Forniture a prova di privacy

Forniture in linea con la privacy. I prodotti/servizi forniti a imprese e P.A. devono essere progettati e configurati in base ai principi della privacy fin dalla progettazione (“by design”) e privacy come impostazione predefinita (“by default”). Lo impone il regolamento Ue sulla privacy. In caso contrario il garante può ordinare di aggiornare funzioni e modalità di funzionamento direttamente al fornitore. Come è successo a un fornitore di sistemi Gps, raggiunto dall’ordine di aggiornare la versione del sistema venduto a una impresa (provvedimento n. 396 del 28 giugno 2018).
A questo punto, in un contesto più ampio, si apre il ventaglio delle ricadute che sono: contrattuali, anche negli appalti pubblici (clausole con specifiche delle forniture); sui costi degli adeguamenti; tecniche (prevedere funzioni cosiddette di default); informative (integrare il manuale di uso).

Il caso
Una società fornisce un sistema di rilevazione satellitare dei veicoli. Il sistema ha diverse modalità di funzionamento. La versione standard raccoglie dati personali relativi alla posizione geografica accentuatamente dettagliati. In particolare risulta una periodizzazione temporale assai ravvicinata: 30, 60 o 120 secondi e una conservazione per un lungo periodo di tempo. Inoltre è disponibile un dispositivo di disattivazione della rilevazione geografica durante le pause consentite dell’attività lavorativa, ma non risulta presente una spiegazione di questa opzione.
Il Garante della privacy ha esaminato la posizione del fornitore del sistema Gps assieme a quella dell’impresa utilizzatrice. Lo ha fatto per bocciare la condotta di quest’ultima, ma anche del fornitore. Ed è su questo aspetto che è necessario puntare la propria attenzione. Che cosa fa il Garante della privacy? Ordina determinate prescrizioni al fornitore (nel caso specifico rivestiva la posizione di responsabile esterno del trattamento). Le prescrizioni sono due. La prima riguarda i fogli illustrativi del prodotto. La prescrizione consiste nell’obbligo del fornitore di informare i propri clienti circa la possibilità di modificare il sistema rispetto alle impostazione standard e questo per settare il prodotto così che risulti utilizzato in maniera corrispondente alle finalità perseguite. Nel secondo caso specifico la periodizzazione della raccolta dell’informazione sulla posizione del veicolo finiva per realizzare un monitoraggio costante e ininterrotto del lavoratore. L’altro punto da evidenziare nel manuale di uso è la possibilità di attivare la funzione che consente la disattivazione del dispositivo.
La seconda precauzione è di carattere tecnico e riguarda le caratteristiche del prodotto fornito. Riprendiamo le parole del garante della privacy: la versione standard dei servizi offerti attraverso il sistema di localizzazione deve essere configurata con modalità proporzionate rispetto al diritto alla riservatezza degli interessati, in particolare con riferimento alla periodizzazione temporale della rilevazione della posizione geografica, ai tempi di conservazione dei dati ed alla messa a disposizione delle mappe dei percorsi effettuati. Tradotto il prodotto deve essere tarato con una diversa temporizzazione della raccolta dei dati sulla localizzazione e non deve essere precaricato un tempo di conservazione eccessivo e così via.

Costi
Le prescrizioni del Garante sono una diretta applicazione dei principi sulle cosiddette “privacy by design” e “privacy by default” (regolamento Ue 2016/679, art. 25).
Da queste prescrizioni derivano oneri in più: sia surplus di adempimenti informativi sia aggiornamenti delle funzioni operative dei prodotti. Tutto ciò può riflettersi su costi di produzione e costi finali del prodotto. Non a caso il Garante si spinge ad accompagnare le prescrizioni con la seguente indicazione: gli aggiustamenti devono essere realizzati in relazione a tutte le modalità di abbonamento ai servizi “senza eccessivi costi aggiuntivi”.
Da ciò emerge la consapevolezza che le prescrizioni hanno un costo. Il primo problema è quello della quantificazione di questi costi. Il Garante non può fare altro che prefigurare un percorso di correttezza e formula l’invito di non caricare “costi aggiuntivi eccessivi”.
È il mercato che deve indicare il parametro di calcolo dei costi “privacy”. Il regolamento Ue sulla privacy e tanto meno il Garante non hanno il compito di stendere il tariffario dei costi privacy. In questo vi è la consapevolezza che l’adeguamento privacy ha un valore di mercato. Anche qui, portando alle conseguenze il ragionamento, significa che la conformità privacy è, allo stato, un valore aggiunto che può fare la differenza. Si tratta, per il fornitore, di un elemento di distinzione concorrenziale, che può far valere per conservare o conquistare fette di mercato. Di questo profilo di distinzione si giova anche l’acquirente del prodotto/servizio.

