Garante

Il Garante Privacy pubblica una “guida” sintetica al Regolamento Privacy

Il Garante ha pubblicato sul proprio sito istituzionale una “guida” sintetica al nuovo Regolamento privacy, con mere finalità divulgative.
Per la versione integrale del regolamento (UE) 679/2016, si rimanda a questo link.

Codice deontologico per trattamenti di dati a fini di informazione commerciale

Il Garante per la protezione del dati personali, unitamente ad associazioni di categoria, ha varato il nuovo Codice di deontologia e di buona condotta per il trattamento di dati personali effettuato a fini di informazione commerciale.

Pubblicato in Gazzetta Ufficiale il 13 ottobre 2015, entrerà in vigore il 16 ottobre 2016.

Qui il testo completo del Codice deontologico.

Di seguito si riporta, invece, la sintesi del provvedimento come diffusa nel comunicato stampa del Garante.

Ricerche limitate a persone con legami giuridici o economici

Per realizzare un dossier di informazione commerciale su un manager o un imprenditore, si possono utilizzare solo i suoi dati personali, oppure quelli di persone fisiche o giuridiche che con lui hanno o hanno avuto legami economici o giuridici.

Informazioni pubbliche o liberamente comunicate

Sono utilizzabili i dati provenienti da “fonti pubbliche”, come i pubblici registri, gli elenchi, i documenti conoscibili da chiunque (bilanci, informazioni contenute nel registro delle imprese presso le Camere di commercio, atti immobiliari e altri atti c.d. pregiudizievoli come l’iscrizione di ipoteca o la trascrizione di pignoramento, decreti ingiuntivi o altri atti giudiziari).

Per la prima volta, saranno utilizzabili a questi fini anche i dati estratti da “fonti pubblicamente e generalmente accessibili da chiunque”, come le testate giornalistiche cartacee o digitali, oltre che informazioni attinte da elenchi telefonici, da siti web di enti pubblici o altre autorità di vigilanza e controllo.

Tutti questi dati, come previsto dal Codice della privacy, possono essere trattati senza il consenso degli interessati.

Potranno essere utilizzati anche i dati personali che il soggetto stesso ha liberamente deciso di comunicare al fornitore di informazioni commerciali.

Gli operatori dovranno sempre annotare la fonte da cui hanno tratto i dati personali sulla persona censita.

Informativa e pronto riscontro agli interessati

Tutte le società del settore dovranno pubblicare un’informativa completa almeno sul proprio sito web. Quelle con un fatturato superiore a 300.000 euro (in questo ambito di attività) dovranno realizzare insieme un unico portale dove inserire le comunicazioni sulle attività di informazione commerciale.

E’ previsto inoltre l’obbligo per gli operatori del settore di garantire un riscontro telematico, tempestivo e completo, alle richieste in materia di privacy avanzate dalle persone censite.

Limiti all’utilizzo e alla conservazione dei dati

I dati personali possono essere conservati solo per periodi di tempo ben definiti e, comunque, trattati nel rispetto dei limiti alla conoscibilità, all’utilizzabilità e alla pubblicità dei dati previsti dalle normative di riferimento (ad esempio quella sulla trasparenza o sulla pubblicità legale degli atti).

Potranno essere trattati anche dati giudiziari (come quelli relativi  ad un’eventuale condanna, ad esempio, per bancarotta fraudolenta) della persona censita. Tali informazioni, se tratte da un giornale, o da un’altra fonte pubblicamente e generalmente accessibile, non possono risalire a più di sei mesi prima.

Dati sempre pertinenti e aggiornati

Gli operatori del settore dovranno utilizzare solo dati pertinenti e non eccedenti l’attività di informazione commerciale. I dati dovranno essere sempre aggiornati.

Sicurezza delle informazioni

Le società dovranno adottare misure per garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali.

 

Google Street View Special Collects

Google sta avviando anche in Italia il servizio “Google Special Collects”, che consentirà di riprodurre immagini a 360° nei luoghi non raggiungibili con Google Street View.

