Forniture a prova di privacy

Forniture in linea con la privacy. I prodotti/servizi forniti a imprese e P.A. devono essere progettati e configurati in base ai principi della privacy fin dalla progettazione (“by design”) e privacy come impostazione predefinita (“by default”). Lo impone il regolamento Ue sulla privacy. In caso contrario il garante può ordinare di aggiornare funzioni e modalità di funzionamento direttamente al fornitore. Come è successo a un fornitore di sistemi Gps, raggiunto dall’ordine di aggiornare la versione del sistema venduto a una impresa (provvedimento n. 396 del 28 giugno 2018).
A questo punto, in un contesto più ampio, si apre il ventaglio delle ricadute che sono: contrattuali, anche negli appalti pubblici (clausole con specifiche delle forniture); sui costi degli adeguamenti; tecniche (prevedere funzioni cosiddette di default); informative (integrare il manuale di uso).

Il caso
Una società fornisce un sistema di rilevazione satellitare dei veicoli. Il sistema ha diverse modalità di funzionamento. La versione standard raccoglie dati personali relativi alla posizione geografica accentuatamente dettagliati. In particolare risulta una periodizzazione temporale assai ravvicinata: 30, 60 o 120 secondi e una conservazione per un lungo periodo di tempo. Inoltre è disponibile un dispositivo di disattivazione della rilevazione geografica durante le pause consentite dell’attività lavorativa, ma non risulta presente una spiegazione di questa opzione.
Il Garante della privacy ha esaminato la posizione del fornitore del sistema Gps assieme a quella dell’impresa utilizzatrice. Lo ha fatto per bocciare la condotta di quest’ultima, ma anche del fornitore. Ed è su questo aspetto che è necessario puntare la propria attenzione. Che cosa fa il Garante della privacy? Ordina determinate prescrizioni al fornitore (nel caso specifico rivestiva la posizione di responsabile esterno del trattamento). Le prescrizioni sono due. La prima riguarda i fogli illustrativi del prodotto. La prescrizione consiste nell’obbligo del fornitore di informare i propri clienti circa la possibilità di modificare il sistema rispetto alle impostazione standard e questo per settare il prodotto così che risulti utilizzato in maniera corrispondente alle finalità perseguite. Nel secondo caso specifico la periodizzazione della raccolta dell’informazione sulla posizione del veicolo finiva per realizzare un monitoraggio costante e ininterrotto del lavoratore. L’altro punto da evidenziare nel manuale di uso è la possibilità di attivare la funzione che consente la disattivazione del dispositivo.
La seconda precauzione è di carattere tecnico e riguarda le caratteristiche del prodotto fornito. Riprendiamo le parole del garante della privacy: la versione standard dei servizi offerti attraverso il sistema di localizzazione deve essere configurata con modalità proporzionate rispetto al diritto alla riservatezza degli interessati, in particolare con riferimento alla periodizzazione temporale della rilevazione della posizione geografica, ai tempi di conservazione dei dati ed alla messa a disposizione delle mappe dei percorsi effettuati. Tradotto il prodotto deve essere tarato con una diversa temporizzazione della raccolta dei dati sulla localizzazione e non deve essere precaricato un tempo di conservazione eccessivo e così via.

Costi
Le prescrizioni del Garante sono una diretta applicazione dei principi sulle cosiddette “privacy by design” e “privacy by default” (regolamento Ue 2016/679, art. 25).
Da queste prescrizioni derivano oneri in più: sia surplus di adempimenti informativi sia aggiornamenti delle funzioni operative dei prodotti. Tutto ciò può riflettersi su costi di produzione e costi finali del prodotto. Non a caso il Garante si spinge ad accompagnare le prescrizioni con la seguente indicazione: gli aggiustamenti devono essere realizzati in relazione a tutte le modalità di abbonamento ai servizi “senza eccessivi costi aggiuntivi”.
Da ciò emerge la consapevolezza che le prescrizioni hanno un costo. Il primo problema è quello della quantificazione di questi costi. Il Garante non può fare altro che prefigurare un percorso di correttezza e formula l’invito di non caricare “costi aggiuntivi eccessivi”.
È il mercato che deve indicare il parametro di calcolo dei costi “privacy”. Il regolamento Ue sulla privacy e tanto meno il Garante non hanno il compito di stendere il tariffario dei costi privacy. In questo vi è la consapevolezza che l’adeguamento privacy ha un valore di mercato. Anche qui, portando alle conseguenze il ragionamento, significa che la conformità privacy è, allo stato, un valore aggiunto che può fare la differenza. Si tratta, per il fornitore, di un elemento di distinzione concorrenziale, che può far valere per conservare o conquistare fette di mercato. Di questo profilo di distinzione si giova anche l’acquirente del prodotto/servizio.

Ricadute contrattuali
La pronuncia del Garante spinge a considerare le clausole dei contratti tra fornitore e impresa acquirente. La strada che si consiglia è di inserire la descrizione delle caratteristiche dei prodotti tali da rispettare gli standard privacy. Opportuna una scheda in cui si dà conto delle scelte progettuali e delle funzioni predefinite, da cui possa risultare automatico o quasi il rispetto delle prescrizioni e dei principi al regolamento Ue 2016/679. Altro consiglio è quello di allegare valutazione di impatto privacy eventualmente redatta dal fornitore. Se il prodotto/servizio fornito è tale da costituire lo strumento con cui si realizzano trattamenti a rischio elevato, l’impresa acquirente deve preoccuparsi di stendere il documento di valutazione di impatto privacy (articolo 35 del Regolamento Ue).
Beninteso l’obbligo a carico del titolare del trattamento. Il fornitore potrebbe aiutare l’impresa, sottoponendo a test di impatto privacy il prodotto/servizio. A questo punto il test di impatto privacy potrà essere utilizzato dall’impresa tra i documenti della propria valutazione di impatto privacy.

Appalti
Anche le P.A. sono titolari di trattamento e si servono di prodotti/servizi acquistati sul mercato delle forniture e dei servizi. Gli enti si premureranno di indicare nei bandi di gara alla richiesta del rispetto delle caratteristiche privacy dei prodotti e servizi e di valorizzare tali elementi nel punteggio da assegnare.

Come essere in regola:

Inserire informazioni su come settare le funzioni in base alle finalità perseguite (così da non raccogliere troppi dati personali)

Consentire la modifica delle funzioni (ad esempio temporizzazione dei dati, termine di conservazione, quantità dei dati disponibili)

Aggiornamento dei prodotti senza eccessivi costi aggiuntivi

  • Inserire caratteristiche dei prodotti tali da rispettare gli standard privacy
  • Allegare valutazione di impatto privacy eventualmente redatta dal fornitore
  • Indicare nei bandi di gara la richiesta del rispetto delle caratteristiche privacy
  • Valorizzare tali elementi nel punteggio da assegnare alle offerte
Articolo tratto da ItaliaOggi

