Whistleblowing, PFAS, Garante privacy, AI

Tutti i servizi banca dati e download sono rigorosamente gratuiti.
Il Portale

News sicurezza, ambiente, qualità,  E-learning, Formazione,  Competenze. Newsletter 23 del 2 Luglio 2025

Whistleblowing, PFAS, Garante privacy, AI.

In caso di difficoltà  nel recupero credenziali, non esiti a inviare una mail a mail@portaleconsulenti.it.

Ricordiamo che l’accesso al Portale è Gratuito per l’utilizzo dell’intera Banca Dati.


PortaleConsulenti.it lancia il suo Canale WhatsApp

Un Nuovo Strumento per rimane informato.

Siamo entusiasti di annunciare il lancio del nostro nuovo Canale WhatsApp ANONIMO dedicato a tutti i professionisti che operano nel settore della sicurezza e salute sul lavoro, ambiente, qualità, HACCP, formazione, E-learning, etc.

Con questo nuovo strumento, PortaleConsulenti.it intende offrire un canale diretto e rapido per fornire aggiornamenti costantinotizie rilevantinovità normative e contenuti formativi a chiunque sia coinvolto in questi ambiti cruciali. Il nostro obiettivo è semplificare l’accesso a informazioni tempestive e utili per supportare l’aggiornamento e la crescita professionale dei nostri iscritti.… LEGGI TUTTO


Pressa impiallacciatura lista di controllo pressa impiallacciatura

Lista di controllo pressa impiallacciatura: evitare gli schiacciamenti. La pressa a piastre per impiallacciatura presente nella vostra azienda è sicura e viene utilizzata in condizioni di sicurezza? Soprattutto durante i …LEGGI TUTTO


Whistleblowing una guida pratica

Open the Whistle: Protecting whistleblowers through transparency, cooperation and Open Government strategies (OPWHI) è un progetto co-finanziato dall’Unione Europea (Progetto numero: 101140801 — Bando: CERV-2023-CHAR-LITI-WHISTLE) che mira a creare un ambiente … LEGGI TUTTO


PFAS cosa sono, dove si trovano

Le sostanze per- e polifluoroalchiliche (PFAS): cosa sono, dove si trovano, problematiche e misure di gestione. Bollettino MASE di informazione SOSTANZE CHIMICHE – AMBIENTE & SALUTE n. 1/2025 Il bollettino …LEGGI TUTTO


Bando Voucher imprese turistiche

Bando Voucher per la transizione sostenibile delle imprese turistiche della Provincia di Venezia e di Rovigo – 2025 Data apertura: 09/07/2025 – Data chiusura: 31/07/2025. FORMA agevolazione: Contributo/Fondo perduto SETTORE: …LEGGI TUTTO


Trattamento illecito lavoratore Garante privacy

Il Garante ha esaminato un reclamo presentato da una dipendente di Autostrade per l’Italia S.p.A., oggetto di due contestazioni disciplinari fondate su contenuti tratti dal suo profilo Facebook, da conversazioni …LEGGI TUTTO


Siamo entusiasti di annunciare il lancio del nostro nuovo Canale WhatsApp dedicato a tutti i professionisti che operano nel settore della sicurezza e salute sul lavoro, ambiente, qualità, HACCP, formazione, E-learning, etc.


Ddl sull’AI italiana, la Camera approva

Il testo ora approvato dalla Camera sul ddl AI ha novità sostanziali rispetto a quello del Senato. Spicca un ruolo di coordinamento alla presidenza del Consiglio e via all’obbligo di … LEGGI TUTTO


Stress termico calore, Reach e EoW, EU-OSHA

News sicurezza, ambiente, qualità,  E-learning, Formazione,  Competenze. Newsletter 22 del 25 Giugno 2025 Stress termico calore, Reach e EoW, EU-OSHA, Cantieri più sicuri. In caso di difficoltà  nel recupero credenziali, …LEGGI TUTTO


Gruppo linkedin del Portale Consulenti

Ad ogni modo, Cliccando sul link del gruppo potrai ricevere le notifiche direttamente da Linkedin ed essere aggiornato costantemente sulle novità  in ambito HSE sicurezza ambiente qualità  E-learning

Whistleblowing, PFAS, Garante privacy, AI.

Trattamento illecito lavoratore Garante privacy

Il Garante ha esaminato un reclamo presentato da una dipendente di Autostrade per l’Italia S.p.A., oggetto di due contestazioni disciplinari fondate su contenuti tratti dal suo profilo Facebook, da conversazioni su Messenger e da messaggi WhatsApp. Trattamento illecito lavoratore Garante privacy.

Contestazioni mosse alla società

La dipendente lamenta che i suoi dati personali siano stati trattati in modo illecito, poiché utilizzati senza un’adeguata base giuridica e per finalità non compatibili con la loro raccolta (cioè per avviare procedimenti disciplinari).

Difesa della società

Autostrade per l’Italia ha sostenuto che:

  • non ha svolto ricerche attive, ma ha ricevuto i contenuti spontaneamente da colleghi o terzi;

  • ha agito nel proprio legittimo interesse, per tutelare i propri diritti nel contesto lavorativo;

  • ha effettuato valutazioni interne di bilanciamento tra interessi contrapposti;

  • le opinioni espresse dalla dipendente, anche se fuori dal lavoro, potevano incidere sull’immagine aziendale.

Conclusioni del Garante

Il Garante ha ritenuto illecito il trattamento dei dati personali per le seguenti motivazioni:

  • Violazione dei principi di liceità, finalità e minimizzazione previsti dal Regolamento (UE) 2016/679 (GDPR);

  • Violazione della riservatezza delle comunicazioni private, tutelata dall’art. 15 Cost. e dall’art. 8 della CEDU;

  • Utilizzo di informazioni tratte da canali privati (Facebook chiuso, Messenger, WhatsApp) senza adeguato test di bilanciamento e in assenza di idonea base giuridica;

  • Inosservanza dell’art. 113 del Codice Privacy, che vieta la raccolta e l’uso di informazioni non pertinenti alla valutazione dell’attitudine professionale del lavoratore;

  • I contenuti trattati erano opinioni personali e fatti esterni al rapporto lavorativo, non riconducibili a una valutazione professionale.

Provvedimenti adottati

  • Sanzione amministrativa pecuniaria di €420.000 a carico di Autostrade per l’Italia S.p.A.;

  • Pubblicazione dell’ordinanza sul sito del Garante, in considerazione della gravità e natura delle violazioni;

  • Ingiunzione di pagamento entro 30 giorni, con possibilità di riduzione del 50% se pagata entro il termine previsto per il ricorso.

Considerazioni finali

Il provvedimento ribadisce che:

  • anche le informazioni reperite passivamente (non cercate) sono soggette alla disciplina sul trattamento dei dati;

  • la semplice accessibilità online di un contenuto non ne autorizza l’uso indiscriminato da parte del datore di lavoro;

  • le comunicazioni private, anche se spontaneamente inoltrate da terzi, non possono essere utilizzate a fini disciplinari senza un’attenta valutazione di liceità e proporzionalità;

  • l’adozione di una “social media policy” aziendale non giustifica di per sé il trattamento illecito dei dati personali.

Il provvedimento rappresenta un’importante presa di posizione a tutela della riservatezza dei lavoratori, anche nell’ambito dei rapporti di lavoro e dell’utilizzo dei social network.

Leggi tutta la notizia sul Garante Privacy.

Garante: stop al software che accede all’email

Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro. stop al software che accede all’email del dipendente.

Il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né utilizzare un software per conservare una copia dei messaggi. Un simile trattamento di dati personali oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore.

Lo ha stabilito il Garante Privacy sanzionando una società per 80mila euro.

Il Garante, intervenuto a seguito del reclamo presentato da un agente di commercio, ha accertato che la società nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale.

Le informazioni raccolte erano poi state utilizzate dalla società in un contenzioso.

L’Autorità ha appurato inoltre l’inidoneità e la carenza dell’informativa resa ai lavoratori. Il documento prevedeva infatti la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare, tra l’altro, l’effettuazione del backup e il relativo tempo di conservazione.

