9 Ott 2018

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Modello di “registro semplificato” delle attività di trattamento del titolare per PMI (ALLEGATO 1

Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI (ALLEGATO 2)

(Fonte Garante Privacy)

27 Ago 2018

La messa in rete su un sito Internet di una fotografia, liberamente accessibile su un altro sito Internet con l’autorizzazione dell’autore, necessita di una nuova autorizzazione da parte di tale autore.

Infatti, con siffatta messa in rete, la fotografia viene messa a disposizione di un pubblico nuovo.

La corte di Giustizia Europea con sentenza del 7 agosto 2018 resa nella causa C-161/17, ha fornito la corretta interpretazione della nozione di “comunicazione al pubblico”, ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29/CE sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione.

La messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet, va qualificata come “messa a disposizione” e, di conseguenza, come “atto di comunicazione”. Pertanto necessita di una nuova autorizzazione dell’autore.

La domanda di pronuncia pregiudiziale sottoposta ai giudici europei è stata presentata nell’ambito di una controversia che vedeva coinvolto un fotografo che aveva autorizzato i gestori di un sito Internet dedicato ai viaggi a pubblicare sul loro sito una delle sue foto. Un’alunna di un istituto scolastico, situato nel Land tedesco, ha scaricato la foto in oggetto a partire da tale sito (dove essa era liberamente accessibile) per illustrare un progetto scolastico. Quest’ultimo è stato in seguito pubblicato sul sito Internet della scuola.

Per questa ragione il fotografo ha intrapreso un’azione dinanzi ai giudici tedeschi per vietare di riprodurre la sua foto. Altresì, ha reclamato il pagamento di una somma di € 400 a titolo di risarcimento danni.

A tale riguardo, il fotografo ha sostenuto di aver concesso un diritto d’uso solamente al gestore del sito Internet di viaggio e ha affermato che la messa in rete della fotografia sul sito Internet della scuola, costituisce una violazione del suo diritto d’autore. In tale contesto, il Bundesgerichtshof (Corte federale di giustizia, Germania) ha chiesto alla Corte di giustizia di interpretare la direttiva sul diritto d’autore, ai sensi della quale l’autore di un’opera ha, in linea di principio, il diritto esclusivo di autorizzare o vietare la comunicazione dell’opera al pubblico.

Innanzitutto, la Corte ricorda che una fotografia può essere protetta dal diritto d’autore alla condizione che essa costituisca una creazione intellettuale dell’autore, che ne rifletta la personalità e si manifesti attraverso le scelte libere e creative di quest’ultimo nella realizzazione di tale fotografia.

Quindi, ogni utilizzazione di un’opera effettuata da un terzo in assenza del previo consenso dell’autore deve essere considerata lesiva dei diritti dell’autore di detta opera.

Il problema nel caso in esame è se la messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet (la fotografia era stata copiata, tra i due caricamenti in rete, su un server privato), deve essere qualificata come «messa a disposizione» e, di conseguenza, come «atto di comunicazione».

La messa in rete di un’opera protetta dal diritto d’autore su un sito Internet diverso da quello sul quale è stata effettuata la comunicazione iniziale con l’autorizzazione del titolare del diritto d’autore, nelle circostanze come quelle di cui trattasi, dev’essere qualificata come messa a disposizione di un pubblico nuovo. Il pubblico preso in considerazione dal titolare del diritto d’autore nel momento in cui ha autorizzato la comunicazione della sua opera sul sito Internet sul quale quest’ultima è stata inizialmente pubblicata, è costituito dai soli utilizzatori di detto sito, e non dagli utilizzatori del sito Internet sul quale l’opera è stata successivamente messa in rete senza l’autorizzazione di detto titolare e dagli altri internauti.

Un sito differente si rivolge ad un pubblico differente, anche se i mezzi tecnici di comunicazione sono i medesimi.

Cosa diversa sarebbe stato se l’alunna avesse utilizzato solo un collegamento ipertestuale (un link) che avesse rimandato direttamente alla fotografia. In questo modo, i diritti del titolare sarebbero stati tutelati.

Infine, il fatto che il titolare del diritto d’autore non avesse posto restrizioni alle possibilità di utilizzo della fotografia da parte degli internauti non è rilevante.