Articoli correlati

In piscina il gestore è responsabile della sicurezza
Le piscine, che quest’estate sono state teatro di tragedie, sono sempre più diffuse, soprattutto nelle località turistiche. Nei confronti degli utilizzatori della piscina il gestore dell’attività (che per quelle condominiali...
Scopri di più
Ravvedimento per la privacy
Ravvedimento al via per la privacy: chi ha contestazioni pendenti può mettersi in regola pagando entro 90 giorni la sanzione ridotta, che è pari ai 2/5 del minimo. È una...
Scopri di più
Spazi confinati, le 8 buone regole da seguire
Concludiamo l'articolo sulle buone pratiche di lavoro da applicare negli spazi confinati e iniziamo a vedere di seguito tutte le buone regole da seguire. Ricordiamo l’elenco completo delle buone pratiche spiegate...
Scopri di più
Telecamere, salvo chi si adegua
La corretta e tempestiva ottemperanza alla “prescrizione obbligatoria” dell’ispettore estinguere il reato. Infatti, sfugge alla pena dell’arresto o dell’ammenda quel datore di lavoro che, una volte installate telecamere senza accordo...
Scopri di più
Buone pratiche per l’accesso e il lavoro in spazi confinati
Riprendiamo l'articolo sulle buone pratiche di lavoro da applicare negli spazi confinati e iniziamo a vedere di seguito tutte le buone regole da seguire. Ricordiamo l’elenco completo delle buone pratiche spiegate...
Scopri di più
Linee guida e buone prassi: controlli e verifiche delle gru su autocarro
Sappiamo quanto sia importante, per la sicurezza degli operatori che utilizzano attrezzature di lavoro, la verifica continua dello stato di conservazione, dell’efficienza e della conformità di tali attrezzature alla normativa...
Scopri di più
Condomini al test della privacy, il principio è la non eccedenza
Condominio a norma con la privacy. La recente entrata in vigore del regolamento europeo n. 679/2016 ha infatti ribadito la necessità di un corretto trattamento dei dati personali in ambito...
Scopri di più
Spazi confinati: 8 buone pratiche per lavorare in sicurezza
Il tragico evento, avvenuto nel gennaio scorso con la morte di quattro persone in un’azienda milanese, ha ancora una volta portato all’attenzione della pubblica opinione la gravità degli infortuni sul...
Scopri di più
Rischio lavori in copertura, la guida Inail con le misure di prevenzione e protezione
Il lavoro sulle coperture è un’attività ad alto rischio di infortunio che rende necessaria l’adozione di elevati standard di sicurezza indipendentemente dalla tipologia e dalla durata della lavorazione da svolgere....
Scopri di più
Rifiuti, finisce l’era del Sistri
Sono venuti meno allo scattare del 2019 gli obblighi di tracciamento “Sistri” dei rifiuti e di pagamento dei relativi contributi, persistono (fino a nuovo ordine) in capo ai soggetti interessati...
Scopri di più
Telecamere col sì dei sindacati
Scatta la condanna penale per il datore se installa una telecamera che riprende i dipendenti all’opera anche quando la realizzazione di video è giustificata da esigenze di sicurezza. E ciò...
Scopri di più
Come ridurre il rischio elettrico nei lavori su impianti elettrici a bassa tensione
Il rischio elettrico riguarda la maggior parte dei lavoratori e, in particolar modo, i lavoratori che si occupano dell’esercizio, della manutenzione o delle verifiche dei sistemi elettrici, nonché i lavoratori...
Scopri di più
Lavoratore demansionato risarcibile solo se dimostra il danno specifico
L’esercizio dello ius variandi, ossia la facoltà del datore di lavoro di modificare nel corso del rapporto le mansioni attribuite al dipendente al momento dell’assunzione, se non avviene correttamente, può...
Scopri di più
Dlgs 231, uno scudo di latta
Imprese senza una valida protezione di fronte ai reati commessi dai propri dirigenti e amministratori. Lo scudo dei modelli organizzativi, introdotto con la legge 231 del 2001, si sta infatti...
Scopri di più
Videosorveglianza condizionata. Si alle telecamere a uso privato
Telecamere lecite in condominio, ma soltanto allo scopo di tutelare la sicurezza delle persone e dei beni, con ridotto ambito visivo e con il rispetto degli adempimenti preliminari indicati dall’Autorità...
Scopri di più
Va riassunto il dipendente scagionato dalle accuse
Il pubblico dipendente che rassegni le dimissioni all’indomani di un procedimento penale può ottenere il ripristino del rapporto di lavoro in base alla legge 350/2003 (articolo 3, comma 57), qualora...
Scopri di più
Assicurazione Inail per la depressione derivante da mobbing sul lavoro
La sindrome depressiva causata dalla condotta vessatoria subita dal lavoratore deve essere indennizzata dall’Inail quale malattia professionale, anche se non è compresa nelle tabelle del decreto del presidente della Repubblica...
Scopri di più
Esigenze da bilanciare nel whistleblowing
Le norme sul whistleblowing (legge 179/2017) segnano senz’altro un passo avanti verso l’affermazione di una cultura imprenditoriale che mette al centro la business integrity e la trasparenza. Al tempo stesso,...
Scopri di più
Rumore dal bar, condannato anche chi delega la gestione
D’estate si incrementa la guerra tra i condomini e i locali pubblici che producono rumore fino a notte fonda: complice il caldo, l’esasperazione aumenta e conseguentemente i casi finiscono davanti...
Scopri di più
Amministratore responsabile anche per il rischio-acqua
Dalla saracinesca di consegna dell’acqua dell’acquedotto l’acqua potabile raggiunge i rubinetti degli appartamenti condominiali attraverso le tubature (che sono parti comuni, come recita l’articolo 1117 del Codice civile) e che...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X