
Il 17 settembre 2015 è stato pubblicato il testo definitivo della riforma dell’art.4 dello Statuto dei lavoratorI
La riforma prevede la possibilità di utilizzare e installare un impianto di videosorveglianza e altri strumenti, previa concertazione con le parti sindacali, limitamente alle seguenti finalità:
- esigenze organizzative e produttive
- sicurezza del lavoro
- tutela del patrimonio aziendale
- Disciplina la contitolarità del trattamento e impone ai titolari di definire specificatamente il rispettivo ambito di responsabilità e i compiti, con particolare riguardo l'esercizio dei diritti degli interessati.
- Prevede che la designazione del responsabile del trattamento, dovrà essere un vero e proprio contratto che deve disciplinare tassativamente almeno quanto riportato nel paragrafo 3 dell'art.28
- Riconosce la figura del sub-responsabile
- Prevede obblighi specifici in capo ai responsabili del trattamento, come: la tenuta del registro dei trattamenti svolti, l'adozione delle misure tecniche e organizzative, la designazione di un DPO nei casi previsti, ecc..
- Registri del trattamento: Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere e indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Non si tratta di mero adempimento formale ma bensì di un sistema di corretta gestione dei dati personali
- Misure di sicurezza: Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. Per questo motivo non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza
- Notifica delle violazioni di dati personali: a partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile derivino rischi per i diritti e le libertà degli interessati. Tutti i titolari dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati
- Responsabile della protezione dei dati o DPO: Anche la designazione di questa figura riflette l'approccio responsabilizzate del regolamento, essendo finalizzata a facilitarne l'attuazione da parte del titolare e del responsabile. Fra i compiti del DPO rientra la formazione del personale e la sorveglianza sull'attuazione della valutazione di impatto. La designazione è obbligatoria in alcuni casi.
- L'obbligo di comunicazione al Garante (mediante un apposito modello di comunicazione) riguarda i fornitori di servizi telefonici e di accesso a Internet (e non i siti internet che diffondono contenuti, i motori di ricerca, gli internet point, le reti aziendali)
- In caso di violazione dei dati personali, società di TLC e ISP devono:
- entro 24 ore dalla scoperta dell'evento, fornire al garante le informazioni necessarie a consentire una prima valutazione dell'entità della violazione
- entro 3 giorni dalla scoperta informare anche ciascun utente coinvolto, comunicando gli elementi previsti dal regolamento 611/2013 e dal Provvedimento del garante n.161 del 4 aprile 2013
- La comunicazione non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati.
- Per consentire l'attività di accertamento del Garante, società telefoniche e provider devono tenere un inventario costantemente aggiornato delle violazioni subite.
- SANZIONI AMMINISTRATIVE PREVISTE (art. 162-ter del Codice in materia di protezione dei dati personali)
- per mancata o ritardata comunicazione al Garante: da 25mila a 150mila euro;
- per omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata;
- per mancata tenuta dell'inventario delle violazioni aggiornato: da 20mila a 120mila euro
- Entro 24 ore dalla conoscenza del fatto, i titolari del trattamento (aziende, amministrazioni pubbliche, ecc.) comunicano al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi
- Entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.
- Entro 48 ore dalla conoscenza del fatto, le amministrazioni pubbliche sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati