Tag Archives: privacy

13 Dic 2016

Sì del Garante Privacy alla sperimentazione di un progetto pilota di autenticazione basato sul riconoscimento vocale e facciale per la consegna dei cedolini on line. Il Consorzio per il Sistema Informativo (Csi) Piemonte potrà testare in un contesto “reale” e per un periodo di tempo limitato una app installata sugli smartphone di quei dipendenti che accetteranno di utilizzarla per accedere al servizio “cedolini on line“, in alternativa al sistema in uso basato su user id e password.

Il Consorzio per il Sistema Informativo – CSI Piemonte (di seguito, il consorzio) ha presentato una richiesta di verifica preliminare, in relazione al trattamento di dati personali biometrici ˗basato su sistemi di riconoscimento vocale e facciale ˗nell’ambito della partecipazione al progetto PIDaaS (Private IDentity as a Service), co-finanziato dal Programma quadro per l’innovazione e la competitività dell’Unione europea.

I “volontari”, tramite la app, potranno  visualizzare e scaricare il cedolino mensile, il modello CU,  la posizione assicurativa per chi aderisce al Fondo pensione. Il test consentirà al Consorzio di verificare l’accuratezza, la facilità d’uso e la sicurezza, anche sotto il profilo dei dati personali, del servizio di autenticazione biometrica.

L’ok del Garante si riferisce esclusivamente alla fase sperimentale e non riguarda eventuali future applicazioni “a regime” del sistema che dovranno essere sottoposte a un nuovo vaglio dell’Autorità.

Per innalzare il livello di protezione dei dati dei partecipanti al test  il Garante ha prescritto l’adozione di ulteriori misure rispetto a quelle già previste dal Csi. In primo luogo, il Consorzio dovrà fare in modo che la sperimentazione non coinvolga meccanismi e applicativi aziendali utilizzati nella gestione del rapporto di lavoro. Gli utenti che decideranno di aderire alla sperimentazione (dalla quale potranno recedere in qualsiasi momento) dovranno quindi accedere ad una installazione di test creata ad hoc, contenente solo i loro cedolini.

Il progetto prevede la comunicazione di alcuni dati personali riferiti ai partecipanti al partner spagnolo del progetto (EURECAT-Technology Centre of Catalonia, mentre secondo quanto dichiarato i dati condivisi con altri due partner sono previamente anonimizzati), il consorzio con propria determinazione dovrà individuare i termini e le condizioni delle operazioni di comunicazione e del successivo trattamento dei dati conferiti, compreso il profilo della sicurezza. In particolare, fermo restando l’obbligo di comunicare al Garante il verificarsi di violazioni dei dati biometrici (data breach) o incidenti informatici il consorzio dovrà predisporre una procedura per la gestione congiunta degli eventuali incidenti di sicurezza che dovessero verificarsi.

Il Consorzio, inoltre, dovrà fornire agli aderenti all’iniziativa apposite credenziali e un indirizzo di posta elettronica temporaneo per avere accesso alla sezione della intranet da cui si avvia la fase di registrazione per effettuare il login alla app. I dati biometrici poi, dovranno essere cancellati in modo irreversibile al termine della sperimentazione o su richiesta del partecipante.

Infine, il consorzio dovrà:

  1. effettuare la notificazione al Garante ai sensi dell’articolo 37, comma 1, lett. a), del Codice;
  2. fornire agli interessati un’informativa comprensiva di tutti gli elementi contenuti nell’articolo 13 del Codice, anche in conformità al principio di correttezza in base al quale il titolare è tenuto a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice);
  3. predisporre misure al fine di garantire agli interessati l’esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice (anche alla luce di quanto stabilito dall’art. 100, comma 2, del Codice).

(Garante Privacy)

12 Dic 2016

Non si può invocare il diritto all’oblio per vicende giudiziarie di particolare gravità e il cui iter processuale si è concluso da poco tempo. In questi casi prevale l’interesse pubblico a conoscere le notizie. Con questa motivazione, il Garante privacy ha dichiarato infondata la richiesta di deindicizzazione di alcuni articoli presentata da un ex consigliere comunale coinvolto in un’indagine per corruzione e truffa.

