EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
19/09/2023 Ammonimento del Garante per illecita pubblicazione di dati personali eccedenti le finalita' del trattamento in Amministrazione Trasparente
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Un dipendente, ritenutosi demansionato da un Decreto presidenziale del proprio ente, Autorità portuale di sistema portuale, dopo aver avviato una vicenda giudiziaria con l'ente medesimo, si è visto pubblicare, in Amministrazione Trasparente, il documento conclusivo della vicenda giudiziaria nel quale veniva richiamato e indicato il citato Decreto dell’Ente.

Nel documento pubblicato in Amministrazione Trasparente, pur essendo stato omesso il nominativo del dipendente, sono comunque rimasti in chiaro e totalmente visibili tutti i riferimenti dai quali era facile risalire alla identità del dipendente essendo, in particolare, citato il Decreto dell’Ente, di ritenuto demensionamento, anch’esso pubblicato online e, all’interno del quale, l’unico soggetto indicato era appunto il dipendente.

Il dipendente, verificato quanto sopra, si è rivolto al proprio ente, titolare del trattamento, per chiedere la rimozione delle informazioni eccedenti senza, tuttavia, aver ottenuto alcun riscontro.

Ne è conseguito il reclamo del dipendente al Garante e l'apertura del relativo procedimento all'esito del quale il Garante ha adottato un:

-ammonimento

In tutte le news diramate fino ad ora, nei casi di violazione della normativa privacy, la conseguenza derivante dalla violazione era costituita dalla sanzione pecuniaria, salvo i casi di archiviazione.

Nella presente news viene, per contro, preso in considerazione un diverso tipo di provvedimento, l’ammonimento.

L’ammonimento è meno grave della sanzione. Viene irrogato dal Garante quando l’ente, pur avendo commesso una violazione, ha comunque dimostrato di avere realizzato un sistema di trattamento dei dati personali in regola al GDPR e di aver adottato, dopo la violazione, le misure tecniche e organizzative necessarie per circoscrivere e limitare gli effetti negativi della violazione medesima.

E’ quanto ha dimostrato al Garante, con propri scritti difensivi, l’ente in esame che, a seguito del reclamo del dipendente, ha ricevuto la notifica delle seguenti violazioni:

-trattamento di dati personali in violazione principio di «liceità, correttezza e trasparenza» e di «minimizzazione dei dati»;

-trattamento di dati personali privo di idonei presupposti normativi.

La notifica all’ente della violazione si è basata su l'illecita identificabilità del dipendente, resa possibile dalla diffusione di dati personali eccedenti rispetto alla finalità del trattamento, essendo stato pubblicato online, sul sito web istituzionale dell’ente, un documento che, pur avendo omesso il nominativo della persona a cui si riferiva il provvedimento, ha comunque consentito al “grande” pubblico l'identificazione della persona interessata.

Va precisato che, per «identificazione» non si intende solo la possibilità di leggere, in chiaro, il nome e/o l’indirizzo di una persona, ma anche:

-la potenziale identificabilità della persona mediante individuazione, correlabilità e deduzione a partire dai dati e dalle informazioni contenuti nel testo del documento.

A conclusione del procedimento, appurata l’identificabilità in concreto il Garante, con proprio provvedimento n. 311 del 18/07/2023, ha disposto:

-l’annotazione, nel Registro interno dell’Autorità, delle violazioni e delle misure adottate.

L'ammonimento e la conseguente annotazione sono state adottate dall’Autorità garante sulla base dello specifico:

-potere di rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del regolamento RGPD (art. 58, par. 2, del RGPD).

Il motivo per cui il procedimento si è concluso con l'ammonimento e non con la sanzione pecuniaria è riferibile alla condotta dell'ente che, in base al principio dell’accountability, è riuscito a fornire al Garante la prova, di natura documentale, relativa alla:

1.presenza di un regolare Sistema di trattamento dei dati personali e di protezione dei dati medesimi.

Oltre alla regolarità del sistema gestionale “privacy”, rispetto ai requisiti indicati dal GDPR, l'ente ha dimostrato anche:

1.di aver tenuto una condotta ineccepibile per quanto concerne il periodo successivo alla notifica della violazione, relativamente alle misure e azioni tempestivamente adottate per evitare che la violazione potesse arrecare, ulteriormente, effetti negativi per la persona interessata;

2.di aver coinvolto il DPO per progettare le misure di neutralizzazione del danno derivante dalla violazione.

1.CONFORMITÀ DEL SISTEMA DI GESTIONE PER IL TRATTAMENTO DEI DATI PERSONALI

In particolare, per quanto concerne la regolarità del sistema di gestione per il trattamento dei dati personali, l’ente ha documentato testualmente quanto segue:

- l’«Autorità di Sistema Portuale dispone di sistemi informatici volti a garantire l’anonimizzazione dei documenti, oltre a funzionalità operative finalizzate allo stesso scopo, che vengono sempre utilizzati e gestiti con attenzione e competenza. Il corretto impiego di questi strumenti ha sempre garantito alla scrivente la corretta trattazione dei dati personali e ha assicurato l’assenza di errori ed incidenti nei numerosissimi atti e documenti trattati nella gestione delle proprie attività»;

- «Nella circostanza di specie l’errore che ha determinato la diffusione di un solo dato personale relativo ad un dipendente, è stato determinato da un mancato approfondito controllo su un altro atto precedente che quindi, per relationem, ha prodotto l’esito lamentato»;

- «Si tratta di un incidente, isolato, che ha permesso alla scrivente di evidenziare una falla nella procedura di gestione e pubblicazione dei dati che è stata immediatamente corretta»;

- «La pubblicazione dei dato personale oggetto della doglianza è da intendersi assolutamente involontario e accidentale, non essendoci in capo alla scrivente alcuna volontà di pubblicazione dello stesso».

2. MISURE E AZIONI TEMPESTIVAMENTE ADOTTATE

Per quanto concerne le misure e azioni tempestivamente adottate per evitare che la violazione potesse arrecare, ulteriormente, effetti negativi per la persona interessata, quanto testualmente dichiarato dall’ente è quanto segue:

  • «si dichiara di aver avviato il processo di oscuramento dei contenuti oggetto di doglianza, come esito della deindicizzazione degli stessi dai motori di ricerca».

3. COINVOLGIMENTO DEL DPO

Per quanto concerne le misure e azioni tempestivamente adottate per evitare che la violazione potesse arrecare, ulteriormente, effetti negativi per la persona interessata:

  • è stato «pianificato e programmato con il […] DPO una attività di formazione rivolta a tutti i […] dipendenti per consolidare i temi della privacy. Sono altresì in elaborazione le linee guida per la pubblicazione dei dati online che saranno terminate entro il mese di giugno 2023».

INDICAZIONI OPERATIVE DA SEGUIRE

Fermo restando l’esito, prioritario dell’archiviazione della contestazione, l'ammonimento, proprio perché evita l'irrogazione di una sanzione pecuniaria amministrativa all’ente, deve essere il punto di arrivo di un’eventuale contestazione di violazione non archiviata da parte del Garante.

Rafforzamento dell’accountability e resoconto annuale - REPORT

A tal fine, le indicazioni pratiche e operative da seguire consistono nel:

  • rafforzare la capacità dell'ente di dimostrare, documentalmente, l'esistenza di un sistema di trattamento dei dati personali conforme alla GDPR (rafforzamento dell’accountability).

L’accountability va dimostrata e comprovata.

Ne consegue che è necessario che tutti gli adempimenti, svolti in attuazione di precisi obblighi di conformazione al GDPR, risultino:

  • documentati e riepilogati in un resoconto annuale (REPORT), da tenere agli atti, ​​trasmettere all’Autorità di controllo in caso di contestazioni o da esibire in caso di ispezioni.

Nel resoconto annuale vanno inclusi gli obiettivi, le fasi e tutte le azioni del sistema di trattamento e tutte le attività del sistema di protezione, comprese le misure e azioni adottate in caso di incidente di sicurezza, come quello verificatosi nel caso in esame.

A titolo di esempio, nel Report annuale dell'ente preso in considerazione con la presente news, dovrebbero confluire almeno le seguenti attività relative all’incidente di sicurezza occorso:

REPORT

  • sono stati adottati/aggiornati sia il sistema informatico sia le funzionalità operative volte a garantire l’anonimizzazione dei documenti;
  • sono state adottate e aggiornate le istruzioni relative sia al sistema informatico sia alle funzionalità operative volte a garantire l’anonimizzazione dei documenti al fine di una utilizzazione e gestione attenta e competente da parte di dirigenti/responsabili E.Q. e dipendenti;
  • è stata individuata una falla nella procedura di gestione e pubblicazione dei dati che è stata immediatamente corretta;
  • è stato avviato il processo di oscuramento dei contenuti oggetto di doglianza, come esito della deindicizzazione degli stessi dai motori di ricerca;
  • è stato pianificato e programmato con il DPO una attività di formazione rivolta a tutti i dipendenti per consolidare i temi della privacy;
  • sono state elaborate le Linee guida per la pubblicazione dei dati online, in corso di ultimazione.
Categorie
News
Parole chiave
Illecito
Amministrazione trasparente
Sanzione
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits