Getsolution

🔸Nuove linee guida del Garante Privacy: Limiti alla conservazione dei metadati delle e-mail aziendali
Il Garante Privacy ha pubblicato recentemente un documento di indirizzo che offre importanti linee guida sul trattamento dei dati personali, con particolare attenzione alla durata di conservazione dei delle e-mail aziendali.
I metadati della posta elettronica includono informazioni come mittente, destinatario, data e ora di invio, oggetto dell’e-mail e dimensioni del file.
I termini indicati sono estremamente ridotti. Viene infatti imposto un limite massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Secondo le indicazioni del Garante, i fornitori di posta elettronica in modalità Cloud non permettono al datore di lavoro di disabilitare la raccolta sistematica di tali dati e/o ridurre il periodo di conservazione, essendo configurati in modo da raccoglie e conservare by default i Metadati.
L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore in violazione dell’art. 4 dello Statuto dei Lavoratori.
I datori di lavoro dovranno quindi:
• verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base
• in alternativa, cessare l’utilizzo di tali programmi.
Tuttavia, nel caso in cui sia necessario allungare il periodo di conservazione dei metadati per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare sarà compito del Titolare attivare il meccanismo di garanzia previsto dallo statuto dei lavoratori ossia sottoscrivere un accordo sindacale o richiedere l’autorizzazione all’ispettorato del lavoro.

🔹 Prescrizioni mediche digitali, il Garante sollecita maggiori garanzie sui dati personali sanitari dei cittadini 🔹

L' Autorità Garante per la protezione dei dati personali ha rilasciato un parere al Ministero della Salute riguardo allo schema di decreto che definisce le modalità di accesso alle prescrizioni di medicinali rilasciate su territorio nazionale a pazienti che intendono utilizzarle in un altro stato dell’UE.

L’Autorità, a tal proposito, ha sottolineato la necessità di maggiori garanzie in materia di dati sulla salute, così come è altrettanto importante chiarire i rapporti tra i diversi soggetti (medici prescrittori, Ministero della salute, Ministero dell’economia e delle finanze ecc.) coinvolti nel processo di generazione/utilizzo della ricetta transfrontaliera, andando a specificare la titolarità del trattamento, la corretta base giuridica e il motivo di interesse pubblico rilevante che consentono il trattamento dei dati.

Inoltre, il Ministero della salute dovrà attivarsi per rendere conformi le modalità attraverso le quali il Sistema Tessera sanitaria rende disponibili i dati ai Fascicoli Sanitari Elettronici e ai dossier farmaceutici attraverso l’infrastruttura nazionale.

̀digitale

🔸 L'Europa sperimenta a nuove piattaforme open source per evitare il trasferimento dati extra UE 🔸

Il Garante europeo per la protezione dei dati ha iniziato a sperimentare due piattaforme open source, e Online, per la condivisione di file, messaggi e videochiamate.

Il fine è trovare una valida alternativa ai servizi comunemente utilizzati sul mercato che spesso implicano il trasferimento dei dati personali extra UE e ridurre al minimo la dipendenza da fornitori monopolistici e il vendor lock-in.

Prossimamente l’Autorità valuterà come queste piattaforme possano essere di supporto al lavoro quotidiano delle agenzie comunitarie, con l’ulteriore obiettivo di incoraggiare le istituzioni europee a prendere in considerazione alternative ai fornitori di servizi su larga scala per garantire una migliore conformità al GDPR.

◾ GDPR e PA italiane, l'altolà dell'Europa ◾

Il Comitato europeo per la protezione dati (EDPB) ha adottato un report sui risultati della prima azione di applicazione coordinata relativa all'uso di servizi cloud da parte delle PA. A tal proposito, sono stati interpellati un centinaio di enti attivi in settori cruciali come sanità, fisco e istruzione, ma anche centrali di acquisto e fornitori ICT. Anche il Garante privacy ha partecipato.

Dall’indagine è emerso che in Italia vi è poca consapevolezza in ambito di trasferimenti verso Paesi terzi e sulle richieste di accesso ai dati conservati nel SEE da parte di autorità pubbliche di tali Paesi. Inoltre, alcuni enti hanno segnalato come i cloud provider non permettano lo svolgimento di attività di audit e come risulti difficile accordarsi su clausole specifiche.

L’EDPB ha fornito perciò una serie di raccomandazioni alle PA, ribadendo la necessità per gli enti pubblici di agire nel pieno rispetto del GDPR, raccomandando anche all’Autorità Garante di promuovere le soluzioni in cloud attraverso la pubblicazione di pareri che chiariscano gli obblighi dei titolari e l’importanza della valutazione di impatto.