Ricadute contrattuali
La pronuncia del Garante spinge a considerare le clausole dei contratti tra fornitore e impresa acquirente. La strada che si consiglia è di inserire la descrizione delle caratteristiche dei prodotti tali da rispettare gli standard privacy. Opportuna una scheda in cui si dà conto delle scelte progettuali e delle funzioni predefinite, da cui possa risultare automatico o quasi il rispetto delle prescrizioni e dei principi al regolamento Ue 2016/679. Altro consiglio è quello di allegare valutazione di impatto privacy eventualmente redatta dal fornitore. Se il prodotto/servizio fornito è tale da costituire lo strumento con cui si realizzano trattamenti a rischio elevato, l’impresa acquirente deve preoccuparsi di stendere il documento di valutazione di impatto privacy (articolo 35 del Regolamento Ue).
Beninteso l’obbligo a carico del titolare del trattamento. Il fornitore potrebbe aiutare l’impresa, sottoponendo a test di impatto privacy il prodotto/servizio. A questo punto il test di impatto privacy potrà essere utilizzato dall’impresa tra i documenti della propria valutazione di impatto privacy.

Appalti
Anche le P.A. sono titolari di trattamento e si servono di prodotti/servizi acquistati sul mercato delle forniture e dei servizi. Gli enti si premureranno di indicare nei bandi di gara alla richiesta del rispetto delle caratteristiche privacy dei prodotti e servizi e di valorizzare tali elementi nel punteggio da assegnare.

Come essere in regola:

Inserire informazioni su come settare le funzioni in base alle finalità perseguite (così da non raccogliere troppi dati personali)

Consentire la modifica delle funzioni (ad esempio temporizzazione dei dati, termine di conservazione, quantità dei dati disponibili)

Aggiornamento dei prodotti senza eccessivi costi aggiuntivi

  • Inserire caratteristiche dei prodotti tali da rispettare gli standard privacy
  • Allegare valutazione di impatto privacy eventualmente redatta dal fornitore
  • Indicare nei bandi di gara la richiesta del rispetto delle caratteristiche privacy
  • Valorizzare tali elementi nel punteggio da assegnare alle offerte
Articolo tratto da ItaliaOggi