(Corte di Giustizia UE, Seconda Sezione, sentenza 7 agosto 2018, causa C-161/17)

30 Lug 2018

Il Garante per la protezione dei dati personali ha presentato la Relazione sulle attività svolte nel corso del 2017.
Tra gli interventi su cui l’Autorità ha inteso dedicare un’attenzione maggiore ci sono, sicuramente, quello della protezione di dati on line e quello delle nuove tecnologie, che per la loro particolare invasività accrescono negli utenti l’esigenza di tutela delle proprie informazioni personali.
Nel 2017 si è andato consolidando il criterio per l’esercizio del diritto all’oblio e per una sua tutela anche al di fuori dei confini europei, dall’altro, si sono messe in luce – all’indomani di un’indagine internazionale a cui il Garante ha preso parte – le criticità legate alla mancanza di trasparenza nell’uso dei dati degli utenti da parte delle app in diversi settori, quali la vendita al dettaglio, finanza e banche, sanità, istruzione, viaggi, social network, gioco d’azzardo.
Sul cyberbullismo sono state predisposte misure e procedure per la rimozione dei contenuti offensivi, siglando un protocollo di intesa con la Polizia postale allo scopo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.
Sono state date le prime indicazioni sull’uso dei droni a scopo ricreativo e su come difendersi dai software dannosi, in particolare dal ransomware. Per quanto riguarda i social network si è sottolineata l’impossibilità di provare la persistente natura “chiusa” di un profilo social e la sua accessibilità solo a un ristretto gruppo di “amici”.
Nel settore della sanitàil Garante è intervenuto per semplificare le procedure connesse ai nuovi obblighi sui vaccini e favorire lo scambio tra scuole e Asl, ha dato il via libera al sistema informativo dei trapianti, è intervenuto a ricordare le garanzie relative ai dati sull’Hiv, ha espresso parere favorevole sul registro dei tumori della Regione Lazio.
Sul fronte della disciplina in materia di lavoro, ha fissato le regole per l’uso delle nuove tecnologie dopo l’introduzione del Jobs Act, con particolare riguardo alla geolocalizzazione dei lavoratori, e ha vietato i controlli indiscriminati su mail e smartphone.
Muovendo, poi, in materia di trasparenza on line della pubblica amministrazione, l’Autorità “ha richiamato il Governo alla necessità di contemperare obblighi di pubblicità degli atti e dignità delle persone e ha fissato alcune regole per l’esercizio del diritto di accesso civico”, altresì intervenendo a bloccare la diffusione di dati sensibili su alcuni siti istituzionali di amministrazioni pubbliche.
In ambito pubblico, è stato affrontato il tema della sicurezza della Pa digitale e il rafforzamento delle garanzie per i cittadini nell’attuazione dello Spid. 
Sul nuovo Codice dell’amministrazione digitale (Cad), l’Autorità ha sollevato “la questione dell’accesso indiscriminato ai dati relativi al “domicilio digitale” dei cittadini e chiesto regole più specifiche per l’accesso ai servizi digitali delle PA e per l´utilizzo dei dati anagrafici”.
In tema di fiscalità, si è verificata la corretta “messa in sicurezza dello “Spesometro” contenente i dati fiscali di milioni di contribuenti” e sono state prescritte “misure tecniche riguardo all’accesso alla dichiarazione dei redditi precompilata da parte di interessati, Caf e soggetti autorizzati”. 
Grande attenzione è stata rivolta, poi, anche al sistema di banche dati pubbliche, tra cui quella dell’Anagrafe tributaria, stimolandone la messa in sicurezza.
Inoltre, “è proseguito l’impegno dell’Autorità sul fronte del telemarketing aggressivo intervenendo contro la prassi del cosiddetto “web scraping”, cioè la pratica di raccogliere in maniera automatica ed indiscriminata dati personali presenti in rete facendo girare appositi software alla ricerca di nomi, cognomi, indirizzi, numeri di telefono, mail per poi contattarli senza consenso”. 
Si è intervenuti contro l’invio senza acquisizione del necessario consenso dell’interessato di proposte commerciali attraverso indirizzi mail presenti sui social network.
In questo contesto, sono stati accertati rilevanti illeciti da parte di società di telefonia, sono state svolte ispezioni presso diversi call center e sono stati suggeriti al legislatore modifiche normative per rafforzare le garanzie dei cittadini.

Un po’ di cifre

Nel 2017 sono stati adottati 573 provvedimenti collegiali. L’Autorità ha fornito riscontro a circa 6.000 reclami e segnalazioni. Sono state effettuate 275 ispezioni.

Le sanzioni amministrative riscosse ammontano a circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016.

(Fonte Garante Privacy)

30 Lug 2018

Il Garante Privacy pubblica un vademecum su come difendere la propria privacy in vacanza. Informazioni su come utilizzare il proprio smartphone e tablet, social network e selfie in vacanza. Poche e semplici regole una vacanza a prova di privacy.

L’attenzione maggiore deve essere riservata ai minori e alle loro foto postate e condivise sui social.

9cab3966-1a69-aa8d-d729-6641937010b6.jpg

1. Sotto il sole estivo, non esporsi troppo con selfie e foto: protezione alta soprattutto per i minori. Non tutti vogliono apparire on line, essere riconosciuti o far sapere dove e con chi si trovano durante le ferie estive. Se si postano foto o video in cui compaiono altre persone, è sempre meglio prima accertarsi che queste siano d’accordo, specie se si inseriscono anche dei tag con nomi e cognomi. E’ abitudine diffusa condividere foto e video dei propri figli. E’ bene essere sempre consapevoli che le immagini dei minori pubblicate on line possono finire anche nelle mani di malintenzionati: meglio quindi evitare di “postarle”, oppure almeno utilizzare alcune accortezze, come rendere irriconoscibile il viso del minore (ad esempio, utilizzando progammi di grafica per “pixellare” i volti, semplici da usare e disponibili anche gratuitamente online, o posizionando semplicemente sopra una “faccina” emoticon), oppure limitare le impostazioni di visibilità delle immagini solo alle persone fidate.

2. Geolocalizzati anche in ferie? Per gli amanti della riservatezza che non vogliono far sapere dove sono durante le vacanze estive, il suggerimento è disattivare le opzioni di geolocalizzazione di smartphone e tablet (se non indispensabili per specifici servizi), oltre a quelle dei social network utilizzati.

3. I “social-ladri” non vanno in vacanza. Postando sui social network informazioni sulle vacanze si potrebbe far sapere ad eventuali malintenzionati che la propria casa è vuota.

4. Non “abbandonare” la tua casa. Se sono presenti in casa prodotti e sistemi domotici, è importante ricordare che questi utili dispositivi – al pari di tutte le tecnologie connesse online – possono essere esposti ad attacchi informatici, virus e malware. Laddove possibile, è quindi bene assicurarsi che siano protetti, ad esempio impostando password sicure e aggiornando costantemente il software per garantire una maggiore protezione.

5. Metti anche la privacy in valigia. Anche in vacanza, è bene controllare le impostazioni privacy dei social network utilizzati, limitando magari la visibilità e la condivisione dei post ai soli amici. Altra buona regola è fare attenzione a non accettare sconosciuti nella cerchia di amicizie on line.

6. Attenzione ai “pacchi”. E´ bene fare attenzione a eventuali messaggi che contengono offerte straordinarie riguardo viaggi e affitti di case per le vacanze da ottenere,  ad esempio, cliccando su link che richiedono dati personali o bancari. Virus informatici, software spia, ransomware phishing possono essere in agguato.

7. App-prova di estate. In vacanza molti utenti di smartphone e tablet scaricano film, app per giochi, suggerimenti turistici, ecc.. Questi prodotti possono anche nascondere virus o malware (cioè,  software pericolosi). Per proteggersi, buone regole sono: scaricare le app dai market ufficiali; leggere con attenzione le descrizioni delle app (se, ad esempio, nei testi sono presenti errori e imprecisioni, c’è da sospettare).

8. Per chi non può proprio vivere senza wi-fi. Se si usano le connessioni offerte da bar, ristoranti, stabilimenti balneari e hotel e non si è certi degli standard di sicurezza impostati per proteggere il wi-fi da virus e rischi di intrusione, meglio adottare alcune accortezze, come evitare di accedere a servizi online che richiedono credenziali di accesso (ad esempio, alla propria webmail, ai social network, ecc.), fare acquisti on line con la carta di credito oppure utilizzare il conto bancario on line.

9. Scegliere una protezione alta per non rimanere “scottati”. Aggiornamenti software costanti e programmi antivirus, magari dotati anche di anti-spyware e anti-spam, possono essere buone precauzioni per evitare furti di dati o violazioni della privacy.

10. Smartphone e tablet pronti a “partire”. Durante le vacanze, può purtroppo accadere che smartphone e tablet siano smarriti o vengano rubati: è quindi bene seguire alcune accortezze. In generale, è opportuno non conservare dati troppo personali sui device (ad esempio, password o codici bancari) e prendere altre piccole precauzioni, come quella di evitare che i browser e le app memorizzino le credenziali di accesso a siti e servizi (ad esempio, posta elettronica, social network, e-banking).

11. Per navigare tranquilli nel mare dei messaggi. Nel periodo estivo si utilizzano molto sms, chat e sistemi di messaggistica. Alcuni messaggi potrebbero però contenere virus, malware o esporre al rischio di spam. E´ quindi sempre bene fare molta attenzione prima di scaricare programmi, aprire eventuali allegati o cliccare su link che possono essere contenuti nel testo o nelle immagini presenti all´interno dei messaggi ricevuti.

12. Per chi porta il drone in vacanza. Se si fa volare a fini ricreativi un drone munito di fotocamera su una spiaggia o in un altro abituale luogo di vacanza, è meglio evitare di invadere gli spazi personali e l’intimità delle persone. La diffusione di riprese realizzate con il drone (sul web, sui social media, in chat) può avvenire solo con il consenso dei soggetti ripresi, fatti salvi particolari usi connessi alla libera manifestazione del pensiero, come quelli a fini giornalistici.

13. Non lasciare a casa il buon senso. La miglior difesa anche nel periodo delle vacanze è usare con consapevolezza e attenzione le nuove tecnologie e gestire con accortezza i nostri dati personali, ricordando semplici regole che tutti possono mettere in campo.

(Fonte Garante Privacy)

7 Lug 2018

L’Autorità Garante della Protezione dei Dati ha pubblicato una scheda di sintesi per le aziende e gli enti.

Ecco i punti principali

Valutazione d’Impatto

Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.

Il Registro dei trattamenti

Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere. I contenuti minimi sono indicati all’art. 30 del Regolamento. Deve avere forma scritta, anche elettronica, e va esibito su richiesta al Garante.

Sicurezza dei dati

Il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

Il Responsabile della Protezione dei Dati (DPO)

La designazione (in vari casi obbligatoria) di un RPD riflette l´approccio responsabilizzante del Regolamento. Fra i suoi compiti rientrano la sensibilizzazione e formazione del personale, la sorveglianza sullo svolgimento della valutazione di impatto, la funzione di punto di contatto per gli interessati e per il Garante per ogni questione attinente l’applicazione del Regolamento.

 

Regolamento UE 2016 679. Una sintesi per aziende ed enti

30 Giu 2018

Una società di trasporto pubblico ferroviario  potrà dotare  di body cam (videocamere indossabili) gli addetti alla sicurezza e  i capitreno per contrastare e prevenire aggressioni furti e atti vandalici, in aumento negli ultimi anni. Ma dovrà adottare precise misure a tutela della riservatezza delle persone riprese [doc. web n. 8995107].

Per dare il suo via libera al progetto sperimentale, il Garante privacy ha considerato l’impossibilità tecnica di installare telecamere a bordo dei treni di più vecchia costruzione, le specifiche finalità di sicurezza anche dei numerosi utenti del servizio e le finalità di tutela dei beni aziendali. L’Autorità ha però prescritto una serie di cautele e accorgimenti a garanzia di dipendenti e utenti. Le body cam non saranno sempre accese, ma potranno essere attivate dai capitreno o dagli addetti alla sicurezza solo in presenza di un pericolo concreto per le persone o le cose. Un led rosso ne segnalerà l’attivazione.

I dispositivi trasmetteranno le immagini alla sala operativa in tempo reale. Chi effettua le riprese non potrà modificarle, cancellarle né duplicarle. Solo soggetti diversi, specificamente autorizzati, una volta verificato che le immagini raccolte riguardino fatti realmente pericolosi, potranno disporne l’eventuale estrazione. Questa attività dovrà essere tracciata. La Società dovrà predisporre un apposito disciplinare relativo all’uso delle body cam, dall’altro, le operazioni di accesso ed estrazione dei dati raccolti dovranno essere tracciate.

La società, inoltre, dovrà disciplinare le modalità di utilizzo e le specifiche condizioni che legittimano l’attivazione dei dispositivi e dovrà adottare particolari cautele nel caso in cui  le riprese video coinvolgano soggetti “deboli” (testimoni, vittime di reati, minori ecc.) o riprendano luoghi con particolari aspettative di riservatezza (ad esempio le toilette).

Le immagini raccolte, a cui avranno accesso solo i soggetti autorizzati, dovranno essere conservate in forma cifrata ed essere cancellate automaticamente e irreversibilmente una volta decorso il periodo previsto di una settimana, fatte salve eventuali esigenze di indagine e di accertamento dell’Autorità giudiziaria.

La società dovrà disattivare la funzionalità audio, ritenuta non necessaria dalla stessa società, e in caso di comunicazione delle riprese alle compagnie di assicurazione dovrà oscurare le immagini delle persone non coinvolte.

Dovranno essere predisposti inoltre adeguati strumenti di comunicazione anche a bordo delle vetture per avvisare gli utenti della presenza del sistema di videosorveglianza mobile e delle sue caratteristiche.

La società, che dovrà fornire un’idonea informativa ai dipendenti sull’uso delle body cam, si è impegnata a rispettare il divieto di controllo a distanza dei lavoratori e a siglare un apposito accordo con le organizzazioni sindacali.

30 Giu 2018

Wind Tre dovrà rivedere le procedure, “ereditate” da H3G in seguito alla fusione aziendale, con le quali gestisce telefonate ed sms promozionali, al fine di interrompere i contatti commerciali indesiderati. Non potrà inoltre utilizzare, per finalità di marketing, i dati personali di quanti non abbiano espresso un libero e valido consenso per tale trattamento. Questa la decisione adottata dal Garante al termine delle ispezioni avviate muovendo dalle numerose segnalazioni di utenti che protestavano per il disturbo arrecato dalla rete commerciale della società [doc. web n. 8995285].

Gli accertamenti – avviati nel 2016 con la collaborazione della Guardia di finanza – hanno confermato la presenza di molteplici violazioni, tra cui la ricezione di contatti commerciali in tempi successivi rispetto all’esercizio del diritto di opposizione. A fronte delle lamentele degli utenti, la società spesso si giustificava facendo riferimento a non meglio precisati disguidi tecnici.

Sono emerse gravi carenze anche nella modalità con cui la compagnia telefonica ha costruito la governance, con riguardo ai profili di protezione dei dati, in particolare per quanto concerne la propria rete commerciale. H3G, pur essendo il titolare del trattamento dei dati delle persone contattate dai propri partner, aveva erroneamente qualificato larga parte dei punti vendita come titolari autonomi. La società non aveva predisposto delle liste di esclusione (le cosiddette “black list”) volte a prevenire che i propri partner inserissero nelle campagne promozionali numerazioni di chi si era già opposto al trattamento dei propri dati per finalità di marketing.

Alla luce delle irregolarità riscontrate, il Garante ha vietato a Wind Tre l’ulteriore trattamento dei dati personali per finalità di marketing in assenza di un valido, preventivo consenso espresso dagli utenti. Ha inoltre prescritto l’adozione di significative misure tecnico-organizzative che garantiscano il pieno rispetto della normativa privacy, in particolare dei principi di correttezza e di privacy by design. La compagnia telefonica dovrà quindi creare liste di esclusione che i partner commerciali dovranno consultare prima di procedere con qualunque contatto promozionale. Tali liste dovranno essere tempestivamente aggiornate e condivise su base giornaliera con i partner coinvolti nelle campagne marketing. Agli utenti che si sono opposti a telefonate ed sms promozionali dovrà essere comunicato un codice univoco di conferma che possa essere utilizzato in caso di lamentela. Dovranno comunque essere rimosse tutte le condotte che limitano o comportano un più oneroso esercizio dei diritti per gli interessati.

L’Autorità ha avviato autonomi procedimenti sanzionatori per contestare le violazioni amministrative già accertate.

(fonte Garante Privacy)

30 Apr 2018

Via libera del Garante privacy  a un sistema di geolocalizzazione satellitare dei veicoli della polizia municipale  che opera  nei territori di alcuni comuni aderenti a una convenzione  per la gestione associata del servizio [doc. web n. 8576577].

Scopo della localizzazione sarà quello di garantire la sicurezza e l’incolumità del personale e di ottimizzare l’impiego di operatori e veicoli della polizia municipale. Il sistema, sottoposto al vaglio dell’Autorità, sarà utile anche a rilevazioni di tipo statistico  e di rendicontazione del servizio.

I dati, che appariranno in tempo reale su un monitor presso la centrale operativa, saranno visualizzabili esclusivamente dal responsabile del servizio o da un suo delegato per localizzare la posizione dei veicoli e, se necessario, identificare l’operatore al solo scopo di coordinare in modo più efficiente il servizio o gestire eventuali situazioni di criticità o emergenza.

I dati relativi al tempo di permanenza e ai chilometri percorsi in una determinata area saranno conservati per un periodo massimo di trenta giorni ai fini della rendicontazione. Le informazioni riferite ai dipendenti impiegati nel servizio, mai direttamente identificati e comunque non più identificabili a fine turno, “a fine giornata”, il Comune ha assicurato che il sistema prevede la rimozione delle tabelle di presa in carico dei veicoli, in modo da non permettere l’ulteriore identificabilità degli operatori, in relazione ai dati di localizzazione memorizzati:, non saranno utilizzate per finalità più strettamente legate alla gestione del rapporto di lavoro, quali la verifica della presenza in servizio, la commisurazione dell’orario di lavoro o per finalità disciplinari.

Il Garante, tenuto conto dalla particolare natura dell’attività di polizia locale e delle cautele proposte dal titolare a tutela degli interessati, ha ritenuto lecito, pertinente e non eccedente il trattamento dei dati personali mediante il sistema anche in considerazione del fatto che prima della sua installazione ciascun Comune aderente alla Convenzione acquisirà l’autorizzazione del Ministero del lavoro e delle politiche socialiDirezione territoriale del lavoro, in conformità alla disciplina in materia di controllo a distanza dei lavoratori.

Il Garante ha inoltre  previsto specifiche misure di sicurezza come la configurazione del sistema, in modo tale da consentire solo accessi autorizzati  tramite assegnazione di credenziali di autenticazione differenziate e limitando i profili autorizzati alla modifica e all’estrazione dei dati. Inoltre, il titolare dovrà fornire agli interessati:

un’informativa comprensiva di tutti gli elementi contenuti nell’articolo 13 del Codice  e a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice;

predisporre misure al fine di garantire agli interessati l’esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice;

effettuare la notificazione al Garante ai sensi degli articoli 37 e ss., qualora il trattamento abbia effettivamente inizio prima del 25 maggio 2018 (tenendo conto che tale adempimento non sarà più dovuto in data successiva al 25 maggio p.v.).

 

(Fonte Garante Privacy)

30 Apr 2018

Il Garante privacy ha vietato al Comune di Messina l’ulteriore diffusione sul sito web istituzionale delle graduatorie di persone invalide o in stato di disagio e  che hanno usufruito di esenzioni o riduzioni della tassa sui rifiuti 2015 [doc. web n. 8576011].

L’Autorità, intervenuta a seguito di una segnalazione, ha accertato che due graduatorie, consultabili e scaricabili liberamente da alcuni link presenti sul sito  del Comune, riportavano in chiaro dati e informazioni personali di 3447 persone, ordinati in base alla situazione e economica. In particolare,  nel primo elenco erano indicati il nome e cognome, la data di nascita, il codice fiscale, il numero dei componenti del nucleo familiare di 3269 persone con reddito Isee familiare fino a 8mila euro, nel secondo elenco, erano riportati gli stessi dati personali di altre 178 persone invalide al cento per cento e con Isee fino a 10mila euro.

Con il provvedimento inibitorio il Garante, in base al Codice privacy e alla normativa sulla trasparenza, ha ritenuto illecito il trattamento messo in atto dal Comune e ha vietato l’ulteriore diffusione dei dati sullo stato di salute e delle informazioni sulle situazioni di disagio economico e sociale dei beneficiari.

vieta, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, al Comune di Messina l’ulteriore diffusione – sia attraverso la pubblicazione nell’area denominata «Amministrazione trasparente» che in qualsiasi altra parte del sito web istituzionale – dei dati personali contenuti negli allegati – intitolati «…» ed « …» – alla citata Determinazione del Dirigente del Dipartimento Politiche sociali n. XX del XX, scaricabili anche dall’url http://..

L’Autorità, inoltre, ha prescritto al Comune di adottare in futuro opportuni accorgimenti nella pubblicazione degli atti e dei documenti on line, allo scopo di rispettare il divieto stabilito dalla normativa di diffondere questo tipo di dati.

Con un separato procedimento il Garante valuterà gli estremi per contestare al Comune di Messina la sanzione prevista per l’illecita diffusione di dati.

30 Apr 2018

La CNIL, l’Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d’impatto sulla protezione dei dati (DPIA).

Il software –  gratuito e liberamente scaricabile dal sito www.cnil.fr (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) – offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

La versione in lingua italiana è stata messa a punto anche con la collaborazione del Garante per la protezione dei dati personali.

ll software qui presentato NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d’impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d’impatto che va integrata in ragione delle tipologie di trattamento esaminate.

Fonte Garante Privacy