Una vicenda  iniziata nel 2006 e conclusasi (per lui) nel 2012 con sentenza di patteggiamento e pena interamente coperta da indulto. Di fronte al no di Google di accogliere le sue richieste di deindicizzazione, l’ex consigliere aveva presentato un ricorso  al Garante chiedendo la rimozione di alcuni url che risultavano digitando il suo nome e cognome nel motore di ricerca e che facevano riaffiorare l’indagine in cui era rimasto coinvolto.  A suo dire, non ricoprendo più incarichi pubblici e operando in un settore privato, la permanenza in rete di notizie, risalenti a circa dieci anni prima e ormai prive di interesse, gli avrebbero arrecato un danno all’immagine, alla vita privata e all’attuale attività lavorativa.

Nel rigettare la richiesta, l’Autorità, alla luce delle Linee guida dei Garanti europei,  ha rilevato che sebbene il trascorrere del tempo sia la componente essenziale del diritto all’oblio, questo elemento incontra un limite quando le informazioni di cui si chiede la deindicizzazione siano riferite a reati gravi e che hanno destato un forte allarme sociale. Le richieste vanno quindi valutate con minor favore, anche se devono essere  analizzate caso per caso.

Nella circostanza specifica nonostante fosse trascorso un certo lasso di tempo dai fatti riportati negli articoli, ha sottolineato l’Autorità, meritava considerazione il fatto che la vicenda giudiziaria si fosse definita solo pochi anni prima. Oltre a ciò, alcuni url riattualizzavano la notizia richiamandola in articoli relativi ad una maxi inchiesta sulla corruzione pubblicati fino al 2015 e la loro relativa attualità dimostra l’interesse ancora vivo e attuale dell’opinione pubblica.

(Fonte Garante Privacy)

21 Nov 2016

Torniamo a parlare del consenso nell’attività di marketing. Nonostante il Garante Privacy si sia più volte espresso in materia e abbia emanato delle “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, in alcuni siti per procedere agli acquisti, il consenso è unico e generico.

Il caso specifico si muove a seguito di alcune segnalazioni ricevute dall’Autorità che ha avviato degli accertamenti, da cui è emerso che una società aveva offerto alla propria clientela la possibilità di gestire la scheda anagrafica, i consumi e le fatture direttamente sul sito web. Per usufruire di tali servizi, però, i clienti dovevano completare una procedura di registrazione dove erano costretti a barrare un’unica casella per concedere un consenso onnicomprensivo al trattamento dei loro dati personali sia per le finalità legate alla gestione del contratto, sia per la ricezione di messaggi di posta elettronica contenenti pubblicità o altro materiale promozionale. Una modalità che, in concreto, violava il principio, più volte rimarcato dal Garante, in base al quale il consenso, per essere ritenuto valido, non deve essere condizionato, ma libero, specifico e informato.

Nell’informativa (resa nell’ambito di un documento denominato “Trattamento dei dati personali”) si avvisavano gli interessati che «i dati […] potranno essere utilizzati da xx […] per la stipulazione e la gestione del contratto di erogazione dei Servizi indicati al punto 1 delle condizioni generali di contratto e per tutte le conseguenti operazioni di Suo interesse» (afferenti alla sfera contrattuale), nonché «al fine di inviarLe periodicamente messaggi contenenti pubblicità, materiale pubblicitario, annunci interni, iniziative promozionali, comunicazioni commerciali».

A fronte delle diverse finalità così identificate, non veniva però richiesto nel sito web uno specifico consenso per il trattamento dei dati raccolti per finalità promozionali; era invece possibile manifestare un unico consenso onnicomprensivo (“accetto”/”non accetto”) in relazione ai diversi trattamenti descritti nell’informativa.

Pertanto, i clienti non devono essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali, per poter usufruire dei servizi on line. Il consenso deve essere manifestato liberamente e non deve essere condizionato.

Nel corso dell’istruttoria, inoltre, il Garante ha rilevato che il ramo aziendale di fornitura del gas era stato acquisito da un’altra società, che non aveva provveduto, come previsto dalla normativa, a inviare ai nuovi clienti l’informativa relativa al trattamento dei dati personali.