Nel definire il procedimento, il Garante ha affermato che la sistematica conservazione delle email – effettuata per un considerevole periodo di tempo (pari a tre anni successivamente alla cessazione del rapporto) – e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori non erano conformi alla disciplina di protezione dei dati. Tale conservazione infatti risultava non proporzionata e necessaria al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.

Ciò, inoltre, aveva consentito alla Società di ricostruire, minuziosamente, l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori.

Per quanto riguarda infine l’uso dei dati in tribunale, il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario si riferisce a contenziosi già in atto, non ad ipotesi di tutela astratte e indeterminate come in questo caso.

Oltre alla sanzione, l’Autorità ha disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.

Fonte https://www.garanteprivacy.it/

Posta elettronica nel contesto lavorativo

Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati [10026277]. Garante Privacy

Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi  e servizi informatici per la gestione della posta elettronica, anche qualora commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale.  Nel seguito del documento si farà riferimento alternativamente ai “metadati di posta elettronica” o “log di posta elettronica”.

I metadati cui fa riferimento il presente documento di indirizzo, sottoposto a consultazione pubblica, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi  e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).

Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

I metadati cui ci si riferisce nel presente documento (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate –  ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent)  – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).

Pertanto, le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.

Il presente documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.

In questa prospettiva l’Autorità intende altresì fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. 20/5/1970, n. 300, espressamente richiamata dall’art. 114 del Codice.

Stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità.

Alla luce delle osservazioni e delle proposte pervenute al Garante nell’ambito della consultazione pubblica cui il presente documento è stato sottoposto (provv. del 22 febbraio 2024, n. 127, doc. web n. 9987885; Gazzetta Ufficiale n. 64 del 16 marzo 2024), sono state apportate alcune modifiche e integrazioni al presente documento di indirizzo anche con riferimento ai criteri che possano orientare le scelte dei datori di lavoro nell’individuazione dell’eventuale periodo di conservazione dei predetti log, ai fini dell’applicazione dell’eccezione contenuta nell’art. 4, comma 2, della l. 20 maggio 1970, n. 300 rispetto alla regola di cui al comma 1, per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica. Sono stati, inoltre, forniti chiarimenti in merito all’ambito oggettivo di applicazione del documento, anche indicando la definizione di metadato, e alla natura del documento. Infine, è stata richiamata l’attenzione dei fornitori dei servizi di posta elettronica sulla necessità di tenere in considerazione del diritto alla protezione dei dati conformemente allo stato dell’arte, già in fase di progettazione di servizi e prodotti.


Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati. garante Privacy
download

Garante Privacy per gli IRCCS

Cosa sono gli IRCCS? Come possono utilizzare i dati personali raccolti per la cura dei pazienti per finalità di ricerca? A quali adempimenti sono tenuti in base al Codice privacy? A queste domande ha risposto il Garante Privacy con le Faq presenti in questa pagina.


Gli IRCCS sono enti del Servizio sanitario nazionale a rilevanza nazionale dotati di autonomia e personalità giuridica che, secondo standard di eccellenza, perseguono finalità di ricerca, prevalentemente clinica e traslazionale, nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità (art.1 d.lgs. 16/10/2003, n. 288).

I chiarimenti dell’Autorità sono rivolti agli IRCCS, ossia quegli enti del Servizio sanitario nazionale che, secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità.

Nelle Faq è spiegato che gli IRCCS, per poter utilizzare i dati dei loro pazienti anche per l’attività di ricerca scientifica autorizzata dal Ministero, devono individuare una base giuridica idonea a legittimare tale trattamento e una deroga adeguata al generale divieto di trattare i dati sulla salute e genetici.

Il Garante ha dunque chiarito che gli IRCCS pubblici e privati, oltre che sul consenso dei partecipanti alla ricerca, possono fondare il trattamento dei dati personali raccolti a scopo di cura per ulteriori finalità di ricerca sull’art. 110-bis, comma 4 del Codice privacy, in base al quale non costituisce trattamento ulteriore dei dati raccolti per l’attività clinica, quello svolto a fini di ricerca.

Nel caso in cui gli IRCCS si avvalgano di questa disposizione, hanno però l’obbligo di svolgere la Valutazione d’impatto (Vip) e di pubblicarla sui propri siti web. Tuttavia, se la pubblicazione per intero della Vip può ledere diritti di proprietà intellettuale, segreti commerciali o altro, l’Istituto può pubblicarla per estratto. Una specifica sezione delle Faq è dedicata alle diverse le modalità per informare i partecipanti alla ricerca a seconda che i dati siano raccolti presso di essi ovvero presso banche dati interne all’istituto o altri centri partecipanti.

L’Autorità ha infine chiarito l’ambito oggettivo di applicazione dell’art. 110-bis, comma 4 del Codice, che riguarda ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa da IRCCS, ivi inclusi gli studi multicentrici, sia svolti nell’ambito delle reti di ricerca degli IRCCS che in quelli promossi da tali istituti con la partecipazione di enti che non godono di tale riconoscimento.

Intelligenza artificiale, Garante privacy

Intelligenza artificiale: il Garante privacy scrive a Parlamento e Governo. Necessario individuare Autorità di vigilanza indipendenti e imparziali.

Il Garante per la protezione dei dati personali possiede i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali.

È quanto scrive il Presidente, Pasquale Stanzione, in una segnalazione inviata nei giorni scorsi ai Presidenti di Senato e Camera e al Presidente del Consiglio.

La recente approvazione dell’AI Act da parte del Parlamento europeo – spiega il Presidente dell’Autorità – “impone agli Stati membri alcune scelte essenziali sulle norme di adeguamento degli ordinamenti interni”.

L’incidenza dell’IA sui diritti suggerisce di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti, come le Authority per la privacy, anche in ragione della stretta interrelazione tra intelligenza artificiale e protezione dati e della competenza già acquisita in materia di processo decisionale automatizzato.

L’AI Act – ricorda il Garante – si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, che è la base giuridica della normativa di protezione dei dati, e lo stesso Regolamento sull’intelligenza artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzino dati personali.

La sinergia tra le due discipline e la loro applicazione da parte di un’unica Autorità è quindi determinante per l’effettività dei diritti e delle garanzie sanciti – conclude Stanzione – suggerendo in proposito una riflessione a Parlamento e Governo.

Segnalazione al Parlamento e al Governo sull'Autorità per l'i. a.

Telemarketing, Garante privacy

Telemarketing, Garante privacy: al via il Codice di condotta. Accreditato l’Organismo di monitoraggio per la piena efficacia delle nuove regole.

Con l’accreditamento dell’Organismo di monitoraggio (OdM) si completa l’iter per la piena applicazione del Codice di condotta che regola le attività di teleselling e di telemarketing. Il Codice, che ha l’obiettivo di tutelare gli utenti dalle chiamate indesiderate, acquisterà piena efficacia dal giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale[VEDI IL PROVVEDIMENTO DEL 7 MARZO 2024]

L’Autorità ha ritenuto che l’OdM – proposto da associazioni di committenti, call center, teleseller, list provider e associazioni di consumatori – sia in possesso dei requisisti previsti dal Regolamento Ue, tra i quali un adeguato livello di competenza, indipendenza e imparzialità per lo svolgimento dei compiti di controllo sull’applicazione del Codice da parte degli aderenti.

Le società che aderiranno al Codice, si impegneranno ad adottare misure specifiche per garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo tutta la “filiera” del telemarketing.

Dovranno raccogliere consensi specifici per le singole finalità (marketing, profilazione, ecc.), informare in maniera precisa le persone contattate sull’uso dei loro dati, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati). Le società inoltre saranno tenute ad effettuare una valutazione di impatto nel caso svolgano trattamenti automatizzati, compresa la profilazione, che comportano un’analisi sistematica e globale di informazioni personali.

Per contrastare il fenomeno del “sottobosco” dei call-center abusivi il Codice di condotta stabilisce l’applicazione di una penale o la mancata corresponsione della provvigione per ogni contratto stipulato a seguito di un contatto promozionale senza consenso.