Garante per la protezione dei dati personali

Privacy, tessera del tifoso e sicurezza negli stadi

Sulla tessera del tifoso è intervenuto il Garante per la protezione dei dati personali con un apposito provvedimento intitolato “Tessera del tifoso: più garanzia per i supporter“, come si legge in un comunicato stampa del 12 gennaio 2011:

I supporter delle squadre di calcio che aderiscono al programma “tessera del tifoso” devono essere informati in modo chiaro e dettagliato sull’uso dei dati personali forniti al momento della sottoscrizione. Devono inoltre essere messi in condizione di poter scegliere liberamente se autorizzare l’uso di questi dati anche per finalità di marketing e pubblicità.

Il Garante privacy ha fissato precise garanzie per i tifosi che aderiscono al programma “tessera del tifoso” con un provvedimento che tiene conto anche di alcune segnalazioni pervenute all’Autorità e che è stato inviato al Ministero dell’interno, al Coni, alla Figc e alle società sportive che aderiscono al programma. La tessera del tifoso è uno strumento multifunzionale che, oltre a consentire di far parte di una comunità “virtuosa” di tifosi, permette al possessore di fruire di facilitazioni e servizi messi a disposizione dalle società sportive, di seguire la squadra in trasferta nel settore “ospiti”, di accedere agevolmente agli impianti sportivi attraverso i varchi a lettura elettronica.

Ogni tessera rilasciata dalla società al tifoso dopo l’ok della questura, contiene i dati personali del possessore, è contrassegnata da un codice alfanumerico che la identifica in modo univoco e spesso contiene un dispositivo a radiofrequenza (rfid), utilizzato solo per l’accesso agli stadi e “leggibile” ad una distanza non superiore a 10 cm da appositi lettori posizionati presso i tornelli di ingresso.

L’Autorità nel suo provvedimento ha stabilito che le società sportive dovranno migliorare l’informativa da dare ai tifosi, mettendo ben in evidenza i trattamenti di dati che non richiedono il consenso, perché connessi al rilascio della tessera, e quelli che possono essere effettuati solo su base volontaria e con un consenso ad hoc (marketing, profilazione, invio di comunicazioni commerciali). Ai tifosi dovrà infatti essere sempre garantita la possibilità di poter esprimere esplicitamente il loro “no” all’uso dei dati per finalità di marketing.

Nell’informativa dovrà essere inoltre ben specificato che i dati anagrafici dei possessori delle tessera vengono comunicati alle questure allo scopo di verificare l’assenza di provvedimenti (D.a.spo., misure di prevenzione, sentenze di condanna per reati cosiddetti da stadio) che ostacolino il rilascio.

I tifosi, infine, dovranno essere informati sulle caratteristiche dei trattamenti effettuati tramite la tecnologia rfid.

L’Autorità si è comunque riservata approfondimenti in caso di revisioni eventualmente apportate al programma “tessera del tifoso”.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Privacy e dati personali contenuti nelle sentenze e negli altri provvedimenti emanati dall’autorità giudiziaria e dagli arbitri

Il Garante per la protezione dei dati personali ha reso noto, con un comunicato stampa di oggi, 3 gennaio 2011, di aver emanato un provvedimento generale, in attesa di pubblicazione in Gazzetta Ufficiale e datato 2 dicembre 2010,  contenente le “Linee guida in materia di trattamento di dati personali nella riproduzione di provvedimenti giurisdizionali per finalità di informazione giuridica”.

Come chiarito anche nel Comunicato stampa del Garante,

Le Linee guida, in via di pubblicazione sulla Gazzetta Ufficiale, non si applicano all’attività giornalistica e non incidono sulle norme processuali (non riguardano quindi gli originali delle sentenze e degli altri provvedimenti giurisdizionali, né il loro deposito nelle cancellerie giudiziarie).

Il provvedimento, per la verità, non è innovativo, nel senso che nulla aggiunge rispetto a quanto già previsto dalla vigente normativa.

Appare comunque utile, giacché ha il merito di illustrare in maniera specifica e sistematica tale particolare aspetto della normativa sulla privacy. L’interesse, più che nell’attività giornalistica, è riposto alla diffusione delle sentenze e degli altri provvedimenti rese dalle autorità chiamate ad esercitare la propria giurisdizione nei canali tipici dell’informazione giuridica (banche dati giuridiche, riviste giuridiche, etc.).

Così vengono riassunti, nel comunicato stampa del Garante, i passaggi principali del provvedimento:

Devono essere oscurati, sempre e in ogni caso, i dati dei minori e delle parti nei procedimenti che hanno ad oggetto i rapporti di famiglia e lo stato delle persone (ad es. controversie in materia di matrimonio, filiazione, adozione, abusi familiari, richieste di rettificazione di sesso), anche quando il giudizio si riferisca ad aspetti patrimoniali o economici. Devono, inoltre, essere omessi i dati relativi ad altre persone dai quali si possa desumere, anche indirettamente, l’identità dei soggetti tutelati. I dati vanno oscurati non solo nei provvedimenti riprodotti per esteso, ma anche in quelli diffusi sotto forma di massima o nell’ambito di un elenco.

Oltre a questa forma di tutela assoluta, in tutti gli altri casi chiunque sia interessato (le parti in un giudizio civile o l’imputato in un processo penale, ma anche un testimone o un consulente) può rivolgere un’istanza al giudice, prima della conclusione del processo, con la quale chiede che, in caso di riproduzione del provvedimento per finalità di informazione giuridica, siano oscurati le generalità e ogni altro elemento in grado di identificarlo.

L’istanza deve indicare i “motivi legittimi” che la giustificano: ad es. la delicatezza del caso o la particolare natura dei dati contenuti nel provvedimento (stato di salute, vita sessuale). Se l’istanza è accolta si appone una annotazione sull’originale della sentenza. L’anonimizzazione può essere disposta dal giudice, anche d’ufficio, nei casi in cui la diffusione di informazioni particolarmente delicate possa arrecare conseguenze negative alla vita di relazione o sociale dell’interessato (ad es. in ambito familiare o lavorativo).

Non spetta all’ufficio giudiziario, ma a chi riceve la copia dei provvedimenti con l’annotazione che dispone l’oscuramento delle generalità, provvedere in tal senso ove intenda riprodurli o diffonderli, anche sotto forma di massima, per finalità di informazione giuridica.

Sul sito del Garante è possibile recuperare il testo integrale delle predette Linee guida.

Mi preme sottolineare, in questa sede, una precisazione in materia di arbitrato, ivi contenuta:

5. Il lodo (art. 52, comma 6)

Il comma 6 dell’art. 52 estende le altre disposizioni dell’articolo “anche in caso di deposito del lodo ai sensi dell’art. 825 del codice di procedura civile”.

Si applica, quindi, anche a tale particolare pronuncia, come espressamente previsto dalla disposizione, la procedura di anonimizzazione dei provvedimenti, con le regole poste riguardo alla presentazione della richiesta dall’interessato (comma 1), alla decisione degli arbitri, anche d’ufficio (comma 2), all’apposizione dell’annotazione (comma 3), e al divieto di diffusione (comma 4), oltre che, ovviamente, il divieto ex lege di cui al comma 5.

Poiché il lodo può essere redatto “in uno o più originali” (art. 824 c.p.c.), l’annotazione, ove disposta, va ovviamente riportata su tutti gli originali.

Il Codice aggiunge che “in modo analogo” provvede anche il collegio arbitrale costituito preso la camera arbitrale per i lavori pubblici ai sensi dell’articolo 32 della legge 11 febbraio 1994, n. 109. Tale disposizione deve ritenersi ora applicabile all’arbitrato previsto del d. lg. 12 aprile 2006, n. 163 (“Codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive 2004/17/CE e 2004/18/CE”), che ha abrogato la legge n. 109/1994, e il cui art. 241, nel sostituire l’art. 32, opera espresso riferimento all’art. 825 c.p.c..

