Inadempienze siti web. L’importanza della pubblicità legale e della pubblicità notizia. IMPORTANTE PER la misura 1.4.1 PNRR.

NOTA : SEGUITE BENE per non perdere i SOLDI della MISURA 1.4.1 PNRR

Il 27 luglio l’AGID con determina 224/22 ha emanato le LLGG di design e servizi digitali della PA.

Le norme toccate dalle LLGG sono:

CAD

Decreto legislativo 7 marzo 2005, n. 82 e s.m.i. recante «Codice dell’amministrazione digitale».

Reg. UE eIDAS

Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.

Codice privacy

Decreto legislativo 30 giugno 2003, n. 196 e s.m.i. recante «Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE».

GDPR

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

D. Lgs. 33/2013

Decreto legislativo 14 marzo 2013, n. 33 e s.m.i. recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni».

L. 4/2004

Legge 9 gennaio 2004, n. 4 e s.m.i. recante «Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici».

Direttiva (UE) 2016/2102

Direttiva (UE) 2016/2102 del 26 ottobre 2016 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici.

Circolare AGID 2/2017

Circolare AGID 18 aprile 2017, n. 2 in sostituzione della Circolare 17 marzo 2017, n. 1 recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)».

GPDP 229/2014

Provvedimento del Garante per la protezione dei dati personali n. 229 in data 8 maggio 2014 recante «Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie».

GPDP 243/2014

Provvedimento del Garante per la protezione dei dati personali n. 243 in data 15 maggio 2014 recante «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati».

EDPB LG DPIA

«Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679» (WP 248 rev.01), come modificate e adottate dal Comitato europeo per la protezione dei dati il 4 ottobre 2017.

EDPB LG ART. 25

«Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita», adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020.

EDPB LG 7/2020

«Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR», adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021.

GPDP 186/2021

Provvedimento del Garante per la protezione dei dati personali n. 186 in data 29 aprile 2021 recante «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico».

GPDP LG COOKIE

«Linee guida cookie e altri strumenti di tracciamento» emesse dal Garante per la protezione dei dati personali in data 10 giugno 2021.

LG_ACCESS

Linee guida AGID sull’accessibilità degli strumenti informatici, adottate da AGID con Determinazione n. 396 in data 8 settembre 2020.

LG_RIUSO

Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni, adottate da AGID con Determinazione n. 115/2019 del 9 maggio 2019.

LG_INTEROP

Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni, adottate da AGID con Determinazione n. 547 del 1° ottobre 2021.

Direttiva (UE) 2016/1148

Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

D.Lgs. 65/2018

Decreto legislativo 18 maggio 2018, n. 65 – Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

LG_DOC

Linee Guida sulla formazione, gestione e conservazione dei documenti informatici, adottate da AGID, come modificate con Determinazione n. 371 in data 17 maggio 2021.

LG_PAT

Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico, già adottate da AgID nel 2017 e in corso di aggiornamento ai sensi dell’art. 71 del CAD.

Importante ricordare che cassano le precedenti “Linee guida per i siti web delle PA” previste dall’art. 4 della Direttiva del Ministro per la Pubblica Amministrazione e l’innovazione 26 novembre 2009, n. 8, per intenderci la norma grande assente, quella che imponeva nel footer dei portali istituzionali il responsabile della pubblicazione.

Da questo momento in poi occorre prendere dimestichezza con il lessico delle norme ISO/IEC Directives, Part 3, infatti nelle note di lettura delle LLGG troviamo …

“Conformemente alle norme ISO/IEC Directives, Part 3 per la stesura dei documenti tecnici, le presenti linee guida utilizzeranno le seguenti parole chiave e relativa interpretazione:

DEVE o DEVONO, indicano un requisito obbligatorio per rispettare la linea guida.

NON DEVE o NON DEVONO o NON PUÒ o NON POSSONO, indicano un assoluto divieto delle specifiche;

DOVREBBE o NON DOVREBBE, indicano che le implicazioni devono essere comprese e attentamente pesate prima di scegliere approcci alternativi;

PUÒ o POSSONO o l’aggettivo OPZIONALE, indica che il lettore può scegliere di applicare o meno senza alcun tipo di implicazione la specifica.”

IL CAPITOLO 4 delle LLGG è diviso in 8 paragrafi, i REQUISITI da soddisfare.

Ogni requisito è valorizzato dalla finalità e dalle azioni previste con richiamo alle norme ISO/IEC Directives, Part 3.

Vediamo velocemente cosa fare e poi vi manderò le consuete griglie di controllo e PRE-AUDIT.

4.1. Accessibilità

Finalità: rendere accessibili a tutti gli utenti il contenuto, la struttura e il comportamento degli strumenti informatici, secondo i requisiti di legge.

  • Azioni richieste:
    • DEVE essere garantito il rispetto dei dettami della L. 4/2004 e s.m.i. e delle correlate «Linee guida sull’accessibilità degli strumenti informatici», emanate da AGID con Determinazione n. 396 in data 8 settembre 2020.

4.2. Affidabilità, trasparenza e sicurezza

Finalità: progettare e sviluppare servizi digitali che garantiscano la trasparenza delle informazioni e la sicurezza, nel rispetto della normativa unionale e nazionale in materia di protezione dei dati personali.

  • Azioni richieste:
    • DEVE essere garantita la protezione dei dati personali nello sviluppo di un sito web o di un servizio digitale, fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR e delle Line guida del Comitato europeo per la protezione dei dati nelle «Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita» adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020;
    • DEVE essere rispettato almeno il livello base di sicurezza stabilito dalle «Misure minime di sicurezza ICT per le pubbliche amministrazioni», ove non sia specificamente richiesto un livello superiore dal citato documento, fermo restando – in ogni caso e al fine di una effettiva protezione dei dati personali – che DEVE sempre essere effettuata la necessaria e puntuale valutazione in merito a quanto stabilito agli artt. 5, par. 1, lett. f) e 32 del GDPR;
    • DEVONO essere poste in atto misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, nel rispetto di quanto richiesto all’art. 32 del GDPR e in ottica di responsabilizzazione ai sensi dell’art. 5, par. 2 del GDPR;
    • prima di procedere al trattamento, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, DEVE essere effettuata, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR e, al ricorrere delle condizioni previste dall’art. 36 del GDPR, DEVE essere altresì consultato il Garante per la protezione dei dati personali, anche alla luce delle «Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679», come modificate e adottate dal Comitato europeo per la protezione dei dati il 4 ottobre 2017;
    • DEVE essere pubblicata, sul singolo sito, l’informativa sul trattamento dei dati personali e, laddove individuato quale base giuridica del trattamento, altresì richiesto il consenso eventualmente anche con riferimento all’uso dei c.d. cookie;
    • DEVONO essere rese agli utenti, sul trattamento dei loro dati personali, informazioni concise, trasparenti, intelligibili, facilmente accessibili, formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori, nel rispetto dell’art. 12 del GDPR;
    • DOVREBBE essere chiaramente visibile, su ogni pagina del sito, un link diretto all’informativa sul trattamento dei dati personali che riporti una dicitura di uso comune (come «Privacy», «Informativa sulla privacy» o «Informativa sulla protezione dei dati»);
    • DEVE essere fornito, al momento della raccolta dei dati personali in ambiente online, il link all’informativa sul trattamento dei dati personali o, in alternativa, DEVONO essere messe a disposizione le informazioni sul trattamento dei dati sulla stessa pagina in cui sono raccolti i dati personali;
    • qualora i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, DEVE essere possibile ai relativi utenti fruire effettivamente dei contenuti dell’informativa sul trattamento dei dati personali;
    • qualora i siti web o i servizi digitali siano specificamente indirizzati ai minori d’età, l’informativa da rendere agli interessati DEVE essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa comprendere facilmente i relativi contenuti;
    • qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), le necessarie informazioni sul trattamento dei dati personali DEVONO riguardare specificamente l’app e non meramente l’informativa generica della pubblica amministrazione che è proprietaria dell’app o che la mette a disposizione pubblicamente e DEVONO essere messe a disposizione presso gli store delle app prima del download; una volta installata l’app, le informazioni DEVONO continuare a essere facilmente accessibili al suo interno, ad esempio garantendo che tali informazioni non siano mai a più di due «tocchi» di distanza includendo un’opzione «Privacy» o «Protezione dei dati» nella funzione di menù dell’app;
    • DEVONO essere pubblicati i dati di contatto del responsabile della protezione dei dati (RPD) che la PA è tenuta a designare, ai sensi dell’art. 37 del GDPR Regolamento; tali dati di contatto DEVONO essere pubblicati sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente e ai relativi contatti, ai sensi del «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico» allegato al Provvedimento 29 aprile 2021, n. 186 emesso dal Garante per la protezione dei dati personali;
    • DEVE essere effettuata un’attenta valutazione in merito all’effettiva necessità di ricorrere all’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale rispetto alle finalità perseguite dalla PA; tale valutazione DEVE riguardare, altresì, la base giuridica degli eventuali successivi trattamenti che si intendono porre in essere attraverso i dati personali raccolti dai dispositivi degli utenti sulla base dell’art. 122 del Codice privacy, tenendo conto anche delle garanzie da assicurare in relazione a possibili trasferimenti di dati verso Paesi terzi che, in ogni caso, DEVONO avvenire nel rispetto degli artt. 44 e ss. del GDPR;
    • qualora nel sito web e nel servizio digitale siano utilizzati i c.d. cookie o altri strumenti di tracciamento, gli utenti DEVONO essere informati in merito all’impiego degli stessi, ai sensi degli artt. 12-13 del GDPR e 122 del Codice privacy, con le modalità illustrate nelle «Linee guida cookie e altri strumenti di tracciamento» del Garante per la protezione dei dati personali in data 10 giugno 2021, che integrano e precisano quanto illustrato nel precedente provvedimento recante «Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie» in data 8 maggio 2014, n. 229, anche con riferimento all’eventuale consenso, ove necessario; anche laddove l’utente non intenda prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate, DEVE essere assicurata, in ogni caso, la piena fruibilità del sito web o del servizio digitale;
    • qualora si intenda delegare a fornitori di servizi informatici (ad es. fornitori di servizi web, di servizi di hosting o cloud computing) alcune attività che comportino il trattamento di dati personali, DEVE esser fatto ricorso unicamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato; tali soggetti DEVONO essere nominati responsabili del trattamento ai sensi dell’art. 4, n. 8) del GDPR e nel rispetto di quanto richiesto all’art. 28 del GDPR; in particolare, DEVE individuarsi una corretta ripartizione delle responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali effettuato nell’ambito dei siti web e dei servizi digitali, anche in relazione all’adozione di adeguate misure tecniche e organizzative di sicurezza, evitando, in particolare, sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento; PUÒ, inoltre, essere previsto che il responsabile possa ricorrere ad altro responsabile, individuando misure organizzative volte a garantire alla PA titolare del trattamento idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità; DOVREBBE essere previsto, infine, che, qualora tali fornitori di servizi siano stabiliti in Paesi terzi, DEVONO essere soddisfatte le condizioni previste dagli artt. 44 e ss. del GDPR ai fini della liceità del trasferimento dei dati personali in tali Paesi (anche ai sensi delle «Guidelines 07/2020 on the concepts of controller and processor in the GDPR», adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021);
    • DEVONO inserirsi i trattamenti di dati personali effettuati mediante il sito web o il servizio online nel Registro dei trattamenti, ai sensi dell’art. 30 del GDPR.

