Forniture a prova di privacy

Forniture in linea con la privacy. I prodotti/servizi forniti a imprese e P.A. devono essere progettati e configurati in base ai principi della privacy fin dalla progettazione (“by design”) e privacy come impostazione predefinita (“by default”). Lo impone il regolamento Ue sulla privacy. In caso contrario il garante può ordinare di aggiornare funzioni e modalità di funzionamento direttamente al fornitore. Come è successo a un fornitore di sistemi Gps, raggiunto dall’ordine di aggiornare la versione del sistema venduto a una impresa (provvedimento n. 396 del 28 giugno 2018).
A questo punto, in un contesto più ampio, si apre il ventaglio delle ricadute che sono: contrattuali, anche negli appalti pubblici (clausole con specifiche delle forniture); sui costi degli adeguamenti; tecniche (prevedere funzioni cosiddette di default); informative (integrare il manuale di uso).

Il caso
Una società fornisce un sistema di rilevazione satellitare dei veicoli. Il sistema ha diverse modalità di funzionamento. La versione standard raccoglie dati personali relativi alla posizione geografica accentuatamente dettagliati. In particolare risulta una periodizzazione temporale assai ravvicinata: 30, 60 o 120 secondi e una conservazione per un lungo periodo di tempo. Inoltre è disponibile un dispositivo di disattivazione della rilevazione geografica durante le pause consentite dell’attività lavorativa, ma non risulta presente una spiegazione di questa opzione.
Il Garante della privacy ha esaminato la posizione del fornitore del sistema Gps assieme a quella dell’impresa utilizzatrice. Lo ha fatto per bocciare la condotta di quest’ultima, ma anche del fornitore. Ed è su questo aspetto che è necessario puntare la propria attenzione. Che cosa fa il Garante della privacy? Ordina determinate prescrizioni al fornitore (nel caso specifico rivestiva la posizione di responsabile esterno del trattamento). Le prescrizioni sono due. La prima riguarda i fogli illustrativi del prodotto. La prescrizione consiste nell’obbligo del fornitore di informare i propri clienti circa la possibilità di modificare il sistema rispetto alle impostazione standard e questo per settare il prodotto così che risulti utilizzato in maniera corrispondente alle finalità perseguite. Nel secondo caso specifico la periodizzazione della raccolta dell’informazione sulla posizione del veicolo finiva per realizzare un monitoraggio costante e ininterrotto del lavoratore. L’altro punto da evidenziare nel manuale di uso è la possibilità di attivare la funzione che consente la disattivazione del dispositivo.
La seconda precauzione è di carattere tecnico e riguarda le caratteristiche del prodotto fornito. Riprendiamo le parole del garante della privacy: la versione standard dei servizi offerti attraverso il sistema di localizzazione deve essere configurata con modalità proporzionate rispetto al diritto alla riservatezza degli interessati, in particolare con riferimento alla periodizzazione temporale della rilevazione della posizione geografica, ai tempi di conservazione dei dati ed alla messa a disposizione delle mappe dei percorsi effettuati. Tradotto il prodotto deve essere tarato con una diversa temporizzazione della raccolta dei dati sulla localizzazione e non deve essere precaricato un tempo di conservazione eccessivo e così via.

Costi
Le prescrizioni del Garante sono una diretta applicazione dei principi sulle cosiddette “privacy by design” e “privacy by default” (regolamento Ue 2016/679, art. 25).
Da queste prescrizioni derivano oneri in più: sia surplus di adempimenti informativi sia aggiornamenti delle funzioni operative dei prodotti. Tutto ciò può riflettersi su costi di produzione e costi finali del prodotto. Non a caso il Garante si spinge ad accompagnare le prescrizioni con la seguente indicazione: gli aggiustamenti devono essere realizzati in relazione a tutte le modalità di abbonamento ai servizi “senza eccessivi costi aggiuntivi”.
Da ciò emerge la consapevolezza che le prescrizioni hanno un costo. Il primo problema è quello della quantificazione di questi costi. Il Garante non può fare altro che prefigurare un percorso di correttezza e formula l’invito di non caricare “costi aggiuntivi eccessivi”.
È il mercato che deve indicare il parametro di calcolo dei costi “privacy”. Il regolamento Ue sulla privacy e tanto meno il Garante non hanno il compito di stendere il tariffario dei costi privacy. In questo vi è la consapevolezza che l’adeguamento privacy ha un valore di mercato. Anche qui, portando alle conseguenze il ragionamento, significa che la conformità privacy è, allo stato, un valore aggiunto che può fare la differenza. Si tratta, per il fornitore, di un elemento di distinzione concorrenziale, che può far valere per conservare o conquistare fette di mercato. Di questo profilo di distinzione si giova anche l’acquirente del prodotto/servizio.

Ricadute contrattuali
La pronuncia del Garante spinge a considerare le clausole dei contratti tra fornitore e impresa acquirente. La strada che si consiglia è di inserire la descrizione delle caratteristiche dei prodotti tali da rispettare gli standard privacy. Opportuna una scheda in cui si dà conto delle scelte progettuali e delle funzioni predefinite, da cui possa risultare automatico o quasi il rispetto delle prescrizioni e dei principi al regolamento Ue 2016/679. Altro consiglio è quello di allegare valutazione di impatto privacy eventualmente redatta dal fornitore. Se il prodotto/servizio fornito è tale da costituire lo strumento con cui si realizzano trattamenti a rischio elevato, l’impresa acquirente deve preoccuparsi di stendere il documento di valutazione di impatto privacy (articolo 35 del Regolamento Ue).
Beninteso l’obbligo a carico del titolare del trattamento. Il fornitore potrebbe aiutare l’impresa, sottoponendo a test di impatto privacy il prodotto/servizio. A questo punto il test di impatto privacy potrà essere utilizzato dall’impresa tra i documenti della propria valutazione di impatto privacy.

Appalti
Anche le P.A. sono titolari di trattamento e si servono di prodotti/servizi acquistati sul mercato delle forniture e dei servizi. Gli enti si premureranno di indicare nei bandi di gara alla richiesta del rispetto delle caratteristiche privacy dei prodotti e servizi e di valorizzare tali elementi nel punteggio da assegnare.

Come essere in regola:

Inserire informazioni su come settare le funzioni in base alle finalità perseguite (così da non raccogliere troppi dati personali)

Consentire la modifica delle funzioni (ad esempio temporizzazione dei dati, termine di conservazione, quantità dei dati disponibili)

Aggiornamento dei prodotti senza eccessivi costi aggiuntivi

  • Inserire caratteristiche dei prodotti tali da rispettare gli standard privacy
  • Allegare valutazione di impatto privacy eventualmente redatta dal fornitore
  • Indicare nei bandi di gara la richiesta del rispetto delle caratteristiche privacy
  • Valorizzare tali elementi nel punteggio da assegnare alle offerte
Articolo tratto da ItaliaOggi