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Garante Privacy: Le linee guida per la pubblicazione on-line di documenti e informazioni da parte delle pubbliche amministrazioni

Il Garante per la protezione dei dati personali (Garante Privacy) ha pubblicato, il 22 dicembre 2010, lo “Schema” delle “Linee guida per la pubblicazione online di documenti e informazioni da parte delle pubbliche amministrazioni“, al fine di consentire la pubblica consultazione fino al 31 gennaio 2011.

Successivamenteverrà emanato il testo definitivo delle Linee Guida.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

GPS sui veicoli aziendali e geolocalizzazione dei lavoratori. Interviene il Garante per la privacy

IL CASO. – Il Garante per la protezione dei dati personali è intervenuto in un interessante caso di geolocalizzazione dei lavoratori tramite GPS installato sui veicoli aziendali della Telefonia Alto Adige s.r.l.

Come precisato dal Garante,

il sistema di geolocalizzazione installato dalla società era in grado di rivelare informazioni sui percorsi seguiti, sulle soste effettuate o sulla velocità degli spostamenti del personale.

L’intervento del Garante è stato sollecitato dalla segnalazione di un lavoratore, il quale, come si legge dal provvedimento reso dall’Authority, ha evidenziato

(anche nell’interesse di altri colleghi) presunti profili di violazione della disciplina di protezione dei dati personali in relazione all’avvenuta installazione, a bordo di alcuni autoveicoli in dotazione alla società, di un sistema di localizzazione satellitare a tecnologia gps (global positioning system).

In particolare, secondo quanto riferito, l’adozione di tale sistema ―dichiaratamente preordinato all’acquisizione di molteplici informazioni (relative, in particolare, a: la localizzazione del veicolo; la verifica del tragitto percorso; la verifica degli orari relativi alle soste effettuate; il calcolo della velocità e dei chilometri percorsi)― sarebbe avvenuta in assenza di preventiva informativa ai lavoratori e “senza spiegarne le funzioni né lo scopo del suo utilizzo”. Peraltro, soltanto dopo diversi giorni la società avrebbe messo a conoscenza i dipendenti dell’avvenuta installazione dei dispositivi in esame, giustificandone l’utilizzo “solo per scopi produttivi”.

Lo stesso segnalante ha inoltre rappresentato che l’installazione dei predetti dispositivi sarebbe stata effettuata “senza avvisare l’ispettorato del lavoro e senza avvisare il sindacato”, con conseguente possibile violazione della pertinente disciplina di settore in tema di controlli a distanza dell’attività dei lavoratori (art. 4, legge n. 300/1970).

Alla luce di tali considerazioni, e tenuto altresì conto che gli interventi effettuati dai dipendenti presso la clientela (ivi compresi l’ora e il luogo dell’operazione) risultano previamente pianificati per il tramite di un apposito “foglio “giornaliero”", il segnalante ha richiesto delucidazioni all’Autorità sulla legittimità dell’utilizzo di tali apparecchi da parte della società.

A tali argomentazioni il Garante, nel procedere con l’accertamento, rileva anche rischi evidenti sull’assenza di controlli in ordine ai soggetti effettivamente legittimati ad accedere ai dati in questione. Né risultava intervenuta la designazione per iscritto di coloro che potevano accedere ai dati trattati:

occorre rilevare che, alla luce delle risultanze istruttorie, allo stato non risulta provato che la società abbia formalmente provveduto a designare i soggetti (invero non chiaramente individuati) asseritamente legittimati ad avere accesso ai dati quali incaricati del trattamento ai sensi dell’art. 30 del Codice.

Alla specifica richiesta in tal senso formulata dall’Autorità (cfr. nota del’11 settembre 2009, in atti), infatti, la società si è dapprima limitata a rispondere che non sussistono incaricati “che gestiscono o che possono accedere a tali dati al di fuori del legale rappresentante”, salvo poi “rettificare” le dichiarazioni rese, precisando che “tutte queste informazioni […] sono a disposizione [oltre che] del legale rappresentante […] di nessun altro che non abbia la password”; tanto, senza fornire indicazioni o documenti circa l’avvenuta designazione di costoro (quali che siano i soggetti effettivamente legittimati ad avere accesso ai predetti dati) come incaricati del trattamento.

Deve dunque prescriversi a Telefonia Alto Adige s.r.l., fatto salvo l’eventuale adeguamento sul punto medio tempore intercorso, di designare quali incaricati del trattamento ai sensi dell’art. 30 del Codice i soli soggetti (previamente individuati) che, in ragione delle mansioni concretamente svolte, risultano effettivamente legittimati ad accedere alle informazioni acquisite per il tramite dei dispositivi di localizzazione satellitare installati (artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice).

La fattispecie presenta dei rilievi concernenti, ovviamente, il discusso tema del controllo dei lavoratori da parte del datore utilizzando le nuove tecnologie e la legittimità degli stessi in rapporto alla normativa in materia di protezione dei dati personali e dello Statuto dei Lavoratori.

Come riassunto dal Garante nella newsletter del 16 dicembre 2010,

(…) in base allo Statuto dei lavoratori, l’installazione di apparecchiature che possano comportare il controllo a distanza dei dipendenti è possibile solo previo accordo dei sindacati o con l’autorizzazione della Direzione provinciale del lavoro. Nel corso dell’istruttoria è invece emerso che tali procedure non erano state rispettate.

L’Autorità (relatore del provvedimento Mauro Paissan) ha quindi disposto il blocco di ogni ulteriore trattamento dei dati personali riferiti ai lavoratori effettuato tramite tali strumenti di localizzazione. Nel caso in cui l’ Ufficio provinciale del lavoro dovesse in futuro autorizzare l’utilizzo di sistemi di controllo via Gps, la società dovrà comunque provvedere a notificare al Garante il trattamento dei dati personali così raccolti e dovrà individuare specifici incaricati del trattamento legittimati ad accedere alle informazioni acquisite.

Il Garante ha ricordato che, in base allo Statuto dei lavoratori, l’installazione di apparecchiature che possano comportare il controllo a distanza dei dipendenti è possibile solo previo accordo dei sindacati o con l’autorizzazione della Direzione provinciale del lavoro. Nel corso dell’istruttoria è invece emerso che tali procedure non erano state rispettate.

L’Autorità (relatore del provvedimento Mauro Paissan) ha quindi disposto il blocco di ogni ulteriore trattamento dei dati personali riferiti ai lavoratori effettuato tramite tali strumenti di localizzazione. Nel caso in cui l’ Ufficio provinciale del lavoro dovesse in futuro autorizzare l’utilizzo di sistemi di controllo via Gps, la società dovrà comunque provvedere a notificare al Garante il trattamento dei dati personali così raccolti e dovrà individuare specifici incaricati del trattamento legittimati ad accedere alle informazioni acquisite.

MODALITA’ TECNICHE DI CONTROLLO A DISTANZA (funzionamento del dispositivo GPS sui veicoli aziendali). – V’è però un altro rilievo interessante che emerge dalla lettura del provvedimento e riguarda le modalità tecniche con cui viene esercitato il controllo e i dati che il sistema consente di ottenere.

Dal provvedimento del Garante, sul caso in questione, si legge infatti che:

1) i dispositivi di localizzazione satellitare consentirebbero al datore di lavoro, dietro pagamento di un canone mensile ad una società terza, fornitrice del servizio, di:

- localizzare il veicolo in tempo reale su mappa cartografica (con possibilità, tra le altre, di ricerca dei mezzi più vicini ad un determinato indirizzo);

- verificare il percorso effettuato (con possibilità anche di controllare la velocità sostenuta, la percorrenza chilometrica del mezzo, i tempi di guida e le soste effettuate);

- controllare gli “eventi” verificatisi lungo il percorso (soste o spostamenti in orari non previsti, arrivo in aree predeterminate, ecc.), con eventuale ricezione di una comunicazione di avviso via sms;

- comunicare costantemente con il conducente;

- gestire i c.d. “punti di interesse” (indirizzi riferiti alla clientela, ai magazzini, agli impianti, ecc.), con possibilità di verificare mediante report sintetici le soste ivi effettuate e i relativi tempi di fermata;

- gestire la manutenzione ordinaria e straordinaria del veicolo.

2) Ancora, nel medesimo provvedimento si ricavano queste ulteriori informazioni:

I dispositivi in esame, secondo le delucidazioni fornite, consentirebbero quindi di visualizzare, tra l’altro, “le tratte giornaliere con i chilometri percorsi e la posizione corrente” del veicolo (e, indirettamente, del relativo conducente, tramite incrocio dei dati con quelli rilevabili dal “file dei turni e d[a]ll’assegnazione delle auto del giorno”), permettendo alla società di rilevare anche “se il mezzo ha superato i limiti di velocità o se entra in zone a traffico limitato”.

Più precisamente, per ogni singolo veicolo sarebbe possibile visualizzarne “la velocità media, i chilometri totali percorsi nella giornata e per ogni singola tratta più le velocità di ogni singola traccia, [nonché] le fermate“; ciò, anche al fine di “quantificare i chilometri percorsi per ogni cliente ed addebitare al cliente [stesso] i costi di trasferta corretti“.

Il sistema risulta inoltre utilizzabile anche per verificare lo “stile” di guida dei conducenti “in caso di multe” o di “incidenti”, potendo in quest’ultimo caso consentire la ricostruzione della dinamica di eventuali sinistri (con conseguente riaddebito dei costi sopportati per danni al relativo responsabile).

I dati complessivamente raccolti a mezzo del fornitore del servizio (nella dichiarata veste di responsabile del trattamento) sono resi fruibili alla società mediante accesso telematico (previa digitazione di appositi user name e password) e conservati presso il server dello stesso fornitore per un arco temporale pari a trenta giorni.

NECESSITA’ DI CONTEMPERAMENTO DEGLI OPPOSTI INTERESSI. - Il Garante, si noti, non si è pronunciato per un rifiuto netto dell’uso di tali dispositivi nell’organizzazione del lavoro e del servizio.

Infatti, con una maggiore accortezza quanto agli adempimenti richiesti dalla normativa in questione, i dispositivi si possono utilizzare per gestore la “flotta” dei veicoli aziendali e un più efficiente controllo sull’esecuzione della prestazione lavorativa dei propri dipendenti.

Si premura di precisare il Garante per la protezione dei dati personali, nel provvedimento citato, che

(…) gli strumenti in questione possono indubbiamente concorrere a rendere più efficienti i processi produttivi e organizzativi, sia direttamente (attraverso una migliore allocazione delle risorse disponibili, con conseguente beneficio anche per l’utenza), sia indirettamente, attraverso l’analisi a posteriori dei viaggi effettuati (anche in termini di costi sopportati e di risparmi ottenuti). Inoltre, tali strumenti possono rivelarsi utili anche per incrementare la sicurezza delle persone (anche in ragione di quanto previsto, in particolare, dagli artt. 15, comma 1, lett. c), e 18, comma 1, lett. f), del d.lg. n. 81/2008), specie se queste si trovino a operare in luoghi impervi o soggetti a condizioni ambientali sovente avverse (cfr., al riguardo, anche il menzionato Parere n. 5/2005, p. 2.2.), come pure contribuire, ancorché indirettamente, a migliorare la sicurezza stradale; ciò, attraverso l’incentivazione (sotto forma di eventuali verifiche lecitamente effettuate dal datore di lavoro) di comportamenti più virtuosi da parte dei conducenti, potenzialmente chiamati a rispondere, nel rispetto delle pertinenti disposizioni collettive, di eventuali condotte foriere di danno a carico della società.

Nondimeno, l’impiego di tali strumenti deve comunque avvenire nel rispetto dei principi in materia di protezione dei dati personali e con modalità concretamente idonee a garantire, in particolare, l’osservanza dei diritti e delle libertà fondamentali, nonché della dignità degli interessati (art. 2 del Codice).

Alla luce degli elementi complessivamente acquisiti agli atti –e tenuto altresì conto che la fase di sperimentazione dichiarata dalla società avrebbe dovuto concludersi nell’arco di “un breve periodo” e, comunque, all’esito di un procedimento di verifica preliminare (cfr. all. 1 alla nota del 16 settembre 2009), la cui istanza non risulta mai pervenuta presso l’Autorità–, si ritiene che, allo stato, il trattamento di dati personali effettuato dalla società per il tramite dei menzionati dispositivi di localizzazione satellitare non sia conforme alla disciplina in materia di protezione dei dati personali per le ragioni (…) indicate.

L’uso delle tecnologie di sorveglianza e di controllo sociale saranno sempre più pervasive.

Può ancora ritenersi sufficiente il mero rispetto degli adempimenti formali richiesti dalla normativa a tutela dei dati persnali, oppure occorre un controllo sostanziale più penetrante?

Andrebbero monitorati, in tal senso, i risultati dell’intervento della Direzione Provinciale del Lavoro o degli accordi raggiunti con l’intervento sindacale sulle modalità effettive di controllo a distanza dei lavoratori, nonché la sottoposizione del sistema a verifica preliminare da parte del Garante per la protezome dei dati personali.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

occorre rilevare che, alla luce delle risultanze istruttorie, allo stato non risulta provato che la società abbia formalmente provveduto a designare i soggetti (invero non chiaramente individuati) asseritamente legittimati ad avere accesso ai dati quali incaricati del trattamento ai sensi dell’art. 30 del Codice.Alla specifica richiesta in tal senso formulata dall’Autorità (cfr. nota del’11 settembre 2009, in atti), infatti, la società si è dapprima limitata a rispondere che non sussistono incaricati “che gestiscono o che possono accedere a tali dati al di fuori del legale rappresentante”, salvo poi “rettificare” le dichiarazioni rese, precisando che “tutte queste informazioni […] sono a disposizione [oltre che] del legale rappresentante […] di nessun altro che non abbia la password”; tanto, senza fornire indicazioni o documenti circa l’avvenuta designazione di costoro (quali che siano i soggetti effettivamente legittimati ad avere accesso ai predetti dati) come incaricati del trattamento.

Deve dunque prescriversi a Telefonia Alto Adige s.r.l., fatto salvo l’eventuale adeguamento sul punto medio tempore intercorso, di designare quali incaricati del trattamento ai sensi dell’art. 30 del Codice i soli soggetti (previamente individuati) che, in ragione delle mansioni concretamente svolte, risultano effettivamente legittimati ad accedere alle informazioni acquisite per il tramite dei dispositivi di localizzazione satellitare installati (artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice).

Giornalismo, Yara e privacy

Come già avvenuto per il caso di Sarah Scazzi, anche per il caso della scomparsa di Yara Gambirasio il rischio di un accanimento mediatico eccessivo è tutt’altro che ipotetico, tant’è che il Garante per la protezione dei dati personali ha emanato, alcuni giorni fa, un apposito comunicato stampa, che riporto di seguito, al fine di contribuire a darne maggiore diffusione:

Yara: il Garante privacy invita i media a rispettare la riservatezza della famiglia

In riferimento al caso della giovane Yara Gambirasio, il Garante per la protezione dei dati personali invita i media, nell’esercitare il legittimo diritto di cronaca riguardo ad un fatto di sicuro interesse pubblico, a usare sempre la necessaria responsabilità e sensibilità e a rispettare la richiesta di riservatezza che proviene dalla famiglia e dalla comunità cittadina.