L’azienda xxx, non risulta inoltre aver adempiuto all’obbligo di informativa di cui all’art. 13, comma 4, del Codice, in base al quale «se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione».

La tesi sulla mancanza di informativa dell’azienda non è conforme alla legge: non sarebbe stato possibile rendere l’informativa in forma individuale agli interessati perché «ne sarebbe disceso un impiego di mezzi manifestamente sproporzionato ‒ anche per costi e oneri ‒ rispetto al diritto tutelato», si è autonomamente determinata a procedere alla pubblicazione sul proprio sito web di una pagina dedicata ai “clienti ex xxx”.

Tale modalità, se del caso, avrebbe eventualmente dovuto essere stabilita dal Garante, come previsto dall’art. 13, comma 5, lett. c), del Codice, previamente adito, quale misura appropriata, ad esito di un’apposita valutazione sull’impossibilità (o eccessiva onerosità) in concreto dell’adempimento dell’obbligo informativo in forma individuale.

L’Autorità ha quindi vietato al primo operatore energetico, che aveva predisposto lo sportello per i servizi on line, di utilizzare per finalità di marketing i dati personali di cui era ancora in possesso in assenza di un valido consenso. Ha invece prescritto alla società acquirente del ramo gas di provvedere quanto prima a informare i clienti sulle modalità di trattamento dei loro dati.

(Fonte Garante Privacy)

20 Nov 2016

La Corte di Cassazione, con la sentenza 8.11.2016 n. 22662, ha affrontato il tema dei limiti di legittimità dei c.d. controlli difensivi (art. 4 della L. 300/70 precedente le modifiche), finalizzati non a verificare l’esatto adempimento delle obbligazioni direttamente scaturenti dal rapporto di lavoro, ma a tutelare il patrimonio aziendale e/o ad impedire la perpetrazione di comportamenti illeciti.
Ancora una volta torna in primo piano il delicato profilo della legittimità dei controlli difensivi effettuati dal datore di lavoro che, sebbene ancora riferito a fattispecie avvenute prima dell’entrata in vigore della riforma del Jobs Act, rimane un tema di frequente contrasto.

I giudici di legittimità hanno affermato che i controlli difensivi, nel testo vigente all’epoca dei fatti, richiedono certamente il previo accordo con le rappresentanze sindacali aziendali, ma solo nel caso in cui da essi “derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”.
In tal modo, si escludono dall’applicazione dell’art. 4 della L. 300/70 i controlli diretti ad appurare comportamenti estranei all’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro enon, invece, quando riguardino la tutela di beni esterni al rapporto stesso. pertanto, se le telecamere installate non comportano alcun controllo a distanza del dipendente, per la loro attivazione non è necessario l’accordo stipulato con la rappresentanza sindacale o l’autorizzazione alla DTL.

Nel caso in disamina la condotta della lavoratrice oggetto della ripresa video non solo non atteneva alla prestazione lavorativa ma non differiva in alcun modo da quella illecita posta in essere da un qualsiasi soggetto estraneo all’organizzazione del lavoro. Il c.d. controllo difensivo, pertanto, non atteneva all’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, ma era destinato ad accertare un comportamento che poneva in pericolo la stessa sicurezza dei lavoratori, oltre al patrimonio aziendale, determinando la diretta implicazione del diritto del datore di lavoro di tutelare la propria azienda mediante gli strumenti connessi all’esercizio dei poteri derivanti dalla sua supremazia sulla struttura aziendale.

Pertanto la Cassazione ha dichiarato legittimo il licenziamento operato nei confronti della dipendente che aveva sottratto una busta contenente denaro dalla cassaforte aziendale, sfilandola dalla fessura con un tagliacarte. La condotta era ricavabile da un filmato prodotto da una telecamera preposta al controllo della predetta cassaforte.

7 Nov 2016

La scuola a prova di privacy, la nuova guida del Garante Privacy, per “insegnare la privacy e rispettarla a scuola. L’obiettivo è quello di aiutare  studenti, famiglie, professori e la stessa amministrazione scolastica a muoversi agevolmente nel mondo della protezione dei dati.

La guida si  articola in cinque brevi capitoli, che riportano regole ed esempi:

  1. Regole generali;
  2. Vita dello studente;
  3. Mondo connesso e nuove tecnologie;
  4. Pubblicazione on line;
  5. Videosorveglianza e altri casi

In più troviamo due sezioni “di servizio” (Parole chiave; Appendice – per approfondire) utili per comprendere meglio la specifica terminologia utilizzata nella normativa sulla privacy e per avere un sintetico quadro giuridico di riferimento.

La guida – che si apre all’insegna dell’ “insegnare la privacy, rispettarla a scuola” –  raccoglie i casi affrontati dal Garante con maggiore frequenza, al fine di offrire elementi di riflessione e indicazioni  per i tanti quesiti che vengono posti dalle famiglie e dalle istituzioni: da come trattare correttamente i dati personali degli studenti (in particolare quelli sensibili, come condizioni di salute o convinzioni religiose) a quali regole seguire per pubblicare dati sul sito della scuola o per comunicarli alle famiglie; da come usare correttamente tablet e smartphone nelle aule scolastiche a quali cautele adottare per i dati  degli allievi con disturbi di apprendimento.

Il vademecum dedica inoltre particolare attenzione alla “scuola 2.0” e al corretto uso delle nuove tecnologie, al fine di prevenire atti di cyberbullismo o altri episodi che possano segnare negativamente la vita dei più giovani.

Attenzione alla pubblicazione delle immagini sui social, diventa infatti necessario ottenere il consenso informato delle persone presenti nelle fotografie o video.

Ancora: Le lezioni possono essere registrate? Come si possono prevenire fenomeni come il cyberbullismo o il sexting? Quali accortezze adottare nel pubblicare le graduatorie del personale scolastico? Ci sono cautele specifiche per la fornitura del servizio mensa o per la gestione del “curriculum dello studente”?

Queste sono alcune domande a cui risponde la guida.

Le scuole sono chiamate ogni giorno ad affrontare la sfida più difficile, quella di educare le nuove generazioni non solo alla conoscenza di nozioni basilari e alla trasmissione del sapere, ma soprattutto al rispetto dei valori fondanti di una società. Nell’era di internet e in presenza di nuove forme di comunicazionee condivisione questo compito diventa ancora più cruciale – sottolinea il Presidente dell’Autorità, Antonello Soro. “E’ importante – continua Soro – riaffermare quotidianamente, anche in ambito scolastico, quei principi di civiltà, come la riservatezza e la dignità della persona, che devono sempre essere al centro della formazione di ogni cittadino”.

Scarica l’opuscolo dal sito del Garante privacy

25 Ott 2016
2 Set 2016

Stop alla pubblicazione sul portale della Regione Basilicata dei dati personali di chi aspira a ricevere contributi per interventi di risparmio energetico, ma la cui domanda non è stata accolta, e dei dati di chi si trova in situazioni di disagio economico. A deciderlo il Garante della Privacy, che a seguito della segnalazione di un cittadino, ha stabilito che la Regione ha messo on line dati personali di migliaia di persone senza avere una idonea base normativa che glielo consentisse.

Gli obblighi di trasparenza previsti per legge stabiliscono infatti che vengano pubblicati on line solo i nominativi dei destinatari di sovvenzioni superiori a mille euro.

Dall’istruttoria del Garante è emerso, invece, che la Regione ha pubblicato, in graduatorie visibili a tutti, anche dati (il nominativo del richiedente, il codice identificativo, il costo preventivato complessivo, il contributo concedibile e, in alcuni casi, il motivo dell’esclusione) di persone che non avevano neanche ricevuto il contributo economico. Complessivamente sono stati messi on line, scaricabili e liberamente accessibili, dati personali relativi a oltre 10 mila persone di cui solo 935 beneficiari di contributi salvo scorrimento della graduatoria.

Le graduatorie, inoltre, essendo state formate in base all’Isee dei partecipanti, dando priorità ai soggetti che si trovano in condizioni di disagio economico, potrebbero rivelare situazioni di indigenza dei beneficiari collocati nei primi posti. L’Autorità privacy ha dunque vietato la diffusione in Internet dei dati personali riferiti a soggetti che non risultano destinatari del contributo economico (perché la relativa istanza è stata respinta o perché è ancora in fase istruttoria), nonché di quelli riferiti a soggetti la cui collocazione in graduatoria potrebbe rivelare una situazione di disagio economico.

La Regione dovrà conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni del Codice privacy,  prevedendo, ove necessario, un accesso alle informazioni delle graduatorie da parte degli interessanti mediante credenziali di autenticazione in aree ad accesso selezionato del sito web istituzionale, come previsto anche nelle Linee guida in materia di trasparenza e pubblicità (doc. web. 3134436).

Dopo l’intervento dell’Autorità la Regione ha dichiarato di aver provveduto alla cancellazione dei dati.

(Fonte Garante Privacy)

20 Giu 2016

La Regione Lazio, nella persona del Direttore della Direzione regionale salute e integrazione sociosanitaria, ha chiesto un parere sul documento denominato “Schema tipo di Regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura”, che è stato elaborato a seguito dell’adozione da parte di questa Autorità delle Linee guida in tema di dossier sanitario del 4 giugno 2015.

Lo schema tipo nasce da uno studio svolto dal Policlinico Umberto I di Roma nell’adempiere alle prescrizioni dettate dall’Autorità per rendere conforme al Codice privacy i trattamenti di dati effettuati attraverso il dossier sanitario aziendale. Esso evidenzia come l’analisi delle finalità, dei processi e degli strumenti è il primo passo per individuare gli adempimenti necessari in materia di protezione dei dati in ambito sanitario e indicare soluzioni operative rispettose dei diritti alla cura e alla riservatezza dei pazienti.

Tale approccio, messo in atto dalla Regione Lazio, si muove nella direzione sempre auspicata dal Garante privacy.  E’ questo, in sintesi, il giudizio espresso dall’Autorità su uno “Schema tipo di regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura“, elaborato dalla Regione Lazio a seguito dell’adozione delle Linee guida in tema di Dossier sanitario, varate nel 2015 dal Garante [doc. web. n. 5177496].

Lo schema prevede:

  • il censimento di tutti i trattamenti di dati personali svolti all’interno della struttura compresi quelli per fini di ricerca e amministrativi;
  • l’individuazione delle diverse figure (medici, personale sanitario, dottorandi) responsabili a vario titolo dei trattamenti,
  • la designazione e protocolli di vigilanza sull’operato degli incaricati;
  • l’analisi degli strumenti informatici utilizzati e i relativi obblighi di sicurezza.

Per la gestione dei servizi informatici attraverso il cloud computing – attesa la particolare delicatezza dei dati oggetto di trattamento e delle operazioni su di essi eseguibili, nonché la vastità della platea di interessati e di titolari che dovrebbero adottare tale schema – si richiede l’attuazione di specifiche misure al fine di tutelare le informazioni trattate. Pertanto, si richiamano al riguardo le indicazioni fornite in proposito da questa Autorità con la scheda di documentazione su “Cloud computing: indicazioni per l’utilizzo consapevole dei servizi” (disponibile in www.gpdp.it, doc. web n. 1819933), nonché le cautele individuate dal Gruppo art. 29 dei Garanti europei nel “Parere 05/2012 sul cloud computing”, WP 196 del 1° luglio 2012 (doc. web n. 2133003).

Il documento “fotografa” anche i numerosi processi di diagnosi e cura presenti in una struttura sanitaria (ad es., accesso al pronto soccorso, ricovero ordinario, ricovero in day surgery), anche in riferimento alle forme di assistenza previste per particolari patologie (ad es., le cronicità, le prestazioni peculiari come la consegna diretta dei farmaci).

Lo schema sarà sottoposto all’approvazione della Giunta regionale affinché possa essere utilizzato dalle aziende sanitarie del servizio sanitario regionale come riferimento per la stesura del proprio regolamento aziendale.

(Fonte Garante Privacy)

20 Mag 2016

No a troppe informazioni che rendono identificabile un bambino malato. Il diritto del minore alla riservatezza prevale sul diritto di cronaca e neanche il consenso dei genitori autorizza il giornalista a riportare informazioni che possano nuocere al suo sviluppo.

Il Garante Privacy a seguito della pubblicazione di diversi dati identificativi di una bambina (fotografie, il nome, il luogo di residenza, l’età, il nome e il cognome della madre, il nome della scuola frequentata), su alcune testate giornalistiche, ha avviato d’ufficio un’istruttoria, in cui ha chiesto alle società proprietarie delle testate, a fornire proprie osservazioni nonché a rappresentare eventuali iniziative assunte spontaneamente a tutela della minore

Il Garante ha tuttavia ritenuto di non dover adottare alcun provvedimento inibitorio, poiché le testate, appena avuta notizia dell’avvio dell’istruttoria, hanno eliminato gli articoli dalla rete o oscurato i dati che rendevano identificabile la bambina.

La vicenda descritta negli articoli affronta, a parere dell’Autorità, un tema di indubbio interesse pubblico, riguardando il dibattito in corso sul rapporto rischi benefici delle vaccinazioni.

Nel riportare la notizia, i giornalisti devono però tener conto delle regole che disciplinano il rapporto tra attività giornalistica e protezione dei dati personali e delle garanzie poste a tutela dei più piccoli.

Nel caso di specie trovano applicazione le norme che regolano il rapporto tra attività giornalistica e protezione dei dati personali, nonché i principi e le specifiche garanzie poste a tutela della dei minori. In particolare:

  • l’art. 137, comma 3, del Codice il quale dispone che in caso di diffusione di dati personali per finalità giornalistiche restano fermi i limiti del diritto di cronaca a tutela dei diritti di cui all’articolo 2 del medesimo Codice (dignità, riservatezza, identità personale e protezione dei dati personali) e, in particolare, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico;
  • l’art. 7 del codice di deontologia il quale afferma che il diritto del minore alla riservatezza deve essere sempre considerato come primario rispetto al diritto di cronaca e stabilisce che «al fine di tutelarne la personalità, il giornalista non pubblica i nomi dei minori coinvolti in fatti di cronaca, né fornisce particolari in grado di condurre alla loro identificazione» (comma 1).

Il principio di essenzialità dell’informazione e la speciale tutela a favore del minore devono essere inoltre interpretati alla luce della particolare protezione accordata, anche nell’esercizio dell’attività giornalistica, alle informazioni idonee a rivelare lo stato di salute (art. 139 del Codice). Con riguardo al caso di specie, e proprio in relazione a malattie gravi riferibili a una persona identificata e identificabile, il codice di deontologia prescrive al giornalista di rispettarne la dignità, la riservatezza e il decoro personale e di astenersi dal pubblicare dati analitici (art. 10). Anche la Carta di Treviso, richiamata dal citato art. 7 del codice di deontologia, stabilisce che, in caso di bambini malati, occorre porre “particolare attenzione e sensibilità nella diffusione delle immagini e delle vicende” che li riguardano al fine di evitare forme di sensazionalismo lesive della loro personalità.

E, anche se in questo caso la diffusione di dati personali è avvenuta con il consenso dei genitori, questo elemento, sottolinea l’Autorità, non è di per sé sufficiente a legittimare l’identificabilità del minore. Il consenso parentale non esime infatti il giornalista dal valutare il potenziale pregiudizio che può derivare dalla pubblicazione di informazioni così dettagliate.

Il giornalista è chiamato ad adottare le cautele di volta in volta più opportune per tutelare il minore, senza per questo abdicare al ruolo fondamentale di denuncia e informazione della collettività. Tale principio, più volte affermato dall’Autorità, trova conferma anche nella Carta di Treviso, secondo cui, “a prescindere dall’eventuale consenso dei genitori, il  minore non va coinvolto in forme di comunicazioni lesive dell’armonico sviluppo della sua personalità“.

(Fonte Garante Privacy)

20 Apr 2016

L’Autorità Garante Privacy si è pronunciata nei confronti della società Facebook, a seguito di un ricorso da parte un utente che non aveva ricevuto dal servizio di assistenza della società Facebook, una risposta soddisfacente alla sua istanza presentata ai sensi degli artt. 7 e 8 del Codice in materia di protezione dati personali.

Nel caso in questione, l’utente, titolare di un account Facebook, è stato vittima di attività configuarbili come minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di una persona, anch’essa utente Facebook, che dopo aver chiesto ed ottenuto la propria “amicizia”, avrebbe intrattenuto con lo stesso “una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato“.

Infatti, dopo essersi insinuato fra i suoi contatti in modo amichevole e confidenziale, aveva iniziato a ricattarlo richiedendogli con insistenza delle somme di denaro.

Non avendo accettato le richieste di denaro, la persona “amica” avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul profilo dell’interessato, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotografie e video artefatti con fotomontaggio (che lo ritraevano “intento in attività sessuali anche con minori“) gravemente lesivi dell’onore e del decoro oltre che dell’immagine pubblica e privata del ricorrente, noto professionista e titolare di una carica istituzionale in ambito locale.

L’interessato aveva immediatamente chiesto a Facebook, tramite il previsto servizio on-line, la rimozione delle false foto/video montaggi a contenuto diffamatorio ricevendo “notizia da terzi che il falso profilo “Facebook” era stato eliminato e che le conversazioni presenti sull’account” di sua effettiva titolarità “erano state oscurate con dicitura di indisponibilità“.

Inoltre, l’interessato aveva provveduto anche ad inviare a Facebook Ireland Ltd. una raccomandata in cui chiedeva:

  1. a) la conferma dell’esistenza e la comunicazione in forma intelligibile di tutti i dati che lo riguardano (informazioni e fotografie) detenuti in relazione ai profili Facebook aperti a suo nome;
  2. b) di conoscere l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza;
  3. c) la cancellazione e il blocco del falso account e dei dati, fotografia inclusa, illecitamente inseriti dallo stesso falso account e condivisi nel social nework, oltre all’attestazione che tale operazione è stata portata a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi;
  4. d) e  si è opposto al trattamento dei dati in questione.

Facebook Ireland Ltd. invia in risposta le istruzioni per accedere ai propri dati tramite il servizio “download tool”, una serie di dati non intelligibili perchè indicati con codici, numeri e sigle, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network. Tramite questo servizio l’interessato ha avuto anche modo di riscontrare come tutte le conversazioni con l’autore del falso account (sia quelle colloquiali che quelle integranti gli asseriti illeciti) non erano state cancellate, nonostante dopo la segnalazione del ricorrente fossero risultate, secondo informazioni ricevute da terzi, indisponibili nel proprio account.

A questo punto, l’interessato si rivolge al Garante Privacy, il quale ai fini della valutazione del caso, si sofferma ad accertare il diritto ad esso applicabile, partendo da un’analisi delle attività rispettivamente svolte da Facebook Italy S.r.l. e da Facebook Ireland Ltd.

Facebook Italy s.r.l., è una società che ha per oggetto “la fornitura di servizi internet e di servizi di vendita, la vendita di spazi pubblicitari on-line, il marketing ed ogni attività connessa“, pur non risultando il trattamento dei dati personali in questione effettuato direttamente dal predetto stabilimento italiano, lo stesso viene comunque svolto “nel contesto delle attività” di Facebook Italy s.r.l. e considerato altresì che le attività delle due società sono “inestricabilmente connesse” poiché l’attività svolta da Facebook Italy s.r.l. è volta a rendere economicamente redditizio il servizio reso da Facebook Ireland Ltd.

Sulla base di questo, il Garante afferma l’applicabilità della legge italiana, e quindi del Codice Privacy e accoglie il ricorso, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015.

Pertanto, ordina alla società Facebook di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di fornire all’interessato indicazioni circa le richieste di cui all’art. 7, comma 2, del Codice.

Inoltre, ordina ai gestori di non effettuare, con effetto immediato dalla data di ricezione del presente provvedimento, alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria.

(Fonte Garante Privacy)