4.3. Semplicità di consultazione ed esperienza d’uso

Finalità: progettare, realizzare e mantenere siti internet e servizi digitali utili e facili da usare, secondo una metodologia di progettazione centrata sull’utente.

  • Azioni richieste:
    • SI DEVE adottare un approccio progettuale orientato alle persone capace di coinvolgere, ascoltare e osservare gli utenti nelle fasi di analisi, ideazione, progettazione, sviluppo e manutenzione del sito/servizio in un’ottica di miglioramento continuo, secondo una logica iterativa, utilizzando ove possibile metodologie agile;
    • SI DEVONO definire e valutare in modo esplicito obiettivi, destinatari, processi e attori nella progettazione del sito/servizio;
    • SI DEVONO svolgere attività di ricerca con utenti, per definire e valutare in modo esplicito le caratteristiche e i bisogni delle persone rispetto allo specifico contesto d’uso per il quale si sta progettando il sito/servizio;
    • SI DEVONO mappare gli scenari d’uso e le funzionalità del sito/servizio dal punto di vista degli utenti per creare prototipi che verifichino la soluzione progettuale adottata e la sua usabilità;
    • SI DEVONO tenere presenti i risultati delle ricerche effettuate con utenti per la definizione dell’architettura dell’informazione;
    • SI DEVONO condurre test di usabilità per comprendere se i servizi digitali, esistenti o in fase di progettazione, corrispondano alle esigenze degli utenti;
    • SI DEVONO utilizzare ontologie e vocabolari controllati standard della Pubblica Amministrazione;
    • SI DEVE utilizzare un linguaggio e un’organizzazione dei contenuti adeguati all’utente destinatario;
    • SI DEVE rendere facilmente trovabile, mediante motori di ricerca esterni (ove consentito dalle vigenti normative) e interni al sito, il contenuto pubblicato;
    • SI DOVREBBE pubblicare, su ogni pagina del sito internet, la data dell’ultimo aggiornamento o verifica del contenuto.

4.4. Monitoraggio dei servizi

Finalità: analizzare e migliorare l’esperienza d’uso dei siti/servizi digitali mediante la rilevazione qualitativa e quantitativa dei dati di fruizione.

zioni richieste:

  • SI DEVONO effettuare la raccolta e l’analisi statistica del traffico e del comportamento utente rispetto all’accesso e utilizzo di siti e servizi digitali;
  • SI DEVONO pubblicare le informazioni, opportunamente aggregate e anonimizzate, derivanti dal monitoraggio statistico attivato sul singolo sito e/o servizio;
  • SI DOVREBBE adottare la piattaforma Web Analytics Italia (WAI), avendo cura di informarne adeguatamente gli utenti ai sensi degli artt. 12 e 13 del GDPR e 122 del Codice privacy e assicurando il rispetto di quanto previsto nelle richiamate «Linee guida cookie e altri strumenti di tracciamento» emanate dal Garante per la protezione dei dati personali;
  • SI DEVE consentire agli utenti di comunicare facilmente all’amministrazione il livello di soddisfazione ed eventuali difficoltà riscontrate, rispetto alla qualità dell’informazione e dei servizi on line;
  • SI DEVONO condurre attività di raccolta, analisi e valutazione dei feedback degli utenti relativi alla qualità percepita;
  • SI DOVREBBE condurre un’attività di manutenzione evolutiva dei siti internet e servizi digitali, facendo ricorso alle principali metodologie di testing e ricerca quantitativa e qualitativa.

4.5. Interfaccia utente

  • Finalità: mettere a disposizione interfacce utenti semplici da utilizzare.
  • Azioni richieste:
    • SI DEVONO utilizzare, ove disponibili, modelli di design realizzati per specifiche tipologie di siti internet e servizi digitali;
    • SI DEVONO realizzare, nell’ambito dello stesso sito internet o servizio digitale, interfacce coerenti nello stile e nell’esperienza d’uso, privilegiando le indicazioni e gli strumenti previsti su https://designers.italia.it;
    • SI DEVONO realizzare interfacce che si adattino al dispositivo dell’utente.

4.6. Integrazione delle piattaforme abilitanti

  • Finalità: prevedere un’esperienza d’uso comune alle diverse procedure on line.
  • Azioni richieste:
    • SI DEVE garantire l’accesso ai servizi digitali della PA con i sistemi di autenticazione previsti dal CAD, nel rispetto del principio di minimizzazione di dati e assicurando che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali degli utenti (attributi dell’identità digitale) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati;
    • DEVE valutarsi la sussistenza di un’idonea base giuridica, ai sensi degli artt. 5, par. 1, lett. a) e 6 del GDPR e dell’art. 2-ter del Codice privacy, e di adeguate garanzie, ai sensi degli artt. 44 e ss. del GDPR, qualora si intenda utilizzare eventuali elementi di terze parti incorporati sui propri siti web (ad es. font tipografici, video player, social plug-in, ecc.), che possono comportare la comunicazione di dati personali a terzi e, in alcuni casi, anche il trasferimento dei dati personali in Paesi terzi;
    • SI DEVE consentire agli utenti di effettuare i pagamenti online mediante gli strumenti di pagamento previsti dal CAD.

4.7. Licenze

  • Finalità: privilegiare l’applicazione di una licenza aperta ai contenuti.
  • Azioni richieste:
    • SI DEVE associare ai contenuti una licenza aperta, ove non diversamente previsto dalla vigente normativa;
    • SI DEVE inserire il link alla licenza adottata riportando la versione aggiornata della stessa.

4.8. Attuazione

  • Finalità: assicurarsi che le attività di progettazione, sviluppo e manutenzione di siti e servizi digitali rispondano alle presenti linee guida.
  • Azioni richieste:
    • SI DEVE inserire la seguente dicitura all’interno della documentazione dei contratti pubblici concernenti l’affidamento di attività di progettazione, sviluppo e manutenzione di siti internet e servizi digitali: «Il fornitore incaricato deve rispettare le indicazioni riportate nelle Linee guida di design per i siti internet e i servizi digitali della PA».

Detto questo è evidente per i miei clienti un “quasi nulla di nuovo”, tuttavia ricordo che da questo momento in poi sarà obbligatorio utilizzare il protocollo eGLU e fare i TEST di usabilità oltre a quelli di accessibilità.

Attendete le mie nuove griglie e rivedete le linee guida sulla pubblicita’ legale dei siti web, ancora vigenti.

Consiglio anche un refresh sull’accessibilità

e sulle procedure di affidamento dei contratti ICT

COME SEMPRE RESTIAMO DISPONIBILI per il SUPPORTO e per i WORKSHOP

Vincenzo De Prisco cell 3389141276

dott.ssa Elisa Carotenuto cell. 3382797858

DECRETO TRASPARENZA DIPENDENTI.

Dal giorno 14 Agosto 2022 (in pratica da martedí 16) entra in vigore il D.lgs 104/22, attuativo della Direttiva 1152/2019.

Come sempre c’è confusione nell’armonizzazione, tuttavia nell’attesa di alcuni chiarimenti amministrativi vi scrivo cosa ci aspetta e vi lascio un addendum all’informativa 13-14 GDPR.

AMBITO DI APPLICAZIONE :

Si applica a tutti i rapporti di lavoro, con le esclusioni (chiare) che troviamo nell’articolo 1 comma 4 del D.Lgs 104/2022

 4. Sono esclusi dall'applicazione del presente decreto: 
    a) i rapporti di lavoro autonomo di cui al titolo III del libro V
del codice civile e quelli di  lavoro  autonomo  di  cui  al  decreto
legislativo 28 febbraio 2021, n. 36, purche' non integranti  rapporti
di collaborazione coordinata e continuativa, di cui all'articolo 409,
n. 3, del codice di procedura civile; 
    b) i rapporti di lavoro caratterizzati  da  un  tempo  di  lavoro
predeterminato ed effettivo di durata pari o inferiore a una media di
tre ore a settimana in un periodo di riferimento di quattro settimane
consecutive. E' considerato nella media delle tre  ore  il  tempo  di
lavoro  prestato  in  favore  di  tutti  i  datori  di   lavoro   che
costituiscono una stessa impresa, uno stesso gruppo  di  imprese.  La
presente esclusione non opera in  relazione  ai  rapporti  di  lavoro
nell'ambito dei quali non sia stata stabilita una quantita' garantita
di lavoro retribuito prima dell'inizio del lavoro; 
    c) i rapporti di agenzia e rappresentanza commerciale; 
    d) i rapporti di collaborazione prestati nell'impresa del  datore
di lavoro dal coniuge, dai parenti e dagli affini non oltre il  terzo
grado, che siano con lui conviventi; 
    e)  i  rapporti   di   lavoro   del   personale   dipendente   di
amministrazioni  pubbliche  in  servizio  all'estero,   limitatamente
all'articolo 2 del decreto legislativo 26 maggio 1997, n.  152,  come
modificato dal presente decreto; 
    f) i rapporti di lavoro del personale di cui all'articolo  3  del
decreto  legislativo  30  marzo  2001,  n.  165,  relativamente  alle
disposizioni di cui al Capo III del presente decreto. 

In cosa consiste l’adempimento per quanto riguarda la disciplina generale?