Articoli correlati

Sulla non responsabilità per gli infortuni del direttore di stabilimento
L’insegnamento che discende dalla lettura di questa sentenza della Corte di Cassazione è che la mera sussistenza di una posizione di garanzia non sempre è da sola sufficiente a giustificare...
Scopri di più
La prevenzione diventa «4.0» con la spinta delle tecnologie
Un elmetto “intelligente” in grado di interagire con le macchine, e di avvisare, con un segnale luminoso sonoro, di un possibile rischio per il lavoratore, impedendogli così di entrare in...
Scopri di più
RLS, la dimenticanza costa cara
Troppo cara la gestione della “rappresentanza” dei lavoratori sulla sicurezza. Per una facoltà dei lavoratori (la designazione dei rappresentanti dei lavoratori per la sicurezza, gli RLS, è una facoltà dei...
Scopri di più
Interpello n. 5/2018 – Dispositivo vigilante a bordo dei mezzi ferroviari
Con l’interpello n. 5/2018, la Commissione in materia di salute e sicurezza sul lavoro fornisce chiarimenti in merito al modulo di condotta dei macchinisti e all’installazione del dispositivo vigilante a...
Scopri di più
Sulle posizioni di garanzia del committente e del responsabile dei lavori
Più volte le sentenze della Corte di Cassazione sono intervenute in questi anni sulle responsabilità e sulla posizione di garanzia dei committenti di lavori edili e dei responsabili dei lavori....
Scopri di più
Gps sotto il segno della privacy
Fornitura di apparecchi elettronici in linea con la privacy. Chi vende prodotti e sistemi deve preoccuparsi della conformità alle regole sulla protezione dei dati. Le norme del Regolamento Ue sulla...
Scopri di più
Inail: sicurezza e valutazione del rischio nella diagnostica per immagini
Nell’ambiente ospedaliero i rischi professionali per i vari operatori impegnati in attività sanitarie comprendono sia i rischi convenzionali legati all’ambiente lavorativo che i rischi specifici derivanti dalle specifiche attività sanitarie...
Scopri di più
Linee guida e buone prassi: carrelli semoventi a braccio telescopico
Sono tanti i documenti che in questi ultimi anni hanno fornito precise indicazioni per migliorare la sicurezza nell’utilizzo di molte attrezzature di lavoro e che hanno presentato buone prassi e...
Scopri di più
Interpello n. 4/2018 – Salute e sicurezza nell’alternanza scuola-lavoro e nei tirocini formativi
Con l’interpello n. 4/2018, la Commissione in materia di salute e sicurezza sul lavoro fornisce il proprio parere in merito all’applicazione della normativa sulla sicurezza sul lavoro, nel caso di...
Scopri di più
La vigilanza sul fatto che il preposto vigili
Come noto, la vigilanza spetta al preposto come “compito non esclusivo ma sussidiario, spettando anzitutto al datore di lavoro e ai dirigenti” (Cass. Pen. 23 luglio 1997 n.7245). La legge...
Scopri di più
PLE col gancio prossimo step
Lo spettacolo continua: a poca distanza dall’entrata in vigore dell’aggiornamento A1: 2015 avremo presto disponibile l’anteprima di quest’ennesima revisione, arricchita con nuovi e importanti contenuti. Una novità fra le più...
Scopri di più
Forniture a prova di privacy
Forniture in linea con la privacy. I prodotti/servizi forniti a imprese e P.A. devono essere progettati e configurati in base ai principi della privacy fin dalla progettazione (“by design”) e...
Scopri di più
Interpello n. 3/2018: Pubblica sicurezza – Valutazione dei rischi e luogo di lavoro
Con l’interpello n. 3/2018, la Commissione salute e sicurezza del Ministero del Lavoro fornisce alcuni chiarimenti in merito agli adempimenti discendenti dal D.Lgs. 81/2008 per gli agenti di pubblica sicurezza....
Scopri di più
Il mantenimento delle condizioni di sicurezza delle PLE
L’utilizzo delle piattaforme mobili elevabili per l’esecuzione di lavori in quota in tutti gli ambiti lavorativi, unitamente alla disponibilità sul mercato per l’acquisto e il noleggio di varie tipologie e...
Scopri di più
Le “autorizzazioni generali” al vaglio del Garante privacy
Sulla tavola della protezione dei dati personali sono state molte le primizie da assaporare negli ultimi tempi: gli strumenti della riforma Ue, comprensiva del regolamento generale e della direttiva per...
Scopri di più
In Gazzetta il riordino delle regole sulla privacy
Il decreto che coordina la vecchia normativa nazionale sulla protezione dei dati personali con il nuovo regolamento sulla privacy entrerà in vigore il prossimo 19 settembre. È l’effetto della pubblicazione...
Scopri di più
Privacy, valutazione fai-da-te
Una valutazione di impatto privacy per tutto. Serve per giustificare l’allungamento del periodo di conservazione dei dati per il marketing e la profilazione della clientela, per la videosorveglianza, per l’istallazione...
Scopri di più
L’evoluzione dei dispositivi di sicurezza nelle PLE
Sono trascorsi ormai 17 anni dalla prima pubblicazione della EN280 (2001) che, con la versione del 2013 e successivamente con la 2015, ha modificato molti aspetti legati alla sicurezza, introducendo...
Scopri di più
I suggerimenti dell’Inail per una alimentazione corretta sui luoghi di lavoro
Le malattie croniche non trasmissibili uccidono nel mondo circa 40 milioni di persone ogni anno (pari al 70% dei decessi), l’86% dei decessi in Europa; sono patologie che di frequente...
Scopri di più
Privacy, bella e impossibile
Se è vero che la gestione dei dati è il petrolio del prossimo futuro, la sua tutela dovrebbe essere una priorità per i legislatori. Invece fa acqua da tutte le...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X