Al fine di garantire il rispetto della normativa in materia di protezione dei dati personali, il Garante ha reso un proprio provvedimento, con il quale, in deroga al provvedimento reso per il servizio Google Street View, si prevede ora che il provider:

1. provveda, ai sensi degli artt. 29 e 30 del Codice, a designare volta per volta gli eventuali Partners, ovvero i soggetti terzi addetti all’acquisizione delle immagini secondo le modalità e con l’attrezzatura resa disponibile da Google medesima, quali responsabili o, a seconda dei casi, incaricati del trattamento di dati nella titolarità della società, fornendo loro adeguate istruzioni e precisando, altresì, l’ambito del trattamento consentito;

2. in particolare, qualora la programmata acquisizione delle immagini interessi luoghi, privati o pubblici, delimitati e ad accesso controllato ovvero parti di essi, specie di piccole dimensioni (ville, stanze, musei, giardini etc.) fornisca agli incaricati, direttamente ovvero per il tramite degli eventuali responsabili, delle specifiche istruzioni alla stregua delle quali vengano informate le persone eventualmente presenti dell’imminente ripresa delle immagini, consentendo loro di esercitare il proprio diritto a sottrarsi alla stessa;

3. provveda, comunque, ad informare gli interessati circa la programmata acquisizione di immagini relative ai siti ed alle località oggetto del programma mediante:

3.1. pubblicazione della notizia sul sito web di Google, intendendosi l’obbligo valevole sia con riferimento al sito web www.google.it sia a tutte le altre pagine web in lingua italiana comunque riconducibili a Google; e ciò nei tre giorni antecedenti rispetto all’inizio della raccolta delle immagini;

3.2. pubblicazione della notizia tramite i siti web e, se esistenti, le newsletter o altre pubblicazioni informative dei Partners ovvero degli enti, strutture, soggetti privati, fondazioni etc. che utilizzano le attrezzature del programma o che comunque possiedono, gestiscono o soprintendono i siti ovvero hanno altrimenti la disponibilità del rilascio della necessaria autorizzazione all’effettuazione delle riprese; e ciò nei sette giorni antecedenti rispetto all’inizio della raccolta delle immagini per il caso dei siti web; nell’ultima pubblicazione antecedente l’inizio del trattamento nei rimanenti casi;

3.3. nell’eventualità di siti o luoghi, pubblici o privati, recintati ovvero aperti al pubblico, pubblicazione di segnalazioni, avvisi o cartelli affissi all’ingresso dei siti interessati;

4. predisponga, sulle attrezzatture attraverso le quali acquisisce le immagini fotografiche ovvero anche sull’abbigliamento dei relativi addetti adesivi, cartelli o altri segni distintivi ben visibili che indichino, in modo inequivocabile, che si stanno acquisendo immagini fotografiche istantanee oggetto di pubblicazione online mediante il servizio Google Special Collects nell’ambito di Street View destinate alla pubblicazione su Google Maps.

Fabio Bravo | www.fabiobravo.it

 

Cookies. Video informativo del Garante Privacy

Il Garante in materia di protezione dei dati personali sta portando avanti una campagna informativa in tema di cookies mediante un efficace video, ripreso anche tramite diverse testate giornalistiche. Per contribuire alla sua diffusione viene riproposto anche di seguito.

Privacy e mediazione civile. Il Garante fissa le regole

Il Garante per la Privacy, con un comunicato stampa del 4 maggio 2011, richiama l’attenzione generale su tre atti di propria emanazione:

a) un provvedimento generale in materia di trattamento dei dati personali in tema di mediazione nei procedimenti civili (“Provvedimento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali – 21 aprile 2011“);

b) una prima autorizzazione al trattamento dei dati personali sensibili [Autorizzazione al trattamento dei dati sensibili nell’attività di mediazione finalizzata alla conciliazione delle controversie civili e commerciali – 21 aprile 2011 (in Gazzetta Ufficiale n. 101 del 3 maggio 2011)]

c) una seconda autorizzazione al trattamento dei dati personali giudiziari [Autorizzazione al trattamento dei dati a carattere giudiziario correlato all’attività di mediazione finalizzata alla conciliazione delle controversie civili e commerciali – 21 aprile 2011 (Pubblicato sulla Gazzetta Ufficiale n. 101 del 21 aprile 2011)]

Per chi fosse interessato, ecco il testo del Comunicato stampa che riassume l’indirizzo del Garante e le novità introdotte con i tre provvedimenti:

Giustizia: il Garante privacy fissa le regole per la mediazione civile

Procedure semplificate per i mediatori, elevate garanzie per i dati sensibili e giudiziari delle parti

 

Con un provvedimento e due autorizzazioni “ad hoc” il Garante privacy ha semplificato procedure e adempimenti degli organismi di mediazione civile pubblici e privati che trattano dati sensibili e giudiziari mantenendo comunque elevato il livello di garanzia per i diritti e le libertà fondamentali delle parti coinvolte.

 

La mediazione delle controversie civili è una procedura resa obbligatoria di recente e affidata ad organismi iscritti in un apposito registro presso il Ministero della giustizia, da esperirsi prima di esercitare in giudizio un’azione in una serie di materie di particolare rilevanza quali: condominio, eredità, locazione, risarcimento del danno da incidenti stradali, diffamazione a mezzo stampa, contratti assicurativi, bancari, finanziari.

 

L’intervento del Garante si è reso necessario perché la mediazione comporta l’uso dei dati personali delle parti che si avvalgono della conciliazione e degli altri eventuali protagonisti coinvolti nel procedimento, anche di tipo sensibile (ad es. richieste di risarcimento del danno da responsabilità medica o diffamazione) e giudiziario (ad es. dati relativi a sentenze di condanna penale in base alle quali si può chiedere il risarcimento).

 

Per essere in regola con la normativa i soggetti pubblici che intendono costituire un organismo di mediazione dovranno quindi rispettare la normativa sulla privacy e aggiungere al proprio regolamento per il trattamento dei dati sensibili e giudiziari un documento predisposto dall’Autorità in cui sono individuati i tipi di dati (stato di salute, vita sessuale, convinzioni politiche, condanne ecc.) e le operazioni eseguibili (raccolta presso l’interessato o presso terzi, elaborazione in forma cartacea o automatizzata ecc.). Il regolamento, integrato dal documento, non dovrà essere così sottoposto nuovamente al parere del Garante.

 

Le due autorizzazioni, valide fino al 30 giugno 2012, fissano i principi e le misure per il corretto trattamento dei dati. La prima dà il via libera agli organismi privati di mediazione a trattare i dati di natura sensibile delle parti coinvolte nella controversia oggetto di conciliazione.

 

La seconda riguarda i dati giudiziari e autorizza gli organismi di mediazione pubblici e privati, il Ministero della giustizia e gli enti di formazione per la mediazione a trattare tali tipi di dati per la verifica dei requisiti di onorabilità di mediatori, soci, associati, rappresentanti degli organismi e degli enti privati.

 

Roma, 4 maggio 2011

 

Fabio Bravo

www.fabiobravo.it

 

iPhone e iPAD: l’inchiesta del Garante Privacy

Sul caso già segnalato in precedenza nell’articolo dal titolo “iPhone e iPAD. Geoprofiling, privacy e tecniche investigative“il Garante per la protezione dei dati personali ha illustrato, nel comunicato stampa di seguito riportato, le direzioi che ha intrapreso con l’apertura di un’istruttoria:

a) richiesta di informazioni alla Apple;

b) svolgimento di accertamenti tecnici;

c) coordinamento con le altre Authority in materia di privacy di altri Paesi, che stanno già indagando sul medesimo caso.

 

Caso iPhone e iPad. Il Garante apre un’istruttoria

L’Autorità Garante per la protezione dei dati personali ha deciso di aprire un’istruttoria sul caso segnalato da due ricercatori riguardo al nuovo sistema operativo di iPhone e iPad che terrebbe traccia di posizioni e movimenti dell’utente, registrando i dati sul cellulare o sul tablet.

L’Autorità, che ha già da tempo avviato accertamenti sugli applicativi presenti sugli smart phone, ha deciso oggi di allargare le verifiche anche a questo nuovo fenomeno che suscita particolare preoccupazione.

L’Autorità chiederà informazioni ad Apple e avvierà accertamenti tecnici tenendosi in contatto anche con altre Autorità europee per la privacy che si sono già attivate nei confronti della società di Cupertino.

Roma, 22 aprile 2011

Regole Privacy e Propaganda Elettorale

Il Garante per la protezione dei dati personali, in occasione della campagna elettorale in vista delle prossime elezioni, ha emanato un recente provvedimento, i cui contenuti sono ben riassunti nel comunicato stampa che riproduco di seguito, al fine di darne più ampia diffusione:

Propaganda elettorale: le regole del Garante privacy

Liberi gli indirizzi delle liste elettorali, serve il consenso per telefonate, sms ed e-mail

 

Si avvicinano le elezioni provinciali e comunali e l’Autorità Garante per la privacy ha approvato di recente un apposito provvedimento, in corso di pubblicazione su G.U., che conferma le regole già previste dal provvedimento generale del 2005. Come già fatto in occasione di ogni campagna elettorale, l’Autorità ricorda a partiti politici e candidati le modalità in base alle quali chi effettua propaganda elettorale può utilizzare correttamente i dati personali dei cittadini (es. indirizzo, telefono, e- mail etc.).

 

Dati utilizzabili senza consenso. Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza il consenso dei cittadini i dati contenuti nelle liste elettorali detenute dai Comuni, nonché i dati personali di iscritti ed aderenti. Possono essere usati anche altri elenchi e registri in materia di elettorato passivo ed attivo (es. elenco degli elettori italiani residenti all’estero) ed altre fonti documentali detenute da soggetti pubblici accessibili a chiunque, come gli albi professionali (nei limiti in cui lo statuto del rispettivo Ordine preveda la conoscibilità sotto forma di elenchi degli iscritti).

I titolari di cariche elettive possono utilizzare dati raccolti nel quadro delle relazioni interpersonali da loro avute con cittadini ed elettori.

 

Dati utilizzabili con il previo consenso. E’ necessario il consenso per particolari modalità di comunicazione elettronica come sms, e-mail, mms, per telefonate preregistrate e fax. Stesso discorso nel caso si utilizzino dati raccolti automaticamente su Internet o ricavati da forum o newsgroup, liste abbonati ad un provider, dati presenti sul web per altre finalità.

I dati degli abbonati, anche se presenti negli elenchi telefonici, possono essere utilizzati solo se l’abbonato ha preventivamente manifestato la sua disponibilità a ricevere tale tipo di telefonate. Sono ugualmente utilizzabili, se si è ottenuto preventivamente il consenso degli interessati, i dati relativi a simpatizzanti o altre persone già contattate per singole iniziative o che vi hanno partecipato (es. referendum, proposte di legge, raccolte di firme).

 

Dati non utilizzabili. Non sono in alcun modo utilizzabili, neanche da titolari di cariche elettive, gli archivi dello stato civile, l’anagrafe dei residenti, indirizzi raccolti per svolgere attività e compiti istituzionali dei soggetti pubblici o per prestazioni di servizi, anche di cura; liste elettorali di sezione già utilizzate nei seggi; dati annotati privatamente nei seggi da scrutatori e rappresentanti di lista, durante operazioni elettorali.

 

Informazione ai cittadini. I cittadini devono essere informati sull’uso che si fa dei loro dati. Se i dati non sono raccolti direttamente presso l’interessato, l’informativa va data al momento del primo contatto o all’atto della registrazione. Per i dati raccolti da registri ed elenchi pubblici o in caso di invio di materiale propagandistico di dimensioni ridotte (c.d. “santini”), il Garante ha consentito a partiti e candidati una temporanea sospensione dell’informativa fino al 30 settembre 2011.

 

Roma, 13 aprile 2011

Accesso non autorizzato dei dipendenti di una banca ai dati relativi al conto del cliente

Un interessante provvedimento del Garante è intervenuto sul caso di una cliente che si è vista produrre in giudizio, ad opera della controparte, dati relativi al proprio conto corrente, che solo lei e il personale della banca avrebbero potuto conoscere.

Ne è nata una contestazione, portata all’attenzione anche del Garante tramite segnalazione.

Il Garante, nell’accertare la violazione, ha imposto non solo adeguate misure di sicurezza, ma ha anche chiarito che la banca è tenuta a dare immediatamente informazione al cliente in ordine all’accesso illecito al trattamento dei dati da parte del proprio personale, rispondendo tale obbligo al principio di correttezza previsto all’art. 11 del Codice della privacy.

Segnatamente, il Garante ha stabilito, nel richiamato provvedimento, che

Deve altresì rilevarsi che la mancata comunicazione alla segnalante dell’accesso non autorizzato alle informazioni personali alla stessa riferibili, una volta accertato mediante le verifiche interne disposte dalla banca, integra una violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a) del Codice). Tanto più, tenendo conto del comportamento osservato nel caso di specie nel quale la banca ha inizialmente dichiarato che le indagini aziendali concernenti gli accessi effettuati nei confronti dei conti correnti che facevano capo alla XY “non risulta[va]no direttamente riconducibili all’opera di dipendenti diversi da quelli addetti all’ordinaria e regolare gestione dei rapporti stessi” e che, pertanto, non erano stati riscontrati elementi oggettivi per ritenere che le informazioni utilizzate nell’ambito della controversia giudiziaria in corso provenissero da personale della banca (cfr. nota Intesa SanPaolo del 17 gennaio 2008); affermazioni risultate in seguito non rispondenti ai fatti realmente accaduti.

Tale tempestiva informazione, in termini generali, avrebbe potuto consentire alla correntista l’adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali (nel caso di specie preordinata ad assicurare anche il segreto bancario).

Deve ritenersi, pertanto che la banca, una volta acquisita la conoscenza di accessi non autorizzati che riguardano la clientela, sia tenuta a darne notizia senza ritardo agli interessati.

Tale principio, di enorme portata, vale ovviamente per tutti i trattamenti di dati personali, a prescindere dal fatto che il titolare sia o meno un istituto di credito.

In altre parole, l’illiceità del trattamento per violazione del precetto normativo contenuto nell’art. 11 del d.lgs. 196/2003 è duplice: da un lato si riscontra nell’accesso non autorizzato ai dati da parte del personale non legittimato  ad accedervi; dall’altro lato si riscontra nella mancata comunicazione al soggetto interessato dell’illiceità dell’accesso. L’omessa comunicazione, si noti,  impedirebbe all’interessato medesimo di reagire tempestivamente e di contenere il (rischio di) danno.

Nel provvedimento reso dal Garante viene definita, dunque, un’ipotesi di violazione del principio di correttezza del trattamento, il quale, essendo previsto per legge all’art. 11 del Codice, si traduce anche, contemporaneamente, in violazione di legge. Ove il titolare volesse evitare la violazione del principio di correttezza, secondo la prospettazione del Garante, è tenuto ad informare l’interessato (ossia il cliente) della violazione del trattamento (riscontrata, ad esempio, attraverso le indagini interne aziendali, da prevedere come misura di sicurezza).

L’osservanza del principio di correttezza previsto per legge, che così interpretato si traduce nell’obbligo di avvisare l’interessato della violazione, finisce per rappresentare in ultima analisi (e questo è ciò che più sorprende) un’autodenuncia di violazione imposta al titolare del trattamento.    

Per comprendere meglio la fattispecie, riporto di seguito quanto riportato dal Garante per la protezione dei dati personali nella newsletter del 9 settembre 2009:

Banche: dati dei clienti più protetti

Gli accessi non autorizzati devono essere tempestivamente comunicati al titolare del conto

La banca deve proteggere con particolare attenzione i dati della clientela e deve dare immediata notizia al titolare del conto di eventuali accessi ingiustificati, anche se effettuati da propri dipendenti, alle informazioni riguardanti il conto corrente.

È quanto ha stabilito il Garante per la privacy, con un provvedimento di cui è stato relatore Mauro Paissan, affrontando il caso di una signora che lamentava il trattamento illecito dei suoi dati personali da parte della propria banca. Nell’ambito di una causa di separazione, il marito aveva infatti prodotto una memoria contenente informazioni, relative a un conto corrente, che solo la donna stessa o il personale della filiale presso la quale aveva aperto il conto potevano conoscere.

Alla scoperta della violazione, la cliente si era subito rivolta all’istituto di credito per chiedere chi avesse avuto accesso ai dati, comunicandoli poi all’esterno. L’istituto bancario aveva inizialmente negato i fatti e solo in seguito a ulteriori richieste della donna, ammetteva che un dipendente aveva prima consultato senza giustificate “esigenze operative” i conti correnti della segnalante e poi inoltrato i dati a un altro funzionario del gruppo bancario. A causa del loro comportamento, entrambi i lavoratori erano stati temporaneamente sospesi dal lavoro.

La donna si era nel frattempo rivolta anche al Garante. Gli accertamenti dell’Autorità hanno messo in luce che la banca aveva sì adottato misure di sicurezza ma non sufficienti a impedire il trattamento non consentito dei dati del conto corrente. L’istituto di credito, inoltre, pur avendo rilevato l’accesso non autorizzato ai conti della sua cliente, non l’aveva tempestivamente avvertita, con ciò violando il principio di correttezza. La tempestiva informazione avrebbe, infatti, potuto consentire alla correntista perlomeno di ridurre i rischi derivanti dall’indebita divulgazione dei dati del suo conto.

L’Autorità ha prescritto al gruppo bancario di adottare misure di sicurezza idonee a garantire la scrupolosa vigilanza sull’operato degli incaricati, e di sensibilizzare i funzionari al rigoroso rispetto delle norme sulla privacy attraverso attività di formazione. Ha inoltre stabilito che la banca, una volta acquisita la conoscenza di accessi non autorizzati ai dati della clientela, inclusi quelli eventualmente effettuati dai suoi dipendenti, è tenuta a comunicarlo tempestivamente agli interessati.

L’Autorità ha infine disposto la trasmissione del provvedimento alla Procura della Repubblica per le valutazioni di competenza riguardo a eventuali illeciti penali commessi.

Fabio Bravo

www.fabiobravo.it

 

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books