Articoli correlati

Siti confinati, lavoro al sicuro
Non è ammesso il ricorso al subappalto, se non espressamente autorizzato dal datore di lavoro committente e debitamente certificato, in relazione alle attività lavorative che si svolgono in ambienti sospetti...
Scopri di più
La lettera di contestazione va letta
Il dipendente è tenuto ad accettare la consegna manuale di una contestazione disciplinare, se questa avviene sul luogo di lavoro; tuttavia la consegna non si perfeziona se un delegato dell’azienda...
Scopri di più
GDPR, poche le società pronte al test
Uno studio della società internazionale di consulenza Gartner rileva che solo quattro su dieci privacy manager ritengono le società di appartenenza preparate ad affrontare e governare il Regolamento Ue sulla...
Scopri di più
La sicurezza giustifica un no
Il rifiuto di rendere la prestazione lavorativa richiede una valutazione comparativa. Infatti, affinché il dipendente possa legittimamente sottrarsi dall’obbligazione contrattuale, in caso di inosservanza da parte del datore di lavoro...
Scopri di più
Privacy, 90 adempimenti inutili
Manicomio privacy: oltre 90 adempimenti, per la maggior parte non codificati, e nessuna possibilità di mettersi al riparo da pesantissime sanzioni, anche impegnando tutta la diligenza possibile. Lo scorso 19...
Scopri di più
Verifica difficile della recidiva per lavoro irregolare e sicurezza
Ai fini della individuazione della recidiva, che determina il raddoppio delle maggiorazioni da applicarsi alle sanzioni in caso di violazioni in materia di lavoro irregolare (20% che diventa 40%) e...
Scopri di più
Scaffalature 4.0, bonus nel 2019 con l’integrazione della perizia
Il giuramento della perizia (indipendentemente dalla data di consegna di tale documento all’impresa) consente (in presenza di tutti gli altri requisiti richiesti) di iniziare a stanziare l’iper ammortamento. Questo principio...
Scopri di più
Premi Inail più cari nel 2019
Premi Inail poco più cari quest’anno. La rivalutazione degli importi dei limiti di retribuzione è dell’1,1% in base alla variazione dell’Istat ed eleva il minimale giornaliero da 48,20 (anno 2018)...
Scopri di più
Bando Isi, corsa contro il tempo
Operativa la prima fase del bando Isi 2018. Infatti, dall’11 aprile scorso fino alle 18:00 del 30 maggio 2019, le aziende interessate possono compilare e salvare telematicamente la propria domanda...
Scopri di più
Videocontrolli, iter senza bis
In caso di cambio della titolarità dell’impresa, non bisogna ripetere la procedura di accordo/autorizzazione per l’installazione di impianti audiovisivi o di altri strumenti per il controllo a distanza dei lavoratori....
Scopri di più
Prima verifica periodica autogrù, ecco come procedere
Ai sensi del dlgs 81/2008 e s.m.i., le attrezzature di lavoro elencate nell’allegato VII devono essere sottoposte a verifiche periodiche al fine di verificare lo stato di conservazione e di...
Scopri di più
Agenti chimici pericolosi, opuscolo Inail, rischi, Testo Unico, Reach e Clp
Agenti chimici pericolosi. Questo il titolo di uno degli ultimi volumi pubblicati da Inail nella collana Salute e sicurezza. Un opuscolo con istruzioni per lavoratori e Rappresentati dei lavoratori per...
Scopri di più
Gli obblighi del primo soccorso: la classificazione delle aziende
Se il primo soccorso aziendale deve essere inteso come un processo integrato nel sistema di prevenzione e riduzione degli infortuni, “anche per il primo soccorso e per la redazione del...
Scopri di più
Rifiuti speciali pericolosi, cosa c’è da sapere
Il D.Lgs. n. 152/2006, cosiddetto "testo unico ambientale”, all'art. 184 distingue tra rifiuti urbani e rifiuti speciali. Questi ultimi, cioè i rifiuti prodotti da enti e imprese, si dividono a...
Scopri di più
Prevenzione incendi, nuova regola tecnica per impianti distribuzione idrogeno
Pubblicata in Gazzetta Ufficiale (n. 257 del 6 novembre 2018) il decreto 23 ottobre 2018 del Ministero dell’Interno, recante “Regola tecnica di prevenzione incendi per la progettazione, costruzione ed esercizio...
Scopri di più
Sorveglianza sanitaria: utilizzo dei dati collettivi e valutazione clinica
Per organizzare la sorveglianza sanitaria dei lavoratori esposti al rischio da sovraccarico biomeccanico, la Regione Lombardia con Decreto regionale 21 dicembre 2017, n. 16750 - recante “Indirizzi per la sorveglianza...
Scopri di più
Rifiuti: cosa separa l’abusività dall’illecito?
Il reato di attività organizzate per il traffico illecito di rifiuti, ora previsto e punito dall'art. 452-quaterdecies del codice penale (che ha sostituito senza modificazioni l'art. 260, D.Lgs. n. 152/2006)...
Scopri di più
Mud 2019, più dati alle CCIAA
Più tempo a enti e imprese per presentare alle Camere di commercio la dichiarazione ambientale Mud 2019, che potrà essere inoltrata fino al 22 giugno in luogo della più stretta...
Scopri di più
La conferma: abolito il Sistri…e ora Sistri 2.0 all’orizzonte?
Nelle prime settimane dello scorso dicembre è circolata una bozza di "decreto legge semplificazioni" che riporta una serie di novità in temi ambientali; due di queste si distinguevano, però, per...
Scopri di più
Rifiuti, torna l’onere per la tracciabilità
Il Governo incassa a Montecitorio la sua nona fiducia (sei alla Camera e tre al Senato) con 310 si, un astenuto e 245 no, su quello che a metà dicembre...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X
X
X