In base all’art. 4 comma 1, le informazioni che dovranno essere comunicate ai lavoratori sono le seguenti:

  • l’identità delle parti, ivi compresa quella dei co-datori di lavoro;
  • il luogo di lavoro. In mancanza di un luogo di lavoro fisso o predominante, il datore di lavoro dovrà specificare che la sede può corrispondere a luoghi diversi, oppure che il lavoratore è libero di decidere il proprio luogo di lavoro;
  • la sede o il domicilio del datore di lavoro;
  • l’inquadramento, il livello e la qualifica attribuiti al lavoratore o, in alternativa, le caratteristiche o la descrizione sommaria del lavoro svolto dal lavoratore;
  • la data di inizio del rapporto di lavoro;
  • la tipologia di rapporto di lavoro, precisandone la durata nel caso di rapporti a termine;
  • nel caso di lavoratori dipendenti da agenzia di somministrazione di lavoro, l’identita’ delle imprese utilizzatrici, quando e non appena sia nota;
  • la durata del periodo di prova, se previsto;
  • il diritto a ricevere la formazione erogata dal datore di lavoro, se prevista;
  • la durata del congedo per ferie, nonché degli altri congedi retribuiti a cui il lavoratore ha diritto o, se ciò non può essere indicato all’atto dell’informazione, le modalità di determinazione e di fruizione degli stessi;
  • la procedura, la forma e i termini del preavviso in caso di recesso del datore di lavoro o del lavoratore;
  • l’importo iniziale della retribuzione o comunque il compenso e i relativi elementi costitutivi, con l’indicazione del periodo e delle modalità di pagamento;
  • la programmazione dell’orario normale di lavoro e le eventuali condizioni relative al lavoro straordinario e alla sua retribuzione, nonché le eventuali condizioni per i cambiamenti di turno, se il contratto di lavoro prevede un’organizzazione dell’orario di lavoro in tutto o in gran parte prevedibile;
  • se il rapporto di lavoro, caratterizzato da modalità organizzative in gran parte o interamente imprevedibili, non prevede un orario normale di lavoro programmato, il datore di lavoro informa il lavoratore circa:
  1. la variabilità della programmazione del lavoro, l’ammontare minimo delle ore retribuite garantite e la retribuzione per il lavoro prestato in aggiunta alle ore garantite;
  2. le ore e i giorni di riferimento in cui il lavoratore e’ tenuto a svolgere le prestazioni lavorative;
  3. il periodo minimo di preavviso a cui il lavoratore ha diritto prima dell’inizio della prestazione lavorativa e, ove ciò sia consentito dalla tipologia contrattuale in uso e sia stato pattuito, il termine entro cui il datore di lavoro può annullare l’incarico;
  • il contratto collettivo, anche aziendale, applicato al rapporto di lavoro, con l’indicazione delle parti che lo hanno sottoscritto;
  • gli enti e gli istituti che ricevono i contributi previdenziali e assicurativi dovuti dal datore di lavoro e qualunque forma di protezione in materia di sicurezza sociale fornita dal datore di lavoro stesso;
  • gli elementi previsti dall’articolo 1-bis qualora le modalità di esecuzione della prestazione siano organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati.

In cosa consiste l’adempimento per quanto riguarda la disciplina del GDPR ?

“Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”, obbliga inoltre il datore di lavoro “a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Nel caso, quindi, in cui il datore di lavoro faccia uso di tali sistemi, oggi davvero diffusi, al lavoratore devono essere fornite anche le seguenti informazioni:

  • gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di tali sistemi decisionali o di monitoraggio;
  • gli scopi e le finalità di tali sistemi;
  • la logica e il funzionamento di tali sistemi;
  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare tali sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cybersicurezza di tali sistemi, le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Nell’informativa che ho dato ai miei clienti già sono date queste informazioni e soprattutto i trattamenti sono censiti ai sensi dell’articolo 30 del GDPR (Registro delle attività dei trattamenti), quindi nell’attesa di ulteriori precisazioni basta consegnare questo addendum con la modalità che ogni DATORE di LAVORO-TITOLARE riterrà più opportuna.

COMUNICAZIONI e MINACCE di MONITORAPA

Avete ricevuto in questi giorni un messaggio da parte di MONITORAPA, vi dico subito che non è un ENTE DI CONTROLLO od ISPETTIVO, come lo stesso firmatario chiaramente dichiara.

Il messaggio di tipo massivo ha una base di verita’, ma avrei approfondito il discorso al rientro dalle vacanze agostane.

Il 27 Luglio 2022 , l’AGID con Determina 224/22 ha emanato le nuove linee guida sui portali delle PP.AA.

L’adeguamento prevede grosse modifiche e molto lavoro da parte dei webmaster, vi allego le LL.GG ed entro settembre vi mando le indicazioni che dovrebbero gia’ essere note ai webmaster ed ai sistemisti dei CMS.

Tuttavia devo precisare che i trenta giorni “minacciati” dall’epistole di MONITORAPA lasciano il tempo che trovano, gli unici che possono mettervi in mora sono le autorità indipendenti ed ispettive , e chi ha gia’ deciso di adeguare il sito con i fondi PNRR non deve accelerare nessun processo ma solo mettere in contatto gli esperti web con me.

Ragazzi, buone vacanze….vi lascio il post dove avevo anticipato la modifica ai siti istituzionali.

io ci sono.

PNRR-Ci siamo, sono arrivati i finanziamenti….ed ora le cose si fanno difficili. – Consulenti Associati Campania (ca-campania.com)

STOP ANCHE DAL GARANTE ITALIANO per GOOGLE ANALITYCS

Il giorno 23/06/2022 anche il GPDP italiano si è pronuniato sull’inadeguatezza di GA.

Quindi è il caso di seguire questo cronoprogramma :

  • Per le PP.AA. che hanno aderito alla misure 1.4.1 PA2026 PNRR —->Adeguamento entro 270 giorni dalla data odierna
  • Per le PP.AA. che hanno aderito alla misura 1.2 PA2026 PNRR —->Adeguamento entro 270 giorni dalla data odierna
  • Per tutte le altre PP.AA. ed aziende private adeguaemnto entro 90 giorni dalla data odierna.,

I tempi di adeguamento sono ovviamente indicativi e tengono conto per i beneficiari dei fondi PNRR delle tempistiche amministrative e tecniche.

Consiglio come anche anche da raccomandazione AGID il passaggio ad Analytics ITALIA come previsto dall’articolo 7 del D.Lgs 82/05.

Vogliate sollecitare i vostri fornitori di servizi web e webmaster dell’adempimento chiedendo loro di contattarmi per le indicazioni necessarie.

Riproposto.Precisazioni sull’applicazione dell’O M n.11/2020.

In data 06/06/2020 sono pervenuti i chiarimenti per il regime di pubblicita’ degli esiti finali.

Per quieto vivere non scenderò nei dettagli ricordando dell’obbligo di pubblicita’ legale del procedimento amministrativo chiamato “ANNO SCOLASTICO”, in ogni caso la nota ci ricorda di :

  • Pubblicare gli esiti con lo status di AMMESSO o NON AMMESSO nell’area del registro elettronico “RISERVATA ma non troppo” ove accedono tutti gli studenti della classe
  • Pubblicare i voti, anche inferiori alla sufficienza, nell’AREA “RISERVATA RISERVATA” , in modo che i risultati possano essere visionati solo dallo studente in possesso delle proprie credenziali.

In poche parole verra’ a mancare il diritto di opposizione non pubblicando sui CARTELLONI i risultati.

Giova ricordare ai soggetti autorizzati alla pubblicazione dei risultati, ed ai soggetti interessati che possono consultare il registro elettronico, mediante un disclaimer l’obbligo di non divulgare le notizie contenute nell’area riservata .

Disclaimer personale dipendente

Si ricorda che ai sensi dell’articolo 28 della L.241/90 e del DPR 3/57 che le informazioni da lei trattate sono sottoposte al segreto d’ufficio, si intima di non divulgare con nessun mezzo i risultati soggetti a pubblicazioni e qualora ne avesse richiesta di invitare l’utenza a consultare l’area del registro elettronico di competenza

Disclaimer alunni / famiglie

Carissimi ragazzi e gentili genitori,
con la presente nota la scuola vi ricorda di non diffondere tramite web e social i risultati di fine anno.

DUE NOTE .
1) nella rabbia di questo stranissimo 2020 devo ringraziare tutte le scuole per il LAVORO sotto stress che ha eseguito, non vi ringrazio per la resilienza alle procedure amministrative che avete mostrato , ma per aver creato il futuro della societa’ anche con questo bastardo di COVID

2) Disclaimer e’ la parola più CHATTATA del 10/06/2020 nei gruppi social delle scuole, attenzione !!!!!!!

Chi di voi mi conosce bene immagina che scrivendo queste ultime righe mi sia commosso. E’ vero. Ciao amici miei.

Google Analytics

Sono state diffidate circa 8000 PA ITALIANE dal gruppo attivista privacy.g0v.it .

La diffida si basa sulla segnalazione del GPDP AUSTRIACO che ha ritenuto non valido il traffico generato da GOOGLE per gli apetti dell’analisi del traffico.

Il Garante Italiano (e gli altri) ancora non si sono espressi.

Detto questo è inutile fare una corsa a rimuovere servizi che non è detto che siano installati sul vostri siti web, tuttavia teniamoci pronti entro il 31/12/2022 a switchare il GOOGLE ANALYTCS in favore di WEB ANALYTICS ITALIA.

Vincenzo De Prisco

Qualche dritta su KASPERSKY.

Come sempre preferisco affrontare con la massima serenità tutte le novità usate da qualcuno per fare cassa.

Il problema di KASPERSKY ad oggi non è dato dal fatto che il produttore possa violare i nostri sistemi, il vero problema è che potrebbe non contunare a dare gli aggiornamenti ed ad essere proattivo.

A mio avviso ho sempre considerato KASPERSKY un prodotto appena mediocre ma non voglio inferire. Continuando come da mia bitudine vi lascio l’articolo 28 DL UCRAINA

ART. 28

(Rafforzamento della disciplina cyber)

Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi

informatici delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30

marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di

sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e

aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza

della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione

dei prodotti in uso.

Le stazioni appaltanti, che procedono ai sensi del comma 1, provvedono all’acquisto di un ulteriore

prodotto o servizio tecnologico di sicurezza informatica di cui al comma 3 e connessi servizi di

supporto mediante gli strumenti di acquisto messi a disposizione dalle centrali di committenza,

ovvero, laddove non sussistano o non siano comunque disponibili nell’ambito di tali strumenti, ai

sensi dell’articolo 63, comma 1, del decreto legislativo 16 aprile 2016, n. 50. Si applicano le

disposizioni di cui al comma 5, secondo, terzo e quarto periodo del medesimo articolo 63.

Le categorie di prodotti e servizi di cui al comma 1 sono indicate con circolare dell’Agenzia per la

cybersicurezza nazionale, tra quelle volte ad assicurare le seguenti funzioni di sicurezza:….

Quindi se dovete cambiare già ANTIVIRUS fatelo, altrimenti fate una buona analisi e cercate con calma qualche buona alternativa… io ci sono.

SICUREZZA INFORMATICA – GUERRA UCRAINA

Il Computer Security Incident Response Team – Italia ha dato alcune raccomandazioni anche per gli enti fuori dal NIS (Network and Information Security).

Solitamente non spingo a fare nuovi investimenti in sicurezza informatica per casi “eccezionali”, ma queste raccomandazioni (almeno la maggioranza di queste) possono essere fatte in economie .

Riporto le racccomandazioni del CSIRT ed invito a rendicontare qualsiasi anomalia da inserire poi nelle MMS di giugno 2022 e magari solo dpo fare investimenti in sicurezza anche grazie al PNRR

Descrizione e potenziali impatti

L’acuirsi delle attività malevole nello spazio cibernetico incrementa la possibilità che le stesse possano generare fenomeni di spillover al di fuori degli assetti direttamente oggetto delle campagne.

I vettori principali per condurre tali attività malevole dall’esterno del perimetro delle reti aziendali sono riferibili a:

– utilizzo di piattaforme di comunicazione pubbliche per il rilascio di codice malevolo;

– invio di email di phishing contenenti allegati o link malevoli nel body delle email;

– file malevoli distribuiti tramite piattaforme di condivisione peer to peer;

– sfruttamento di vulnerabilità note nei sistemi internet facing;

– malware rilasciato tramite siti web appositamente creati o compromessi, ad esempio per campagna di watering hole;

– utilizzo di sistemi che possano essere utilizzati per amplificare l’effetto di attacchi DDoS volumetrici (e.g. LDAP e DNS non correttamente configurati).

Per quanto invece concerne lo sfruttamento di asset interni alla rete, particolare attenzione va posta nel rilevamento rapido di anomalie riscontrate nei sistemi di gestione e di networking (in quanto gli stessi in caso di compromissione possono rappresentare dei facilitatori alle attività avversarie) quali:

– sistemi di gestione delle patch;

– sistemi di asset management;

– sistemi di gestione remota;

– sistemi di sicurezza (antivirus, firewall, etc);

– sistemi assegnati agli amministratori;

– sistemi centralizzati di logging, backup, file sharing, storage;

– sistemi per la gestione di un dominio (es. Active Directory, LDAP, etc)

– apparati di rete (router, switch).

Azioni di Mitigazione

Con l’aumentare dei rischi connessi alle attività malevoli in corso nel cyberspazio ucraino, è necessario adottare, se non già fatto, misure di protezione prioritarie che abbraccino i seguenti ambiti:

riduzione della superficie di attacco esterna

riduzione della superficie di attacco interna

controllo stringente degli accessi ai sistemi/servizi

monitoraggio dei log, del traffico di rete e delle attività effettuate dagli account di amministrazione

organizzazione interna per la preparazione e gestione delle crisi cibernetiche

pianificazione della revisione delle proprie infrastrutture IT in ottica Zero Trust

sostenere l’infosharing interno ed esterno.

Di seguito le raccomandazioni di dettaglio

Riduzione della superficie di attacco esterna

  • eseguire l’asset management approfondito di tutti i sistemi direttamente o indirettamente esposti su Internet verificandone Sistema Operativo e software installato (e relativo patch level), servizi in esecuzione, task schedulati, regole di firewalling che ne consentono l’esposizione, sistemi di protezione (AV, EDR, WAF, HIPS, NIPS, Firewall, CDN, etc) e relativo livello di aggiornamento e corretta configurazione, disponibilità di tutto il necessario per la reinstallazione completa del sistema (golden image, codice sorgente, struttura database, etc);
  • assicurarsi che su tutte le componenti di tali sistemi siano implementate le best practice più restrittive in termini di sicurezza, disabilitando inoltre tutte le funzionalità/pacchetti non necessari;
  • eseguire la bonifica di tutti i record DNS non più utilizzati;
  • implementare sui propri DNS autoritativi le seguenti misure: disabilitazione della ricorsività, limitazione della ricorsività ai soli client necessari, implementare il response rate limiting;
  • verificare l’effettiva necessità di esposizione dei sistemi identificati e ove non necessario procedere alla rimozione degli stessi;
  • procedere al patching di tutte le componenti identificate ponendo particolare attenzione ad utilizzare solo fonti verificate per il reperimento del software di aggiornamento;
  • in caso non fosse possibile per limitazioni applicative l’attività di patching valutare la possibilità di disconnettere il servizio/asset, implementare sistemi di virtual patching, segregare in una DMZ dedicata le componenti non aggiornabili consentendo alle stesse esclusivamente le comunicazioni strettamente necessarie al funzionamento del servizio ospitato, innalzare al livello massimo le capacità di logging e monitoraggio di tali sistemi;
  • verificare i flussi di comunicazione disponibili agli asset esposti, riducendoli alle sole comunicazioni essenziali ed innalzando il livello di logging e monitoraggio di tali flussi;
  • inibire, se non strettamente necessario, il traffico in uscita degli assetti esposti su internet.

Riduzione della superficie di attacco interna

  • verificare/implementare la segmentazione della rete assicurandosi che le regole di gestione del traffico client-to-server e server-to-server consentano esclusivamente traffico strettamente necessario al corretto funzionamento delle applicazioni assicurandosi che tali flussi siano definiti, documentati, approvati e monitorati;
  • verificare/implementare una rete segregata per tutto il management degli apparati di rete, storage, infrastrutture di virtualizzazione;
  • verificare tutti gli accessi alla rete Internet rimuovendo, ove possibile, quelli non strettamente necessari, e assicurandosi che offrano capacità di logging e di impostazione di regole di blocco del traffico;
  • verificare che tutte le componenti della rete siano correttamente censite e gestite;
  • irrobustire i controlli effettuati dai sistemi antispam per ridurre la consegna di possibili email di phishing;
  • eseguire sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging.

Controllo degli accessi

  • implementare l’autenticazione multifattoriale per i servizi esterni ed interni;
  • verificare/implementare la password policy (min. 12 caratteri alfanumerici, maiuscole minuscole, caratteri speciali), e la lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici (es. utilizzando il servizio HIBP) e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
  • rimuovere le autorizzazioni legate a gruppi generici (es. Everyone, Domain Users, Autenticated Users) assicurandosi che ogni utente appartenga al corretto gruppo autorizzativo;
  • assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio e che questi siano correttamente documentati;
  • ridurre i permessi concessi agli account di servizio al livello minimo necessario al corretto funzionamento delle applicazioni, rimuovendo ove possibile le autorizzazioni al logon locale e interattivo, l’accesso alle share di rete o a dati critici non necessari;
  • testare con cadenza periodica (in dipendenza in particolare dalla specifica profondità temporale) la funzionalità dei backup.

Monitoraggio

  • innalzare i livelli di monitoraggio in particolare per gli account dotati di privilegi amministrativi e per gli account di servizio, verificando con attenzione i log relativi ai login con successo/falliti, all’accesso alle share di rete, ai logon interattivi e di rete effettuati tramite sessione remota;
  • monitorare i flussi di rete identificando connessioni effettuate verso porte non previste dalle applicazioni;
  • monitorare gli eventi che possono rappresentare attività di scansione o di enumerazione;
  • assicurarsi che i sistemi di logging e raccolta degli stessi siano sempre adeguati in caso di modifiche architetturali e che coprano tutti i sistemi presenti sulla rete;
  • identificare e innalzare il livello di monitoraggio delle componenti di rete/servizio che possono rappresentare punti di snodo per il passaggio tra segmenti differenti;
  • monitorare le proprie reti utilizzando tutti gli indicatori di compromissione disponibili.

Organizzazione

I soggetti e le organizzazioni sono inviati ad analizzare la propria struttura organizzativa nell’ottica di verificare che sia adeguata alla preparazione e gestione di un incidente informatico di impatto elevato sulla propria operatività, da tutti i punti di vista, sia tecnologico, sia di business.

Pianificazione

Oltre alla revisione dei propri piani interni relativi alla gestione degli incidenti informatici (es. Incident response plan) e alla continuità operativa (es. Disaster recovery plan, Business continuity plan), si consiglia, ove già non in essere, l’avvio di un percorso di revisione delle proprie infrastrutture IT che porti all’adozione di paradigmi Zero Trust in grado di innalzare in maniera sensibile la resilienza delle stesse.

Infosharing

La condivisione delle informazioni rappresenta un moltiplicatore importante in termini di protezione dello spazio cibernetico e pertanto si invitano tutti i soggetti a monitorare i canali istituzionali dello CSIRT Italia e a condividere con lo stesso tramite i moduli di segnalazione e la mail info@csirt.gov.it ogni informazione ritenuta d’interesse.

IL DIRITTO DI ACCESSO AI DOCUMENTI DELL’ENTE…

Aggiornamento importante!

Al TAR 253/2020 FVG si aggiunge anche il CdS con 769/2022 . L’accesso ai Consiglieri ex art 43 c.2 del TUEL al Protocollo informatico dell’ente NON è CONCESSO !!!!!!!

Giusto per ricordare …

Un vecchio pOST

… da parte dei consiglieri.

L’articolo 43 comma 2 del TUEL …

2. I consiglieri comunali e provinciali hanno diritto di ottenere dagli uffici, rispettivamente, del comune e della provincia, nonche’ dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni in loro possesso, utili all’espletamento del proprio mandato. Essi sono tenuti al segreto nei casi specificamente determinati dalla legge.

… ma il tempo cambia e la societa’ si modifica, poi se c’e’ la grande rete in mezzo gli scenari si capovolgono.

Chiariamo subito che il diritto di accesso dei consiglieri e’ SACROSANTO quando serve a gestire il loro mandato rappresentativo, e soprattutto non deve rappresentare un controllo INDISCRIMINATO all’operato dell’ENTE, di questo avviso gia’ nel 2005 il CdS n. 5879 che in sintesi ricorda …

L’accesso dei consiglieri comunali e provinciali agli atti amministrativi dell’ente locale, disciplinato dall’art. 43, comma 2, del T.U.O.E.L. n. 267/2000, è un diritto pieno e non comprimibile all’accesso al fine di svolgere compiutamente il proprio mandato (C.d.S., Sez. V, 21 agosto 2006 n. 4855) da cui consegue che “ … i consiglieri comunali hanno diritto di accesso a tutti gli atti che possano essere d’utilità all’espletamento del loro mandato, senza alcuna limitazione” (sen. C.d.S. n. 2716 del 4 maggio 2004).

Tuttavia, il consigliere è soggetto al rispetto di alcune forme e modalità quali, ad esempio, l’obbligo di formulare istanze “ … in maniera specifica e dettagliata recando l’esatta indicazione degli estremi identificativi degli atti e dei documenti o, qualora siano noti tali estremi, almeno degli elementi che consentano l’individuazione dell’oggetto dell’accesso” (C.d.S., Sez. V, 2 settembre 2005, n. 4471, C.d.S., Sez. V, 2 settembre 2005 ed anche C.d.S., Sez. V, 28 novembre 2006, n. 6960). L’adempimento, infatti, non deve risultare eccessivamente gravoso per l’ente locale ed intralciare lo svolgimento dell’attività amministrativa con riflessi negativi sul regolare funzionamento degli uffici comunali (C.d.S., sez. V, 13 novembre 2002, n. 6293 e C.d.S., sez. V, 26 settembre 2000, n. 5109).

Ma ora viene il bello, con l’informatica, con la grande rete ed anche con lo SMART-WORKING i consiglieri hanno iniziato a chiedere, sempre in forza del 43 del TUEL l’accesso diretto al protocollo informatico dell’ENTE.

PAZZIAAAA !!!!!!, ovviamente non e’ solo un mio parere, vediamo due sentenze amministrative che vanno in questo verso .

TAR SICILIA 926/2020 ( anche in allegato) chiarisce che l’accesso diretti tramite il protocollo informatico equivale a ” controllo generalizzato “, si vedano le pagg. 14 e 15

ancora piu’ interessante e specifico il TAR 253/2020 del Friuli Venezia Giulia datato 09/07/2020 (sempre in allegato) che ricalca la 926/20 SICILIA ed aggiunge che l’accesso indiscriminato potrebbe ledere la riservatezza delle gare ( art 53 del D.Lgs 50/16) informazioni sulla genitorialita’ e sui TSO.

In estrema sintesi l’accesso e’ sacrosanto, il controllo indiscriminato assolutamente NO !!!

A questo punto muoviamoci a scrivere il nuovo manuale di gestione documentale ed il regolamento di accesso agli atti amministrativi.

Richiesta dati di contatto per elezioni sindacali

Ogni organizzazione rappresentativa dovrebbe ben conoscere l’elettorato ed avere anche i dati di contatto degli iscritti.

Ovviamente questi dati di contatto servono per avere relazioni ISTITUZIONALI con gli iscritti ed i simpatizzanti,

quindi non occorre nessun consenso quando la finalità del trattamento è quella propria istituzionale, INFO e basta.

Quandi gli stessi dati di contatto, fisso, mobile mail etc etc sono utilizzati per propaganda elettorale occorrre un consenso.

Il consenso deve essere rilasciato dall’interessato al titolare del trattamento dei dati ( Partito, associazione, sindacato) e non certamente al datore di lavoro.

Ma in estrema sintesi, visto che occorre il consenso (art 6 par 1 lett a del Regolamento) dall’iscritto al rappresentante dell’elettorato passivo è corroborata la tesi per la quale il datore di lavoro non può cederre i dati di contatto, soprattutto se quest’ultimo si impegna alla diffusione degli eventi di sensibilizzazione.

Per maggiore chiarezza riporto integralmente il parere 96/2019 GPDP

Registro dei provvedimenti
n.  96 del 18 aprile 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI gli artt. 57, par. 1, lett. b) e d) del Regolamento e 154, comma 1, lett. f) e g) del Codice in merito al compito attribuito al Garante di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, nonché agli obblighi imposti ai titolari ed ai responsabili del trattamento;

VISTA la dichiarazione 2/2019 del Comitato europeo per la protezione dei dati personali sull’uso di dati personali nel corso di campagne politiche, adottata il 13 marzo 2019;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. Finalità del provvedimento

Le iniziative di propaganda elettorale e di comunicazione politica, collegate a consultazioni elettorali o referendarie o alla selezione di candidati alle elezioni, costituiscono un momento particolarmente significativo della partecipazione alla vita democratica (art. 49 Cost.).

Il rispetto delle norme in materia di protezione dei dati, in tale contesto, è pertanto essenziale per mantenere la fiducia dei cittadini e garantire il regolare svolgimento in tutte le fasi delle consultazioni elettorali.

Anche per tali ragioni, in considerazione dei potenziali rischi che l’uso illecito dei dati personali può comportare per i processi elettorali e la democrazia, lo stesso legislatore europeo ha di recente previsto “sanzioni pecuniarie nei casi in cui i partiti politici europei o le fondazioni politiche europee sfruttino le violazioni delle norme in materia di protezione dei dati al fine di influenzare l’esito delle elezioni del Parlamento europeo” (v. Regolamento UE, Euratom n. 1141/2014, del 22 ottobre 2014, relativo allo statuto e al finanziamento dei partiti politici europei e delle fondazioni politiche europee, come modificato dal Regolamento UE, Euratom 2019/493 del 25 marzo 2019).

Pertanto, in vista delle prossime consultazioni, anche alla luce del nuovo quadro normativo introdotto dal Regolamento e dal Codice, il Garante invita tutti i soggetti, a vario titolo coinvolti nel contesto delle elezioni e delle campagne politiche, alla puntuale osservanza dei principi vigenti in materia di protezione dei dati ed evidenzia la necessità di garantire agli interessati l’esercizio dei propri diritti (artt. 5; 15-22, Regolamento).

Inoltre, il Garante richiama l’attenzione sui principali casi nei quali partiti, organismi politici, comitati di promotori e sostenitori nonché singoli candidati, possono utilizzare i dati personali degli interessati per iniziative di propaganda nel rispetto dei diritti e delle libertà fondamentali degli interessati (art. 1, par. 2, Regolamento). Di seguito sono evidenziati, distintamente ai paragrafi 2 e 3, i presupposti di liceità del trattamento dei dati nell’ambito dell’attività elettorale (consenso, legittimo interesse e altri presupposti).

2. Presupposti di liceità del trattamento: dati utilizzabili con il consenso

In linea generale, il trattamento dei dati nell’ambito sopra descritto può essere effettuato, a garanzia dei diritti e delle libertà degli interessati, sulla base di alcuni presupposti di liceità, fra i quali la previa acquisizione del consenso di quest’ultimi, che deve essere libero, specifico, informato e inequivocabile (artt. 6, par. 1, lett. a) e 7, Regolamento), nonché esplicito ove il trattamento riguardi categorie particolari di dati (art. 9, par. 2, lett. a), Regolamento).

Il consenso pertanto deve essere richiesto con formulazione specifica e distinta rispetto alle ulteriori eventuali finalità del trattamento, quali, ad esempio, quelle di marketing; di profilazione; di comunicazione a terzi per le loro finalità promozionali oppure di profilazione di tali distinti soggetti. Lo stesso inoltre deve essere documentabile (ad es. per iscritto o su supporto digitale), ossia il titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei suoi dati (v. artt. 5, par. 2 e 7, par. 1, Regolamento).

Di seguito sono evidenziati i casi in cui è possibile trattare i dati degli interessati, con il consenso di cui sopra:

A) Iscritti ad organismi associativi a carattere non politico

Enti, associazioni ed organismi (ad es. associazioni sindacali, professionali, sportive, di categoria, etc.) che non perseguono esplicitamente scopi di natura politica, possono trattare i dati dei propri iscritti per realizzare iniziative di propaganda elettorale e connessa comunicazione politica – in qualità di titolari del trattamento – soltanto qualora acquisiscano il consenso dell’interessato, e previa indicazione in modo chiaro nell’informativa dell´intenzione di utilizzare i dati personali degli aderenti al predetto scopo (artt. 6, par. 1, lett. a); 9, par. 2, lett. a) e 13 Regolamento).

In ragione di quanto sopra, l´informativa deve essere predisposta in modo tale da lasciare agli aderenti la possibilità di fornire o meno, in piena libertà e consapevolezza, consensi specifici, autonomi e differenziati rispetto alle ordinarie finalità perseguite dal titolare, volti a permettere l´utilizzo delle informazioni che li riguardano in relazione alla ricezione di materiale propagandistico o politico, o anche alla comunicazione a terzi dei propri dati personali per le medesime finalità.

Al riguardo, si ribadisce, l’illiceità della prassi seguita da parte di soggetti appartenenti ad associazioni, o addirittura da parte di soggetti estranei ad esse, che si candidano a elezioni politiche o amministrative, di acquisire e utilizzare –in assenza di uno specifico ed informato consenso degli interessati- gli indirizzari in possesso dell´associazione, per iniziative di propaganda elettorale e connessa comunicazione politica.

Enti, associazioni ed organismi non sono tenuti, invece, a richiedere il consenso degli interessati qualora tra i propri scopi statutari figuri anche il diretto perseguimento di finalità di propaganda elettorale e connessa comunicazione politica (v. artt. 6, par. 1, lett. f) e 9, par. 2, lett. d) Regolamento) e a condizione che tali finalità, e le modalità di contatto utilizzabili (ad es. sms, e-mail, etc.), siano previste espressamente nello statuto o nell´atto costitutivo e siano rese note agli interessati all´atto dell´informativa ai sensi dell´art. 13 del Regolamento (in relazione a tale presupposto di liceità, v., più diffusamente, infra par. 3).

B) Simpatizzanti, persone contattate in occasione di singole iniziative, sovventori.

I dati personali raccolti da partiti, movimenti e altre formazioni a carattere politico, nonché da singoli candidati, in occasione di specifiche iniziative (petizioni, proposte di legge, richieste di referendum, raccolte di firme o di fondi, etc.) possono essere utilizzati solo con il consenso esplicito degli interessati e a condizione che nell´informativa rilasciata all´atto del conferimento dei dati siano evidenziate con chiarezza le ulteriori finalità di propaganda elettorale e connessa comunicazione politica perseguite (art. 9, par. 2, lett. a), Regolamento).

Il consenso al trattamento, invece, non è richiesto (art. 9, par. 2, lett. d), Regolamento) qualora il sostegno fornito ad una determinata iniziativa in occasione del conferimento dei dati comporti una particolare forma di “adesione” al soggetto politico e al suo programma, tale per cui, in base allo statuto, all´atto costitutivo o ad altro preesistente complesso di regole, l’interessato potrà essere successivamente contattato in vista di ulteriori iniziative compatibili con gli scopi originari della raccolta (ad es. di comunicazione politica o propaganda elettorale, art. 5, par. 1, lett. b) Regolamento). Tali circostanze dovranno essere adeguatamente evidenziate a mezzo dell’informativa.

3. Legittimo interesse e altri presupposti di liceità del trattamento

Possono essere utilizzati per finalità di propaganda elettorale e connessa comunicazione politica i dati personali il cui trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, par. 1, lett. f), Regolamento).

Rientrano in tali ipotesi di bilanciamento alcune disposizioni della previgente disciplina che non sono state espressamente richiamate dal d.lg. n. 101/2018, in quanto assorbite dalle norme introdotte dal Regolamento europeo.

Si fa in particolare riferimento a quelle che individuavano tra i presupposti di legittimità i trattamenti di dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (art. 24, comma 1, lett. c), d.lg. n. 196/2003, v. nel dettaglio infra punto A), nonché quelli effettuati da associazioni, enti, organismi senza scopo di lucro in riferimento agli aderenti e ai soggetti che hanno con essi contatti regolari nell’ambito delle legittime finalità come individuate nello statuto o nell’atto costitutivo (art. 24, comma 1, lett. h), d.lg. n. 196/2003, v. infra punto B)(1) .

Inoltre, come già puntualizzato, ove il trattamento riguardi categorie particolari di dati personali lo stesso è consentito se effettuato da una fondazione, associazione o altro organismo senza scopo di lucro ove persegua finalità politiche nell’ambito delle sue legittime attività o qualora tra i propri scopi statutari figuri anche il diretto perseguimento di finalità di propaganda elettorale e connessa comunicazione politica, a condizione che riguardi gli aderenti o le persone che hanno con esse regolari contatti, siano previste adeguate garanzie, e che i dati personali non siano comunicati all’esterno (art. 9, par. 2, lett. d) Regolamento).

Il trattamento di categorie particolari di dati personali può altresì ritenersi consentito ove riguardi informazioni personali rese manifestamente pubbliche dall’interessato (art. 9, par. 2, lett. e), Regolamento), purché, come puntualizzato dal Comitato europeo per la protezione dei dati, “al pari di altre deroghe riferite alle categorie particolari di dati personali, anche in questo caso l’interpretazione [sia] restrittiva, in quanto la deroga non può essere utilizzata per legittimare il trattamento di dati derivati”(c.d. inferred data) (cfr. Dichiarazione 2/2019 sull’uso di dati personali nel corso di campagne politiche, p. 2).

Tanto premesso, di seguito si indicano i principali casi, ancorché non esaustivi, in cui il trattamento dei dati personali per finalità di propaganda elettorale e connessa comunicazione politica è consentito sulla base dei presupposti di liceità sopra individuati.

1) Fonti pubbliche

I dati personali estratti da fonti “pubbliche” – vale a dire le informazioni contenute in registri o elenchi detenuti da un soggetto pubblico, e al tempo stesso accessibili in base ad un´espressa disposizione di legge o di regolamento- possono essere utilizzati per finalità di propaganda elettorale e connessa comunicazione politica, senza richiedere il consenso degli interessati (art. 6, par. 1, lett. f), Regolamento), nel rispetto dei presupposti, dei limiti e delle modalità eventualmente stabilite dall´ordinamento per accedere a tali fonti o per utilizzarle (per es. l’obbligo di rispettare le finalità che la legge stabilisce per determinati elenchi; l´identificazione di chi ne chiede copia, se l´accesso è consentito solo in determinati periodi; artt. 5, par. 1, lett. a) e b), 6, par. 2, lett. b), Regolamento e artt. 2-ter, comma 3, e 61, comma 1, Codice). In particolare, possono essere utilizzati, per il perseguimento delle predette finalità di propaganda elettorale e connessa comunicazione politica, i dati personali estratti dai seguenti elenchi pubblici:

• liste elettorali detenute presso i comuni, che “possono essere rilasciate in copia per finalità di applicazione della disciplina in materia di elettorato attivo e passivo” (art. 51 d.P.R. 20 marzo 1967, n. 223);

• elenco provvisorio dei cittadini italiani residenti all´estero aventi diritto al voto (art. 5, comma 1, l. 459 del 27 dicembre 2001; art. 5, comma 8, d.P.R. 2 aprile 2003, n. 104);

• elenco degli elettori italiani che votano all´estero per le elezioni del Parlamento europeo (art. 4 d.l. 24 giugno 1994, n. 408, convertito con l. 3 agosto 1994, n. 483);

• liste aggiunte dei cittadini elettori di uno Stato membro dell´Unione europea residenti in Italia e che intendano ivi esercitare il diritto di voto alle elezioni comunali (artt. 1 e ss. d.lgs. 12 aprile 1996, n. 197);

• elenco provvisorio dei cittadini italiani residenti all´estero aventi diritto al voto per l´elezione del Comitato degli italiani all´estero (Comites, art. 13 l. 23 ottobre 2003, n. 286; art. 5, comma 1, l. 27 dicembre 2001, n. 459; art. 5, comma 8, d.P.R. 2 aprile 2003, n. 104; art. 11, d.P.R. 29 dicembre 2003, n. 395).

2) Aderenti e soggetti che hanno contatti regolari con partiti, movimenti e altre formazioni a carattere politico

Partiti, movimenti e altre formazioni a carattere politico possono utilizzare lecitamente, senza acquisire previamente uno specifico consenso – sulla base dell’informativa resa ai sensi dell’art. 13 del Regolamento – i dati personali relativi agli aderenti, nonché agli altri soggetti con cui intrattengono contatti regolari, per finalità di propaganda elettorale e connessa comunicazione politica, trattandosi di attività lecitamente perseguibili in quanto ricomprese in quelle di carattere politico previste in termini generali nell’atto costitutivo o nello statuto, ovvero strettamente funzionali al perseguimento di tali scopi (v. art. 9, par. 2, lett. d), Regolamento).

4. Dati raccolti da terzi e messi a disposizione di soggetti politici

Di frequente l’attività in esame comporta la partecipazione di soggetti terzi che mettono a disposizione di partiti, movimenti politici, comitati di promotori e sostenitori, nonché di singoli candidati, dati personali per il perseguimento delle finalità menzionate o che, comunque, svolgono, per conto di quest’ultimi, servizi di comunicazione politica. Tale partecipazione nelle attività di trattamento rende opportuno richiamare, in particolare, l’attenzione sugli adempimenti previsti per il titolare in base al principio di accountability (artt. 5, par. 2 e 24, Regolamento). In merito, si riportano di seguito alcune delle ipotesi più ricorrenti.

I. Dati raccolti tramite le c.d. “liste consensate”

Talvolta, nella prassi è emersa l’acquisizione di dati personali da terzi cedenti che mettono a disposizione – solitamente dietro corrispettivo – informazioni relative a numeri di telefonia fissa e mobile, indirizzi e-mail o postali “consensati”, per i quali cioè tali cedenti assicurano la corretta raccolta (in base ad un’informativa asseritamente adeguata e a consensi ritenuti coerenti con le finalità del trattamento). In tale ipotesi, partiti, movimenti politici, comitati di promotori e sostenitori, nonché di singoli candidati, in quanto titolari del trattamento, non sono esentati dal dover verificare l’effettivo adempimento degli obblighi previsti dalla normativa.

La verifica, a seconda dei casi, dovrà riguardare, ove si tratti di banche dati di modeste dimensioni (nella quantità di poche centinaia o migliaia di anagrafiche) tutti gli interessati o, quando si tratti di banche dati più consistenti, perlomeno, un campione oggettivamente congruo rispetto alla quantità degli stessi, e dovrà concernere anche la qualità, con riferimento all’esattezza, correttezza ed aggiornamento dei dati trattati(2).

In particolare, il cessionario dovrà verificare che:

– il cedente abbia rilasciato all’interessato l’informativa ai sensi dell’art. 13 del Regolamento, anche riguardo alla finalità di comunicazione dei suoi dati a soggetti terzi appartenenti al settore politico e/o propagandistico;

– lo stesso soggetto abbia acquisito dall’interessato un consenso specifico per la comunicazione a terzi per finalità di propaganda elettorale e connessa comunicazione politica (artt. 6, par. 1, lett. a) e 7, Regolamento). Non è necessario, invece, acquisire un consenso specifico per le singole modalità (e-mail; sms; telefonate con operatore; fax; posta cartacea) utilizzate per perseguire tali finalità(3). Il consenso deve risultare manifestato chiaramente e liberamente, e, a tal fine, formulato in termini differenziati, rispetto alle diverse altre finalità perseguibili (ad esempio, quella di invio di materiale pubblicitario/vendita diretta/di ricerche di mercato; quella di profilazione; quella di comunicazione a terzi per le loro finalità promozionali o di profilazione).

II. Servizi di propaganda elettorale e di comunicazione politica curati da terzi

Quando i servizi in questione sono curati da soggetti terzi, questi ultimi, nei casi concreti, possono essere contitolari del trattamento oppure meri responsabili.

È ravvisabile la contitolarità quando il terzo, oltre a provvedere direttamente all’invio delle comunicazioni, utilizzi basi di dati in suo possesso e/o comunque quando lo stesso abbia, congiuntamente ai titolari di cui sopra, potere decisionale sulle finalità e i mezzi del relativo trattamento (per una concezione sostanziale e non formalistica dei ruoli in materia di protezione dei dati, v. art. 28, par. 10, Regolamento)

In tal caso partiti, movimenti politici, comitati di promotori e sostenitori, nonché singoli candidati, sono comunque tenuti ad effettuare le verifiche di cui sopra anche in presenza dell’attestazione, da parte dei terzi in questione, riguardo all’esatto adempimento degli obblighi vigenti in materia (in particolare, quelli relativi all’informativa e al consenso).

Invece, quando il terzo effettua il trattamento per conto del titolare, non avendo alcun potere decisionale sulle finalità e sui mezzi del trattamento, agisce in qualità di responsabile. In tal caso è necessario che il responsabile tratti i dati sulla base di precise e documentate istruzioni del titolare, anche per quanto riguarda la sicurezza, e che i relativi trattamenti siano disciplinati da un contratto o altro atto giuridico ai sensi e per gli effetti dell’art. 28 del Regolamento.

Il responsabile può richiedere, in nome e per conto del titolare, copia delle liste elettorali ed effettuare, in tale veste, le specifiche operazioni di trattamento per il periodo di tempo necessario al completamento della campagna elettorale (raccolta delle liste elettorali presso i comuni, utilizzazione dei dati per stampa, imbustamento e postalizzazione delle comunicazioni politiche). I dati personali così acquisiti e detenuti dal terzo responsabile non possono essere utilizzati o messi a disposizione di altri committenti che ne facciano successivamente richiesta.

5. Dati non utilizzabili

Non sono utilizzabili:

A) dati personali raccolti o utilizzati per lo svolgimento di attività istituzionali

Alcune fonti documentali detenute dai soggetti pubblici non sono utilizzabili a scopo di propaganda elettorale e connessa comunicazione politica, in ragione della specifica disciplina di settore. Ciò, per esempio, in relazione:

• all’anagrafe della popolazione residente (artt. 33 e 34 d.P.R. 30 maggio 1989, n. 223; art. 62 d.lg. 7 marzo 2005, n. 82). In base alla disciplina di settore, gli elenchi degli iscritti all’anagrafe possono essere rilasciati solo “alle amministrazioni pubbliche che ne facciano motivata richiesta, per esclusivo uso di pubblica utilità […] in conformità alle misure di sicurezza, agli standard di comunicazione e alle regole tecniche previsti dal decreto del Presidente del Consiglio dei ministri 10 novembre 2014, n. 194, e dall’articolo 58 del decreto legislativo 7 marzo 2005, n. 82” (art. 34 d.P.R. n. 223/1989);

• agli archivi dello stato civile (art. 450 c.c.; d.P.R. 3 novembre 2000, n. 396);

•  agli schedari dei cittadini residenti nella circoscrizione presso ogni ufficio consolare (art. 8 d.lgs. 3 febbraio 2011, n. 71);

• alle liste elettorali di sezione già utilizzate nei seggi, sulle quali sono annotati dati relativi ai non votanti e che sono utilizzabili solo per controllare la regolarità delle operazioni elettorali (art. 62 d.P.R. 16 maggio 1960, n. 570);

• ai dati annotati nei seggi da scrutatori e rappresentanti di lista per lo svolgimento delle operazioni elettorali. Tali dati, se conosciuti, devono essere trattati con la massima riservatezza nel rispetto del principio costituzionale della libertà e della segretezza del voto, avuto anche riguardo alla circostanza che la partecipazione o meno ai referendum o ai ballottaggi può evidenziare di per sé anche un eventuale orientamento politico dell´elettore;

• ai dati raccolti dai soggetti pubblici nello svolgimento delle proprie attività istituzionali o, in generale, per la prestazione di servizi;

• agli elenchi di iscritti ad albi e collegi professionali (art. 61, comma 2, del Codice);

• agli indirizzi di posta elettronica tratti dall´Indice nazionale dei domicili digitali delle imprese e dei professionisti e dall’Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, non tenuti all’iscrizione in albi professionali o nel registro delle imprese (art. 6-bis e 6-quater nel d.lg. 7 marzo 2005, n. 82);

• dati resi pubblici alla luce della disciplina in materia di trasparenza o pubblicità dell’azione amministrativa da parte delle pubbliche amministrazioni (d.lg. 14 marzo 2013, n. 33; l. 18 giugno 2009, n. 69), nonché da altre norme di settore. Si pensi, ad esempio, agli atti contenenti dati personali pubblicati all´albo pretorio on line, alla pubblicità degli esiti concorsuali, agli atti di attribuzione a persone fisiche di vantaggi economici comunque denominati, agli organigrammi degli uffici pubblici recanti anche recapiti telefonici e indirizzi di posta elettronica dei dipendenti, alle informazioni riferite agli addetti ad una funzione pubblica. Ciò, in quanto la circostanza che dati personali siano resi conoscibili on line sui siti istituzionali per le predette finalità non consente che gli stessi siano liberamente riutilizzabili da chiunque e per qualsiasi scopo, ivi compreso, quindi, il perseguimento di finalità di propaganda elettorale e connessa comunicazione politica.

B) Dati raccolti da titolari di cariche elettive e di altre funzioni pubbliche

Specifiche disposizioni di legge prevedono che i titolari di alcune cariche elettive possono richiedere agli uffici di riferimento di fornire notizie utili all´esercizio del mandato ed alla loro partecipazione alla vita politico-amministrativa dell´ente. Ad esempio, i consiglieri comunali e provinciali hanno diritto di ottenere dagli uffici, rispettivamente, del comune e della provincia, nonché dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni in loro possesso, utili all´espletamento del proprio mandato (art. 43, comma 2, d.lg. 18 agosto 2000, n. 267). Specifiche disposizioni prevedono, altresì, l’esercizio di tale diritto da parte di consiglieri regionali. Il predetto diritto di accesso alle informazioni è direttamente funzionale alla cura di un interesse pubblico connesso all´esercizio del mandato elettivo; tale finalizzazione esclusiva costituisce, al tempo stesso, il presupposto che legittima l´accesso e che ne limita la portata. Fuori dai predetti casi, strettamente riconducibili al mandato elettivo, non è lecito, quindi, richiedere agli uffici dell´amministrazione di riferimento la comunicazione di intere basi di dati oppure la formazione di appositi elenchi “dedicati” da utilizzare per attività di comunicazione politica.

Non è parimenti consentito, da parte di soggetti titolari di cariche pubbliche non elettive e, più in generale, di incarichi pubblici, l´utilizzo per finalità di propaganda elettorale e connessa comunicazione politica dei dati acquisiti nell´ambito dello svolgimento dei propri compiti istituzionali.

C) Dati raccolti nell´esercizio di attività professionali, di impresa e di cura

I dati personali raccolti nell´esercizio di attività professionali e di impresa, ovvero nell´ambito dell´attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti (art. 5, par. 1, lettere a) e b),Regolamento),, salvo che il titolare acquisisca uno specifico e informato consenso dell’interessato (art. 9, par. 1. lett a); cfr. per quanto riguarda l’ambito sanitario il provvedimento 7 marzo 2019, doc. web n. 9091942) .

D) Dati contenuti negli elenchi telefonici

I dati personali degli intestatari di utenze pubblicati negli elenchi telefonici non possono essere utilizzati per finalità di propaganda elettorale e connessa comunicazione politica, in difetto di una previa adeguata informativa, chiara e trasparente, ai sensi dell’art. 13 del Regolamento e di un espresso consenso libero, specifico e documentato o, quanto meno, documentabile in modo certo (artt. 6 e 7; v. anche artt.: 5, comma 2 e 24, Regolamento riguardo al principio di “accountability”).

L´art. 129 del Codice, in attuazione della direttiva 2002/58/CE, ha individuato nella “mera ricerca dell´abbonato per comunicazioni interpersonali” la finalità primaria degli elenchi telefonici realizzati in qualunque forma (cartacei o elettronici), ribadendo che il trattamento dei dati inseriti nei predetti elenchi, se effettuato per fini ulteriori e diversi da quelli di comunicazione interpersonale è lecito solo se è effettuato previa acquisizione del consenso specifico ed espresso degli interessati (c.d. “opt-in”).

Si ricorda che la deroga al siffatto obbligo del consenso (c.d. “opt-out”), introdotta all´art. 130 del Codice (v. art. 20-bis, d.l. 25 settembre 2009, n. 135, convertito con modificazioni dall´art. 1, comma 1, l. 20 novembre 2009), con l´istituzione del “Registro pubblico delle opposizioni” (d.P.R. 7 settembre 2010, n. 178), è limitata alle finalità promozionali e non consente pertanto l´utilizzo dei dati personali contenuti nei menzionati elenchi a scopo di propaganda elettorale e connessa comunicazione politica(4). Ciò, in ragione anche dell’evidente specificità della finalità “politica” che esclude una sua automatica sovrapposizione – in termini di compatibilità (v. art. 5, par. 1, lett. b, Regolamento) – con la finalità di marketing.

E) Dati reperiti sul web

L’agevole reperibilità di dati personali in Internet (quali recapiti telefonici o indirizzi di posta elettronica) non comporta la libera disponibilità degli stessi né autorizza il trattamento di tali dati per qualsiasi finalità, ma – in osservanza ai principi di correttezza e finalità (v. art. 5, par. 1, lett. a) e b), Regolamento) – soltanto per gli scopi sottesi alla loro pubblicazione(5).

Quindi, anche per quanto riguarda la propaganda politica on line, deve evidenziarsi il generale divieto di utilizzo a tal fine dei dati reperiti sul web, senza uno specifico consenso informato alla suddetta finalità (v. artt: 6, 7 e 13, Regolamento).

Si ritiene quindi illecita l´attività d’invio di messaggi politici/elettorali effettuata trattando dati di contatto reperiti in Rete in assenza di tali presupposti (indirizzo e-mail; numero di telefonia fissa; numero di telefonia mobile), a prescindere dalle modalità impiegate: automatizzate (e-mail; sms; fax; telefonate preregistrate; mms) o non automatizzate (telefonate con operatore; posta cartacea).

Ciò in particolare può riguardare, ad esempio:

• dati raccolti automaticamente in Internet tramite appositi software (v. c.d. web or data scraping);

• liste di abbonati ad un provider;

• dati pubblicati su siti web per specifiche finalità di informazione aziendale, comunicazione commerciale o attività associativa;

• dati consultabili in Internet solo per le finalità di applicazione della disciplina sulla registrazione dei nomi a dominio;

• dati pubblicati dagli interessati sui social network.

Riguardo a quest’ultima ipotesi, come hanno evidenziato casi recenti, sussistono seri rischi di utilizzo improprio dei dati personali dei cittadini per sofisticate attività di profilazione su larga scala e di invio massivo di comunicazioni o ancora per indirizzare campagne personalizzate (il c.d. micro-targeting) volte a influenzare l’orientamento politico e/o la scelta di voto degli interessati, sulla base degli interessi personali, dei valori, delle abitudini e dello stile di vita dei singoli. In vista delle elezioni europee è pertanto fondamentale garantire la corretta applicazione delle norme sulla protezione dei dati soprattutto on line, anche al fine di proteggere il processo elettorale da interferenze e turbative esterne.

In tale quadro, va ribadito che i messaggi politici e propagandistici inviati agli utenti di social network (come Facebook o Linkedin), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina in materia di protezione dei dati (artt. 5, 6, 7, 13, 24, 25 del Regolamento). La medesima disciplina è altresì applicabile ai messaggi inviati utilizzando altre piattaforme, come Skype, WhatsApp, Viber, Messanger.

In merito, si rappresenta che il suindicato rischio risulta ancor più elevato in considerazione delle peculiari condizioni di servizio imposte unilateralmente agli utenti sia dalle piattaforme di comunicazione e social networking, sia nei dispositivi mobili utilizzati. Infatti tali condizioni, in alcuni casi, prevedono la condivisione indifferenziata (e senza il necessario consenso specifico) di tutti o gran parte dei dati personali presenti negli smartphone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet) o l´accesso del fornitore alla lista dei contatti o alla rubrica presente sul dispositivo mobile.

Ad ogni modo, ove i titolari procedano, per finalità di propaganda elettorale e connessa comunicazione politica, al trattamento di dati personali presenti sui social (o altrove reperiti), nel rispetto dei principi e dei presupposti di liceità sopra individuati (artt. 5, 6, 13 e ss., Regolamento), si ribadisce la necessità di evitare comunicazioni massive e insistenti, nonché condotte non corrette quali:

– contatti mediante telefonate o sms in orario notturno;

– comunicazioni che mirino ad acquisire informazioni personali degli interessati eccedenti e non pertinenti con la finalità di propaganda elettorale e comunicazione politica.

Coerentemente con i principi sopra ribaditi, ove -nei social network, come anche in blog e forum utilizzati dalla comunità degli iscritti ai servizi social- risultino visualizzabili numeri di telefono o indirizzi di posta elettronica, i suindicati titolari, che intendano inviare messaggi finalizzati alla comunicazione politica/elettorale, dovranno aver previamente acquisito, per ciascun di tali “contatti”, un preventivo consenso libero, specifico, documentato ed informato per la finalità in questione oppure basarsi su un altro eventuale presupposto di liceità.

6. Accountability ed obbligo di informativa

Come già detto, in caso di raccolta dei dati presso l´interessato, quest´ultimo deve essere informato in merito alle caratteristiche del trattamento, salvo che per gli elementi che gli siano già noti (art. 13, Regolamento).

Quando invece i dati non sono raccolti presso l’interessato, l’informativa va fornita entro un termine ragionevole dall’acquisizione degli stessi –che non può superare la durata di un mese-, o comunque al momento della prima comunicazione all’interessato o ad altro destinatario qualora prevista (art. 14, paragrafi 1, 2 e 3, Regolamento).

Il titolare può esimersi dal rendere l’informativa nel caso in cui rilasciarla risulti “impossibile” o implichi “uno sforzo sproporzionato” (art. 14, par. 4, lett. b), Regolamento). In tali ipotesi, il titolare è comunque tenuto ad adottare “misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni” (art. 14, par. 5, lett. b), Regolamento). Dunque, in base a tale previsione -espressione del principio di “accountability”- è rimessa anche in questa circostanza al titolare, a fronte di minori adempimenti amministrativi e in un’ottica di maggiore responsabilizzazione del medesimo, l’adozione di adeguate misure tecniche e organizzative atte a garantire che il trattamento venga effettuato in conformità alla legislazione vigente (artt. 5, par. 2 e 24, Regolamento).

Ai fini dell’applicazione dei principi sopra indicati, il titolare può tener conto dei provvedimenti in materia di esonero dall’informativa adottati dal Garante, in vigenza della previgente normativa (ai sensi dell’art. 13, comma 5, lett. c), d.lgs. n. 196/2003), per valutare il ricorrere dei presupposti di applicabilità dell’art. 14, par. 5, lett. b) del Regolamento ed adottare le misure appropriate(6). Nei provvedimenti menzionati, il Garante ha ritenuto proporzionato rispetto ai diritti degli interessati, esonerare dall´obbligo di rendere l’informativa i soggetti politici che utilizzano, per finalità di propaganda elettorale e connessa comunicazione politica, dati personali estratti dalle liste elettorali durante il limitato arco temporale legato a consultazioni politiche, amministrative o referendarie, oppure nel caso di invio di materiale propagandistico di dimensioni ridotte che, a differenza di una lettera o di un messaggio di posta elettronica, non renda possibile fornire un’idonea informativa sulla base di specifiche condizioni (v. par. 5.1, provv. gen. 6 marzo 2014, doc. web n. 3013267).

In altri provvedimenti, anch’essi resi ai sensi dell’art. 13, comma 5, lett. c), d.lgs. n. 196/2003, il titolare è stato esonerato dall’obbligo di rendere l’informativa individualmente, a condizione che la stessa, completa di tutti i suoi elementi, fosse comunque fornita mediante pubblicazione sul proprio sito web e tramite annunci pubblicati su quotidiani a diffusione nazionale(7).

Tanto premesso, qualora l’adempimento dell’obbligo di cui all’art. 14, par. 1 del Regolamento, come nel caso di dati estratti dalle liste elettorali, risulti impossibile o implichi uno sforzo sproporzionato per gli stessi, in relazione alle specifiche circostanze del caso, è rimessa ai partiti, movimenti politici, comitati di promotori e sostenitori, nonché singoli candidati la scelta di non rendere l’informativa purché siano individuate misure appropriate. Anche alla luce di quanto già stabilito dal Garante nei provvedimenti sopra citati(8), le misure appropriate potrebbero essere quelle già individuate in passato. In base a queste ultime, potrebbero dunque prescindere dall’obbligo di rendere l’informativa individuale, a partire dal sessantesimo giorno precedente la data delle consultazioni fino al sessantesimo giorno successivo al termine delle stesse (o dell´eventuale ballottaggio), a condizione che:

– nel materiale inviato sia indicato un recapito (indirizzo postale, e-mail, anche con rinvio a un sito web dove tali riferimenti siano facilmente individuabili) al quale l´interessato possa agevolmente rivolgersi per esercitare i diritti di cui agli artt. 15 e ss. del Regolamento; e

– l’informativa recante tutti gli elementi di cui all’art. 14, paragrafi 1 e 2 del Regolamento sia resa mediante pubblicazione della stessa sui propri siti web di riferimento o tramite annunci pubblicati su quotidiani a diffusione nazionale o locale (a seconda della consultazione).

7.  Esercizio dei diritti dell´interessato e obblighi dei titolari

L´interessato, rivolgendosi al titolare del trattamento, può in ogni momento esercitare i diritti di cui agli artt. 15 e ss. del Regolamento.

Con particolare riferimento al trattamento dei dati effettuato a fini di propaganda elettorale e comunicazione politica, l´interessato può in ogni momento opporsi alla ricezione di tale materiale (cfr. art. 21, Regolamento), anche nel caso in cui abbia manifestato in precedenza un consenso informato. L’interessato può, inoltre, revocare in ogni momento il proprio consenso. In tale ipotesi, il titolare è tenuto a non inviare più all´interessato ulteriori messaggi in occasione di successive campagne elettorali o referendarie.

Ciò vale anche nel caso in cui i dati personali sono estratti dalle liste elettorali, la cui disciplina prevede espressamente il relativo utilizzo per le finalità considerate (art. 51 d.P.R. n. 223/1967, cit.). Tale richiesta potrà, tuttavia, essere accolta limitatamente al trattamento dei dati contenuti nelle liste già raccolte, e non anche in relazione alle attività di comunicazione politica effettuate tramite l´utilizzo di liste elettorali che dovessero essere acquisite in futuro.

Le richieste di cui sopra obbligano il titolare del trattamento a fornire all’interessato le informazioni relative alla corrispondente azione intrapresa, al più tardi, entro il termine di un mese dal ricevimento della richiesta, eventualmente prorogabile di altri due mesi in ragione della complessità e del numero di istanze pervenute (art. 12, par. 3, Regolamento); qualora non venga fornito un riscontro idoneo, l´interessato può rivolgersi all´autorità giudiziaria ovvero presentare un reclamo al Garante (art. 77, Regolamento e art. 141 del Codice).

Con il presente provvedimento, si evidenzia la necessità che i titolari del trattamento (partiti; movimenti politici; comitati; singoli candidati), alla luce dei nuovi principi di accountability e privacy by design, predispongano misure organizzative e tecniche adeguate, anche in base allo stato delle nuove tecnologie e dei nuovi crescenti rischi per gli interessati, tali da garantire l’esercizio effettivo, puntuale e tempestivo dei predetti diritti. É altresì necessario che tali titolari siano in grado di comprovare con idonea documentazione le misure previste ed adottate, nonché il procedimento valutativo per la loro individuazione, inclusa la valutazione dei rischi.

8. Le sanzioni

Si ritiene utile evidenziare che, in caso di violazione della disciplina sopra più volte richiamata, trova applicazione il quadro sanzionatorio previsto dall’art. 83 del Regolamento, ove sono ricomprese sanzioni amministrative pecuniarie, in ipotesi, fino a 20 milioni di euro.

Inoltre, in ragione delle modifiche introdotte dal legislatore europeo, al Regolamento UE, sopra richiamato sullo statuto e il finanziamento dei partiti politici europei e delle fondazioni politiche europee (v. sub par. 1), possono trovare applicazione sanzioni pecuniarie aggiuntive. In base alle dette modifiche, infatti, se l’Autorità per i partiti politici europei e le fondazioni politiche europee viene a conoscenza di una decisione di un’autorità nazionale di controllo sulla protezione dei dati da cui sia possibile evincere che la violazione delle norme applicabili in materia sia connessa ad attività volte ad influenzare deliberatamente o tentare di influenzare l’esito delle elezioni europee “è tenuta ad avviare un’apposita procedura di verifica – anche coordinandosi con l’autorità nazionale di controllo interessata – all’esito della quale possono essere applicate le sanzioni previste nei confronti dei partiti europei o delle fondazioni politiche europee che abbiano utilizzato a proprio vantaggio tale violazione. Le sanzioni potrebbero ammontare al 5 % del bilancio annuale del partito o della fondazione interessati. Inoltre, i partiti e e le fondazioni che risulteranno aver commesso una violazione non potranno chiedere finanziamenti a carico del bilancio generale dell’Unione europea nell’anno in cui la sanzione è imposta.

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi degli artt. 57, par. 1, lett. b) e d) del Regolamento e 154, comma 1, lett. f) e g) del Codice, adotta il presente provvedimento e dispone che copia dello stesso sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana ai sensi dell´art. 154 bis, comma 3, del Codice.

Roma, 18 aprile 2019

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia