Archivio

Privacy

15 Feb 2017

Il Consiglio Regionale della Lombardia, nei giorni scorsi, ha approvato una legge per favorire l’installazione degli impianti di videosorveglianza nelle residenze sanitarie assistenziali e nelle strutture per disabili, allo scopo di “prevenire furti e maltrattamenti” a danno degli ospiti.

A tutela della privacy, le immagini saranno criptate e l’accesso sarà possibile solo su autorizzazione messe a disposizione dell’Autorità giudiziaria competente, in caso di avviso e notizia di reato.

Per l’installazione, dovranno essere attuate le procedure previste dal Codice Privacy, D.lgs. 196/03, e Provvedimento in materia di Videosorveglianza, 8 aprile 2010.

Inoltre, i sistemi di videosorveglianza potranno essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali ovvero, laddove queste non siano costituite, dalle rappresentanze sindacali territoriali. In mancanza di accordo, potranno essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, della sede centrale dell’Ispettorato nazionale del lavoro.

La Regione ha stanziato 1,4 milioni di euro, per l’anno 2017, per compartecipare al 50% delle spese per chi provvede all’installazione.

L’installazione non sarà obbligatoria e non ci saranno incentivi premianti ai fini dell’accreditamento, previsti nella prima versione del testo. I criteri e le modalità per l’assegnazione dei fondi saranno stabiliti dalla Giunta regionale con un apposito regolamento che sarà predisposto entro 90 giorni.

Potranno accedere le strutture accreditate alla data del 31 dicembre 2016 e l’elenco di quelle che si doteranno di sistemi di videosorveglianza sarà pubblicato con evidenza sul sito della Giunta regionale.

Ricordiamo che a livello nazionale c’è una legge, approvata a maggioranza dalla Camera il 19 ottobre 2016, “Misure per prevenire e contrastare condotte di maltrattamento o di abuso, anche di natura psicologica, in danno dei minori negli asili nido e nelle scuole dell’infanzia e delle persone ospitate nelle strutture socio-sanitarie e socio-assistenziali per anziani e persone con disabilità”, al momento all’esame del Senato.

Legge Regionale 22 febbraio 2017 , n. 2

http://www.consiglio.regione.lombardia.it/

7 Feb 2017

Difendere la nostra dignità, informandoci e imparando a conoscere gli effetti che i nostri comportamenti sulla Rete possono produrre.

Il Presidente Antonello Soro, Garante della Privacy, fa un bilancio della legge sulla privacy dopo 20 anni, in un’intervista rilasciata a Prima.

“I dati personali sono il petrolio del futuro, anzi, del presente. E oggi esistono cinque, sei grandi gestori di questi dati, usati quotidianamente per condizionare le scelte dei mercati e della politica almeno in quattro continenti su cinque. Dati che vengono ogni istante aggiornati, diffusi e condivisi da miliardi di uomini e donne per lo più ancora convinti che quell’attività di diffusione sia privata, limitata alla cerchia di amici e conoscenti di una chat su WhatsApp o di un gruppo Facebook. Dati che vengono registrati, classificati e archiviati, finendo talvolta nelle trappole degli attacchi informatici, magari della criminalità organizzata che ricatta i governi, le grandi aziende, l’economia in tutte le sue espressioni. O compie atti di terrorismo, seminando morte e distruzione. Possibile che la portata storica ed economica di questa era digitale non sia stata ancora compresa fino in fondo, dai singoli e dalle istituzioni? Come si può non vedere e non riconoscere l’arretratezza culturale e politica di una società che si è consegnata mani e piedi alla Rete senza conoscerla fino in fondo, senza riuscire a comprendere l’importanza della ditesa della propria vita, non dalla Rete, ma sulla Rete?”

Prima – Presidente Soro, partiamo dai media tradizionali, giornali, radio e televisione. Qual è il suo bilancio dopo 20 anni di normativa a tutela della privacy? Abbiamo a che fare con media affidabili?

Antonello Soro – Io dico che la cultura della privacy non è cresciuta abbastanza. Siamo sempre pronti a difenderla quando è la nostra, per poi scoprirci molto indulgenti su quella degli altri. In questi 20 anni la cultura del rispetto della dignità delle persone non è migliorata di molto. Nella società, come sui media. Certo, esistono i codici deontologici, le Carte in difesa dei soggetti più deboli. In teoria i passi in avanti, sono stati notevoli. Ma nella quotidianità ci troviamo troppo spesso di fronte ad abusi e a una certa ritrosia a riconoscere gli errori, a intervenire rapidamente per ristabilire un diritto violato.

Prima – Siamo ancora al mostro sbattuto in prima pagina per vendere qualche copia in più?

Soro – Diciamo che esiste ancora una tendenziale sottovalutazione dell’importanza della riservatezza. Ha influito molto il dilagare della tecnologia, dei social. Se tutti condividono e mettono in piazza la loro vita, allora la riservatezza sembra contare meno, questo è il pensiero dominante di cui i media sono interpreti e specchio fedele. Fino al grande abuso, alla grande violazione che ripropone il tema, l’urgenza, la presa di coscienza. rs

Prima – La crisi della stampa ha inciso su questa mancata affermazione di un’informazione rispettosa della persona?

Soro – Ha inciso in negativo, non c’è dubbio. Prevale sui nostri mezzi d’informazione la tendenza a privilegiare la notizia che fa vendere copie, che suscita la curiosità dei lettori, ma la curiosità è spesso anticamera della morbosità. E incoraggiando questo approccio si produce – non sempre, intendiamoci – un’informazione spettacolarizzata, un continuo processo mediatico. I talk show diventano tribunali in tempo reale e già in prima serata si emettono sentenze su casi del pomeriggio o della mattina stessa. Dal canto loro i giornali, per stare dietro alla televisione, pubblicano intere trascrizioni di intercettazioni, senza rispettare il principio di essenzialità, come pure legge e deontologia imporrebbero loro di fare. Ci troviarno a leggere tutti i giorni dettagli sulla vita delle persone che nulla aggiungono alla comprensione corretta dei fatti, dettagli che spesso devastano le esistenze di personaggi non protagonisti delle storie. In questo senso le cose non vanno assolutamente meglio del 1998, quando fu varato il codice deontologico dei giornalisti sulla privacy.

Prima – Forse basterebbe aggiornare le regole professionali, il codice, appunto.

Soro – Ci abbiamo provato, anche ultimamente. Ma l’Ordine dei giornalisti alla fine si è tirato indietro. Io credo che i giornalisti svolgano una funzione culturale decisiva in una società democratica come la nostra. E dovrebbero essere i primi a sollecitare se stessi, i propri organi di categoria, a tenere aggiornato quel sistema di regole che supporta il lavoro di migliaia di cronisti ogni giorno. Mi auguro che ci si ritrovi presto a parlarne e a trovare soluzioni e ammodernamenti condivisi. Dopo 18 anni un codice deontologico può e deve essere migliorato.

Prima – Condividiamo solo in parte il suo giudizio. Molti giornalisti lavorano con la Carta di Treviso o quella di Roma sui rifugiati sul tavolo, mi creda.

Soro – Ma non c’è dubbio, lo so. Molti giornalisti soffrono nel vedere il voyeurismo prevalere sull’informazione nei loro giornali o nei loro programmi televisivi. Ne concosco tanti anch’io. Ma è un fatto che i processi mediatici si fondino sulla presunzione di colpevolezza anziché d’innocenza, con effetti inevitabilmente distorsivi sulla cultura e la qualità dell’informazione. Persino sui valori della Carta di Treviso, che tutela i minori, ho assistito in questi giorni a un caso di violazione enorme: nome di fantasia del figlio minore, con nome e cognome (e foto) della mamma, con tanti saluti al principio di anonimato del ragazzo.

Prima – Anche i codici della giustizia arrancano dietro a un universo, quello del progresso tecnologico, che muta sembianze ogni giorno.

Soro – E’ così. Le rivoluzioni del passato hanno avuto il tempo di maturare e far sedimentare i cambiamenti. Qui la velocità è tale che il diritto stenta a starci dietro. Parlo del diritto in senso assoluto, come della macchina operativa che quel diritto deve far valere ogni giorno, ovvero la giustizia. In questo periodo siamo subissati di richieste di rimozione di contenuti lesivi della dignità da parte di singoli nei confronti di siti web. Ma secondo le norme un provider deve lirimuovere un contenuto, un post, una foto o un video, in presenza di una segnalazione qualificata, in particolare dell’autorità giudiziaria. La magistratura ha i suoi tempi, oggi assolutamente inadeguati a stare dietro a questo tipo di dinamiche. Una foto che resta online anche solo per poche ore può essere condivisa e distribuita migliaia di volte. Quando arriva il magistrato a rimuovere, lo tsunami digitale è già esploso e spesso concluso.

Prima – Com’è il rapporto con Google e i grandi social network?

Soro – Anche la medaglia dei social ha due facce. Da una parte ci sono gli utenti che alimentano il traffico e anche il business dei gestori. E qui siamo davvero all’anno zero della consapevolezza. Gli utenti credono ancora che quando si condivide un video o una foto con un amico, un parente o un gruppo ristretto quel contenuto sia protetto e al sicuro. Quasi fosse una storia tra chi posta e chi riceve. La presunzione di anonimato è ancora troppo diffusa e infondata, col risultato che si arriva a un’esposizione di sé eccessiva e deleteria. Una persona che posta una sua foto sul proprio profilo Facebook o la condivide anche solo con due persone non può mai essere certa che uno solo di quei due amici un giorno non deciderà di metterla in piazza. La storia di Tiziana Cantone è emblematica e ha segnato le nostre coscienze in modo profondo.

Prima – L’altra faccia della medaglia sono i gestori, i grandi provider mondiali, giusto?

Soro – La sensibilità dei gestori nel prevedere meccanismi di oscuramento automatico di contenuti di odio razziale o di propaganda terroristica è aumentata. Ma non possiamo pensare che queste funzioni di controllo e intervento possano essere delegate a un algoritmo a soggetti privati che comunque perseguono interessi commerciali. Puntiamo molto sul nuovo regolamento europeo approvato ad aprile. Sarà efficace dal 2018, ma già oggi indica una linea da seguire. Diritto all’oblio e quello alla portabilità dei dati, la nuova figura del responsabile della protezione dei dati, l’obbligo di comunicare le violazioni di dati personali, i limiti alla profilazione delle persone. Su molti fronti le regole saranno stringenti, condivise e applicabili in tempo reale con il solo intervento del Garante.

Prima – Ci vorrebbe un garante-ministro con poteri di intervento paralleli a quelli del magistrato ordinario.

Soro – La nostra funzione di intermediazione sarà sempre più strategica. Dobbiamo investire sulla consapevolezza degli utenti, rafforzare il potere di intervento del cittadino nell’ottenere la rimozione di un contenuto lesivo in un rapporto con il gestore che oggi è squilibrato. Puntiamo sulla comprensione del mondo politico, le procedure vanno aggiornate continuamente, e sulle famiglie, sulla scuola. È quello il luogo dove far passare il messaggio culturale. La dimensione digitale non è un mondo virtuale, è la realtà. Non esiste l’impunità per un atto compiuto su un social. Troppo spesso i genitori sono complici dei figli nel non difendere questo principio. Dobbiamo essere i primi a voler difendere la nostra dignità, informandoci e imparando a conoscere gli effetti che i nostri comportamenti sulla Rete possono produrre.

 

7 Feb 2017

Il Garante della Privacy pubblica la traduzione delle Linee Guida sui Responsabili della protezione dei dati, adottate il 13 dicembre 2016 e le FAQ.

In base al RGPD, alcuni titolari e responsabili del trattamento saranno tenuti a nominare un RPD in via obbligatoria.

Chi sarà obbligato?

  1. a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  2. b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
  3. c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati di dati personali relativi a condanne penali e reati.

Quale sarà la posizione del RPD?

Ai sensi dell’articolo 38 del RGPD, il titolare e il responsabile assicurano che il RPD sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

Quali i suoi compiti?

L’art. 39, paragrafo 1, lettera b), affida al RPD, fra gli altri, il compito di sorvegliare l’osservanza del RGPD. Nel considerando 97 si specifica che il titolare o il responsabile del trattamento dovrebbe essere “assistito [dal RPD] nel controllo del rispetto a livello interno del presente regolamento”.

Fanno parte di questi compiti di controllo svolti dal RPD, in particolare,

– la raccolta di informazioni per individuare i trattamenti svolti;

– l’analisi e la verifica dei trattamenti in termini di loro conformità, e

– l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.

 

I documenti completi alle pagine:

Linee-guida sui responsabili della protezione dei dati (RPD) – WP243
adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016

Le risposte alle domande più frequenti – FAQ
Allegato alle Linee-guida sui responsabili della protezione dei dati (RPD) – WP243

25 Gen 2017

Chi è il DPO, il Data Protection Officer.

Il Gruppo dei Garanti Ue (WP 29) ha approvato lo scorso 13 dicembre tre documenti con indicazioni e raccomandazioni su importanti novità del Regolamento 2016/679 sulla protezione dei dati, in vista della sua applicazione da parte degli Stati membri a partire dal maggio 2018. Le linee guida, alla cui elaborazione il Garante italiano ha attivamente partecipato, riguardano il “responsabile per la protezione dei dati” (Data Protection Officer  – DPO), il diritto alla portabilità dei dati, l'”autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.

Le Linee guida sul DPO specificano i requisiti soggettivi e oggettivi di questa figura, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri che il Gruppo ha chiarito nel documento. Nel documento vengono illustrate (anche attraverso esempi concreti) le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.

Linee guida sul Data protection Officer

25 Gen 2017

Il presidente dell’Autorità garante per la protezione dei dati personali, Antonello Soro interviene sul caso di cyberspionaggio affermando che quanto successo sarebbe solo “la punta dell’iceberg di una fragilità del sistema che abbiamo avuto anche modo di segnalare negli anni scorsi”. Secondo il garante per la Privacy, considerata la dimensione in cui viviamo con continui scambi di informazione e una società digitale sempre più avanzata, “i presidi di sicurezza sono infinitamente inadeguati rispetto ai rischi che tendenzialmente crescono tutti gli anni”. Gli attacchi informatici, infatti, sono cresciuti del 30% secondo Soro.

A rischio i cittadini e le infrastrutture di Stato – Soro spiega come sia cambiata la realtà digitale e, di conseguenza, il pericolo di attacchi: “Mentre prima i rischi venivano dalle rapine in banca o dal furto di gioielli oggi avvengono attraverso il furto di informazioni di dati. Ma i dati sono le nostre persone e quindi siamo a rischio noi cittadini e sono a rischio le infrastrutture dello Stato”.

25 Gen 2017

La Corte di Cassazione con sentenza n. 188 del 9 gennaio 2017, ha accolto il ricorso presentato dal Garante per la protezione dei dati personali, nei confronti di una sentenza che annullava la sanzione erogata per omessa notifica (pagamento di una somma di euro 40.000).

L’Autorità, a seguito di alcuni controlli, aveva appurato che una clinica sanitaria privata aveva omesso di notificare il trattamento di dati sensibili prescritto dall’art. 37, lett. b), d.lgs. n. 196/2003 (Codice Privacy). Tale articolo, prevede che “Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda (…) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria..

Quest’ultima, però aveva impugnato l’ordinanza ingiunzione ed il Tribunale, in primo grado, accogliendone le doglianze, l’aveva annullata. La clinica, in particolare, sosteneva di dover essere esonerata dall’obbligo di notificazione in quanto l’attività di “rilevazione” di malattie non veniva svolta in via principale, bensì soltanto in via accessoria. La sanzione, pertanto, era frutto di un’interpretazione estensiva che, in maniera indebita, allargava l’onere di notificazione.
A quel punto il Garante si era rivolto ai Giudici di legittimità, che, attraverso la sentenza in commento, hanno cassato la pronuncia di primo grado, sostenendo che l’interpretazione del termine “rilevazione” presente nell’articolo 37 non potesse essere utilizzata, contrariamente a quanto affermato dalla clinica, per limitare l’obbligo di notificazione.

Nella sentenza, viene spiegato che fulcro della decisione è, senza dubbio, la corretta interpretazione del citato art. 37.

La semplice lettura del testo ora riportato rende palese che la corretta interpretazione della norma, giustamente invocata dalla parte ricorrente, ma disattesa dalla impugnata sentenza, giustifica – nella fattispecie – la dovuta giustifica [recte: notifica – n.d.r.] del trattamento dei dati.

In altre parole ed a differenza di quanto sostenuto con la gravata decisione la doverosità, nell’ipotesi, della dovuta notifica del trattamento dei dati non può ritenersi onere conseguente ad una interpretazione estensiva, ma, al contrario, ad una corretta interpretazione letterale, fondata, come prescritto dall’art. 12 delle preleggi, sul significato proprio delle parole e, precisamente, della parola “rilevazione“, ossia atto (e risultato dell’atto) del rilevare.

L’obbligo prescritto dall’articolo 37, quindi, grava su tutte le strutture sanitarie, anche quando la rilevazione sia funzionale alla sola erogazione di prestazioni sanitarie. La clinica, peraltro, secondo la Cassazione, non avrebbe potuto neppure giovarsi dell’esonero disposto dal Garante con la delibera n. 1 del 31.3.04, in relazione ai trattamenti di dati effettuati da esercenti le professioni sanitarie; ciò in quanto l’espressione “esercenti le professioni sanitarie” non poteva che riferirsi a persone fisiche e non a strutture sanitarie, pubbliche o private.

 

Vedi: Corte di cassazione Sezione II civile

Sentenza 9 gennaio 2017, n. 188

28 Dic 2016

Una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche. Un sistema, volto anzitutto a contrastare fenomeni basati sulla creazione di profili reputazionali “artefatti” o “inveritieri”, che permetterebbe di calcolare in maniera imparziale, affidabile e oggettivamente misurabile il “rating reputazionaledei soggetti censiti, sì da consentire a eventuali terzi di poter verificare la loro reale credibilità.

Il progetto è stato elaboratoda una organizzazione articolata in un’associazione e da una società preposta alla  gestione dell’iniziativa.

Secondo il Garante Privacy, questo progetto viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone.

L’infrastruttura, dovrebbe raccogliere ed elaborare una mole rilevante di dati personali contenuti in documenti “caricati” volontariamente sulla piattaforma dagli stessi utenti o “pescati” dal web. Attraverso un algoritmo, il sistema assegnerebbe poi ai soggetti censiti degli indicatori alfanumerici in grado, secondo la società, di misurare in modo oggettivo l’affidabilità delle persone  in campo economico e professionale.

Nel disporre il divieto di qualunque operazione di trattamento presente e futura, il Garante ha ritenuto che il sistema comporti rilevanti problematiche per la privacy a causa della delicatezza delle informazioni che si vorrebbero utilizzare, del pervasivo impatto sugli interessati e delle  modalità di trattamento che la società intende mettere in atto. Pur essendo infatti legittima, in linea di principio, l’erogazione di servizi che possano contribuire a rendere maggiormente efficienti, trasparenti e sicuri i rapporti socioeconomici, il sistema in esame – realizzato  peraltro in assenza di una idonea base normativa – presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di un’ampia platea di individui (clienti, candidati, imprenditori, liberi professionisti, cittadini). Il “rating reputazionale” elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e  condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

Per quanto riguarda, poi, l’asserita oggettività delle valutazioni, la società non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei “rating”  al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione  dei soggetti censiti. L’Autorità nutre, in generale, molte perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione. Senza contare, infatti, la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Dubbi sono stati espressi dal Garante anche sulle misure di sicurezza del sistema –  basate, prevalentemente, su sistemi di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari secondo l’Autorità davvero inadeguate, specie se rapportate all’elevato numero di soggetti che potrebbero essere coinvolti e all’ingente quantitativo di informazioni, anche molto delicate, che verrebbero registrate all’interno della piattaforma.

Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.

 

(Fonte Garante Privacy)
Per Saperne Di Più

13 Dic 2016

Il Garante ha dato il via libera ad un sistema di videosorveglianza intelligente da attivare presso l’edificio che ospita la sede della Città Metropolitana di Roma Capitale, volto a garantire la sicurezza degli accessi e la tutela del patrimonio.

Nel richiedere la verifica preliminare la Città Metropolitana ha motivato la necessità del sistema stante l’impossibilità  di vigilare 24 ore su 24 gli accessi e le uscite d’emergenza per mancanza di risorse umane ed economiche.

Esaminate le caratteristiche del sistema il Garante ha ritenuto proporzionato e quindi ammissibile il trattamento dei dati personali che la Città Metropolitana intende effettuare.

Le telecamere intelligenti, che controlleranno un edificio di trenta piani, destinato ad ospitare un numero molto elevato di dipendenti,  si attiveranno solo in caso di scavalco dei tornelli o di effrazione delle  uscite di emergenza. Nel caso di tentativo di accesso non autorizzato, rilevato da appositi sensori, il sistema invierà un segnale di allarme alla control room dell’edificio, presidiata 24 ore su 24 per tutto  l’anno da personale specializzato e adeguatamente formato.

La Città Metropolitana ha, inoltre, dichiarato che:

-“il sistema non rileva i percorsi degli interessati”;

-“le telecamere “intelligenti” sono spente nelle fasce orarie diurne e lavorative, più precisamente dalle ore 06:30 alle ore 20:30 dal lunedì al venerdì e si accendono in automatico al verificarsi di una effrazione. Nelle altre fasce orarie e nelle giornate non lavorative le telecamere in questione sono attive”;

-“sono state adottate le misure minime di sicurezza (artt. 31-36 del Codice in materia di protezione dei dati personali – d.lgs. 30 giugno 2003, n. 196 e disciplinare tecnico All. B al medesimo Codice)”;

-“agli interessati sarà fornita adeguata informativa”; i cartelli sono “apposti prima del raggio di azione delle telecamere, in posizione tale da garantirne la lettura anche nelle ore notturne”;

-“il sistema non ha alcuna finalità di controllo a distanza dell’attività dei lavoratori essendo interamente ed esclusivamente dedicato a garantire la sicurezza dell’edificio, dei lavoratori e dei beni dell’Ente oltre a quelli privati”;

-“il periodo di mantenimento delle immagini registrate è di 24 ore, a ricoprimento automatico tramite le funzioni rese disponibili dalla specifica piattaforma software che ne gestisce l’archiviazione”.

La Città metropolitana ha dichiarato che il sistema non ha alcuna finalità di controllo a distanza dell’attività dei lavoratori e non rileverà i percorsi degli interessati.

Roma Capitale ha inoltre dichiarato di aver adottato le misure minime di sicurezza, che fornirà agli interessati adeguata informativa e che conserverà le immagini solo per 24 ore.

12 Dic 2016

Non si può invocare il diritto all’oblio per vicende giudiziarie di particolare gravità e il cui iter processuale si è concluso da poco tempo. In questi casi prevale l’interesse pubblico a conoscere le notizie. Con questa motivazione, il Garante privacy ha dichiarato infondata la richiesta di deindicizzazione di alcuni articoli presentata da un ex consigliere comunale coinvolto in un’indagine per corruzione e truffa.

Una vicenda  iniziata nel 2006 e conclusasi (per lui) nel 2012 con sentenza di patteggiamento e pena interamente coperta da indulto. Di fronte al no di Google di accogliere le sue richieste di deindicizzazione, l’ex consigliere aveva presentato un ricorso  al Garante chiedendo la rimozione di alcuni url che risultavano digitando il suo nome e cognome nel motore di ricerca e che facevano riaffiorare l’indagine in cui era rimasto coinvolto.  A suo dire, non ricoprendo più incarichi pubblici e operando in un settore privato, la permanenza in rete di notizie, risalenti a circa dieci anni prima e ormai prive di interesse, gli avrebbero arrecato un danno all’immagine, alla vita privata e all’attuale attività lavorativa.

Nel rigettare la richiesta, l’Autorità, alla luce delle Linee guida dei Garanti europei,  ha rilevato che sebbene il trascorrere del tempo sia la componente essenziale del diritto all’oblio, questo elemento incontra un limite quando le informazioni di cui si chiede la deindicizzazione siano riferite a reati gravi e che hanno destato un forte allarme sociale. Le richieste vanno quindi valutate con minor favore, anche se devono essere  analizzate caso per caso.

Nella circostanza specifica nonostante fosse trascorso un certo lasso di tempo dai fatti riportati negli articoli, ha sottolineato l’Autorità, meritava considerazione il fatto che la vicenda giudiziaria si fosse definita solo pochi anni prima. Oltre a ciò, alcuni url riattualizzavano la notizia richiamandola in articoli relativi ad una maxi inchiesta sulla corruzione pubblicati fino al 2015 e la loro relativa attualità dimostra l’interesse ancora vivo e attuale dell’opinione pubblica.

(Fonte Garante Privacy)

21 Nov 2016

Torniamo a parlare del consenso nell’attività di marketing. Nonostante il Garante Privacy si sia più volte espresso in materia e abbia emanato delle “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, in alcuni siti per procedere agli acquisti, il consenso è unico e generico.

Il caso specifico si muove a seguito di alcune segnalazioni ricevute dall’Autorità che ha avviato degli accertamenti, da cui è emerso che una società aveva offerto alla propria clientela la possibilità di gestire la scheda anagrafica, i consumi e le fatture direttamente sul sito web. Per usufruire di tali servizi, però, i clienti dovevano completare una procedura di registrazione dove erano costretti a barrare un’unica casella per concedere un consenso onnicomprensivo al trattamento dei loro dati personali sia per le finalità legate alla gestione del contratto, sia per la ricezione di messaggi di posta elettronica contenenti pubblicità o altro materiale promozionale. Una modalità che, in concreto, violava il principio, più volte rimarcato dal Garante, in base al quale il consenso, per essere ritenuto valido, non deve essere condizionato, ma libero, specifico e informato.

Nell’informativa (resa nell’ambito di un documento denominato “Trattamento dei dati personali”) si avvisavano gli interessati che «i dati […] potranno essere utilizzati da xx […] per la stipulazione e la gestione del contratto di erogazione dei Servizi indicati al punto 1 delle condizioni generali di contratto e per tutte le conseguenti operazioni di Suo interesse» (afferenti alla sfera contrattuale), nonché «al fine di inviarLe periodicamente messaggi contenenti pubblicità, materiale pubblicitario, annunci interni, iniziative promozionali, comunicazioni commerciali».

A fronte delle diverse finalità così identificate, non veniva però richiesto nel sito web uno specifico consenso per il trattamento dei dati raccolti per finalità promozionali; era invece possibile manifestare un unico consenso onnicomprensivo (“accetto”/”non accetto”) in relazione ai diversi trattamenti descritti nell’informativa.

Pertanto, i clienti non devono essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali, per poter usufruire dei servizi on line. Il consenso deve essere manifestato liberamente e non deve essere condizionato.

Nel corso dell’istruttoria, inoltre, il Garante ha rilevato che il ramo aziendale di fornitura del gas era stato acquisito da un’altra società, che non aveva provveduto, come previsto dalla normativa, a inviare ai nuovi clienti l’informativa relativa al trattamento dei dati personali.

L’azienda xxx, non risulta inoltre aver adempiuto all’obbligo di informativa di cui all’art. 13, comma 4, del Codice, in base al quale «se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione».

La tesi sulla mancanza di informativa dell’azienda non è conforme alla legge: non sarebbe stato possibile rendere l’informativa in forma individuale agli interessati perché «ne sarebbe disceso un impiego di mezzi manifestamente sproporzionato ‒ anche per costi e oneri ‒ rispetto al diritto tutelato», si è autonomamente determinata a procedere alla pubblicazione sul proprio sito web di una pagina dedicata ai “clienti ex xxx”.

Tale modalità, se del caso, avrebbe eventualmente dovuto essere stabilita dal Garante, come previsto dall’art. 13, comma 5, lett. c), del Codice, previamente adito, quale misura appropriata, ad esito di un’apposita valutazione sull’impossibilità (o eccessiva onerosità) in concreto dell’adempimento dell’obbligo informativo in forma individuale.

L’Autorità ha quindi vietato al primo operatore energetico, che aveva predisposto lo sportello per i servizi on line, di utilizzare per finalità di marketing i dati personali di cui era ancora in possesso in assenza di un valido consenso. Ha invece prescritto alla società acquirente del ramo gas di provvedere quanto prima a informare i clienti sulle modalità di trattamento dei loro dati.

(Fonte Garante Privacy)