◾ Telemarketing, condotte illecite. Sanzionata Edison Energia ◾

A seguito di un’attività istruttoria nei confronti di , l'Autorità Garante per la protezione dei dati personali ha rilevato diverse condotte illecite nei confronti di un numero rilevante di utenti, i quali hanno segnalato: la ricezione di telefonate senza consenso; il mancato riscontro alle richieste di non ricevere più telefonate indesiderate; l’impossibilità di esprimere consensi liberi e specifici per diverse finalità (promozionali, profilazione, comunicazione di dati a terzi).

È emerso, inoltre, che l’opposizione espressa nel corso della telefonata non deve essere confermata tramite e-mail o altre modalità ma il call center o la società deve annotare subito la volontà dell’utente e cancellare il nominativo dalle liste utilizzate per il telemarketing, anche per le campagne future.

L’Autorità ha quindi sanzionato Edison per 4 milioni e 900 mila euro e ha vietato il trattamento dei dati per finalità di marketing e di profilazione raccolti senza un consenso libero e specifico, effettuato anche tramite l’utilizzo di liste di contatti predisposte da terzi di cui non ne ha verificato l’adeguatezza.

◾ Scoprendo la figura del Responsabile della conservazione digitale ◾

Le nuove Linee guida in materia di formazione, gestione e conservazione dei informatici hanno introdotto l’obbligo di nomina del Responsabile della conservazione dei documenti digitali, avente il compito di verificare la correttezza del processo di conservazione ed interfacciarsi con le autorità pubbliche.

Non è tuttavia da confondere con la figura del Responsabile del servizio di conservazione, ovvero il soggetto terzo deputato a questo compito. A tal proposito, l’introduzione di questa figura potrebbe portare a un conflitto di ruoli in quanto egli, che può essere sia un soggetto interno che esterno all’azienda, ha il compito di definire e attuare le politiche complessive del sistema di conservazione e governarne la gestione con piena responsabilità ed autonomia.

La necessità di nominare questa il Responsabile della conservazione digitale all’interno della propria impresa nasce dall’esigenza di fornire sempre più garanzie sulla tutela dei documenti informatici, affinché le informazioni siano mantenute in modo corretto. Le competenze richieste sono numerose: tra le altre, giuridiche, informatiche e archivistiche.

Le imprese private potranno decidere di esternalizzare il servizio, mentre i soggetti pubblici dovranno necessariamente individuare una risorsa interna alla propria amministrazione.

◾ Follow up tra Twitter e UE per l’adeguamento normativo al Digital Service Act ◾

Meeting di allineamento tra il Commissario europeo per il Mercato interno ed , nelle vesti di proprietario di Twitter, al fine di rendere il social network compliant alle nuove normative europee contenute nel Digital Service Act.

Il nuovo regolamento UE, infatti, ridisegna l’accountability da parte dei fornitori di tutte le piattaforme online con l’obiettivo di proteggere i diritti dei consumatori, garantendo precisi obblighi di trasparenza, responsabilità e accuratezza delle informazioni.

I prossimi mesi si riveleranno quindi cruciali per l’azienda di Musk che sarà monitorata da vicino da parte del legislatore europeo per verificare la coerente implementazione di quanto contenuto nel Digital Service Act.

Alla luce del nuovo dettato normativo, sarà fondamentale per le piattaforme online garantire la conformità dei social network ad un sistema di politiche trasparenti, nell’ottica di monitorare la disinformazione, limitare la pubblicità mirata e proteggere i diritti fondamentali degli utenti all’interno dell’ecosistema digitale.

◾ La posizione del Garante Privacy sulla necessità di proteggere i dati nell'era del Metaverso ◾

In occasione dell’apertura del convegno organizzato dal italiano per la Giornata europea della protezione dei dati personali, il Presidente Pasquale Stanzione ha sottolineato come la necessità di assicurare un adeguato livello di protezione dei dati personali nell’ormai imminente era del costituisca un’esigenza indefettibile ai fini di tutela dei diritti e delle libertà degli individui.

Nel passaggio a questa nuova dimensione esistenziale, in particolare, sarà determinante la verifica di un monitoraggio non troppo invasivo dell’utente e l’impostazione tecnologicamente neutra del potrà fornire una regolazione tendenzialmente completa sui principali aspetti e sugli accentuati rischi di questo mondo nuovo.

