevolazioni.

Terza riunione plenaria del Comitato europeo per la protezione dei dati (EDPB).

Terza riunione plenaria del Comitato europeo per la protezione dei dati (EDPB). Adottati i pareri sulle liste dei trattamenti da sottoporre a “Valutazione d’impatto sulla protezione dei dati”

Il Garante per la privacy italiano e le altre Autorità europee, riunite a Bruxelles nel Comitato europeo per la protezione dei dati (EDPB), hanno appena concluso la terza riunione plenaria nel corso della quale sono state discusse varie problematiche relative all’applicazione del nuovo Regolamento UE 2016/679 in materia di protezione dei dati personali (GDPR).

Nel corso della plenaria sono stati approvati i pareri relativi alle liste dei trattamenti da sottoporre a “Valutazione d’impatto sulla protezione dei dati” (Data Protection Impact Assessment – DPIA) in quanto possono presentare un rischio elevato per i diritti e le libertà delle persone interessate.

Adottate anche le Linee Guida sull’“ambito di applicazione territoriale” (territorial scope) che chiarisce quando un trattamento di dati effettuato nell’UE o in altri Paesi è soggetto al GDPR, nonché la decisione sulla proposta di Regolamento europeo E-evidence relativo alla raccolta e conservazione di prove elettroniche in materia penale. E’ stata inoltre avviata la discussione sulla proposta di decisione relativa all’adeguatezza del Giappone in materia di trattamento dei dati personali.

Per maggiori informazioni sulla plenaria e sul Comitato europeo per la protezione dei dati (EDPB) si può consultare il link: https://edpb.europa.eu/

Roma, 26 settembre 2018

Comitato europeo per la protezione dei dati (EDPB): è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. Il Comitato è composto dalle figure di vertice delle autorità di controllo e dal Garante europeo della protezione dei dati (GEPD) o dai rispettivi rappresentanti.