Ad oggi, non risultano ancora ben definite le caratteristiche del Metaverso, così come i contorni della sua struttura e la forma di governance che lo ispirerà, ma ciò che risulta già chiaro, secondo il Garante, è che la rilevanza qualitativa e quantitativa dei flussi di dati indurrà a ripensare by design il sistema di raccolta del consenso e le garanzie di trasparenza negli obblighi informativi.

◾ USA e UE partner di sicurezza informatica ◾

Via alla partnership USA-UE in ambito , incentrata sulla protezione delle reti strategiche, come quelle digitali e energetiche e i sistemi spaziali civili, guidata dal Dipartimento della Sicurezza Nazionale USA e dal Directorate-General Reti di comunicazione, contenuti e tecnologie (Cnct) della Commissione europea.

Gli obiettivi in agenda prevedono:

🔸 scambio di informazioni su minacce, vulnerabilità e incidenti per favorire una risposta collettiva;

🔸finalizzazione accordo ENISA-Cisa per la condivisione di best practice;

🔸 collaborazione sul tema dei requisiti di segnalazione degli incidenti informatici, sicurezza informatica dei software e hardware e dei sistemi spaziali civili.

◾ Il monito del Garante della Privacy contro l'archiviazione di materiale investigativo su cloud non soggetti a giurisdizione nazionale ◾

Nell’audizione per l’indagine conoscitiva sulle al , il presidente dell’Autorità Garante per la protezione dei dati personali Pasquale ha sottolineato che sarebbe opportuno vietare il ricorso a software-spia o app scaricati da piattaforme liberamente accessibili a tutti, così come sarebbe opportuno segnalare il rischio per la tutela dei dati e la segretezza delle investigazioni derivante dall’utilizzo di sistemi per l’archiviazione, i cui server sono allocati in territori non soggetti alla giurisdizione nazionale.

I software come mezzo di ricerca della prova sono da ritenersi estremamente invasivi, pertanto, se il Parlamento prendesse in reale considerazione questi strumenti di captazione, è necessario che si tenga ben presente il principio di proporzionalità tra esigenze investigative e riservatezza.

I trojan, qualora divenissero strumenti leciti di captazione, dovrebbero riguardare esclusivamente i destinatari dell’autorizzazione giudiziaria e non interferire su altre piattaforme accessibili a tutti.

◾ Responsabile della Conservazione documentale digitale, si amplia il ventaglio dei servizi Getsolution ◾

Le Nuove Linee Guida emanate il 01 gennaio 2022 impongono obbligatoriamente alle imprese di nominare il proprio documentale digitale.
Una figura con idonee competenze informatiche, giuridiche e archivistiche che deve adempiere a un vasto elenco di compiti specifici definiti dalla normativa.

🗄 🔐 🖥

Da quest’anno, in partnership con menocarta.net , offriamo il servizio di Responsabile della Conservazione documentale digitale, offrendo alle aziende un supporto a 360 gradi professionale e altamente qualificato.

Per saperne di più, visita il nostro sito ⤵ https://getsolution.com/compliance-and-governance/adeguamenti-normativi/

◾ Il Garante Privacy di San Marino vince su Meta ◾

Il caso affonda le origini nel 2019, quando l'Autorità Garante per la protezione dei dati personali aveva condannato la società del gruppo Meta a pagare una sanzione di 4 milioni di euro per la diffusione, ritenuta indebita, dei dati personali di circa 12.700 utenti residenti nella Repubblica di San Marino, contestando l’inadeguatezza delle misure di sicurezza che aveva comportato una fuga di dati a livello globale.

La società di Mark aveva presentato ricorso innanzi al Tribunale e poi alla Corte d'Appello di San Marino, nella speranza di ottenere l'annullamento del provvedimento. Quest’ultimo tuttavia è stato giudicato inammissibile dalla sentenza n° 3 del 25 gennaio 2023 del giudice di Appello di San Marino, rendendo così la sanzione esecutiva.

Inoltre, così come sottolineato dal di San Marino il passaggio in giudicato di questa sanzione è rilevante perché a sanzionare la big tech è stato un piccolo stato, riuscendo in tal modo a tutelare la riservatezza dei suoi cittadini. In pratica “Davide contro Golia”.

Giunge così al termine la vicenda della fuga di dati diffusi indebitamente in rete che ha coinvolto almeno 533 milioni di utenti (tra cui i 12.700 sammarinesi). La sentenza sammarinese potrebbe quindi costituire un pericoloso precedente per il social network.