La vicenda di Yara, infatti, va purtroppo profilandosi come un fatto di cronaca particolarmente doloroso, le cui circostanze e implicazioni potrebbero ledere gravemente la dignità della minore, colpire la famiglia nei suoi affetti più intimi e provocare ulteriore dolore e lacerazione nella comunità nella quale Yara è cresciuta.

Il Garante chiede, dunque, ai media di evitare accanimenti informativi sul caso e di limitarsi a profili di stretta essenzialità, astenendosi dal riportare dettagli e particolari che rendano la ragazzina e la sua famiglia vittime di inutili morbosità.

Roma, 6 dicembre 2010

Il comunicato rende bene l’idea dell’impatto del giornalismo sulla vita privata delle persone e l’accortezza è d’obbligo quando le vicende riguardano minori.

La disciplina giuridica in materia protezione dei dati personali e il suo contemperamento con il diritto dell’informazione (nella sua duplice veste di diritto a informare e di diritto ad essere informati) deve essere patrimonio essenziale di ogni buon giornalista.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Pubblicazione su Internet delle ordinanze di custodia cautelare. I limiti imposti dal Garante per la protezione dei dati personali

Il Garante per la protezione dei dati personali, con la recente newsletter n. 343 del 5.11.2010, ha così riassunto i contenuti del provvedimento reso in tema di pubblicazione on-line dell’ordinanza di custodia cautelare:

Ordinanze di custodia cautelare on line: sì, ma solo con dati essenziali

Se un sito internet pubblica un’ordinanza di custodia cautelare in carcere a corredo di una notizia, deve però oscurare dal provvedimento on line tutti i dati non essenziali. Lo ha stabilito il Garante privacy vietando ad una associazione la diffusione on line dei numeri di telefono, degli indirizzi dei luoghi di residenza e domicilio e dei codici fiscali di un architetto raggiunto da un provvedimento giudiziario di custodia in carcere e delle altre persone citate nell’ordinanza.

L’Autorità (con un provvedimento di cui è stato relatore Giuseppe Fortunato) ha così accolto le richieste del destinatario della misura restrittiva che si era rivolto al Garante lamentando un’illecita diffusione di dati “di natura riservata e personale” dovuta alla pubblicazione integrale dell’ordinanza. Pur riconoscendo infatti il diritto alla manifestazione del pensiero da parte della onlus, che può esercitarsi anche mediante la pubblicazione di atti giudiziari non più coperti da segreto, il Garante ha ritenuto che la diffusione di alcuni dati del segnalante e delle altre persone citate nel provvedimento (quali ad esempio numeri di telefono, residenza, codici fiscali ecc.) va al di là della finalità informativa e viola il principio dell’essenzialità dell’informazione.

La pubblicazione integrale del provvedimento, inoltre, è ingiustificata anche alla luce del principio di pertinenza e non eccedenza nel trattamento dei dati, trattandosi di informazioni, strettamente personali, sicuramente sovrabbondanti e non indispensabili per rappresentare la vicenda giudiziaria. Entro trenta giorni l’associazione dovrà rimuovere le informazioni eccedenti dai due siti dove ha pubblicato l’ordinanza e darne comunicazione all’Autorità.

Sul sito del Garante è disponibile il provvedimento in versione integrale.

Il provvedimento verrà preso in esame nella “sezione giudica” del progetto sul giornalismo investigativo, dedicata al diritto dell’informazione.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Ordinanze di custodia cautelare on line: sì, ma solo con dati essenziali
Se un sito internet pubblica un’ordinanza di custodia cautelare in carcere a corredo di una notizia, deve però oscurare dal provvedimento on line tutti i dati non essenziali. Lo ha stabilito il Garante privacy vietando ad una associazione la diffusione on line dei numeri di telefono, degli indirizzi dei luoghi di residenza e domicilio e dei codici fiscali di un architetto raggiunto da un provvedimento giudiziario di custodia in carcere e delle altre persone citate nell’ordinanza.

L’Autorità (con un provvedimento di cui è stato relatore Giuseppe Fortunato) ha così accolto le richieste del destinatario della misura restrittiva che si era rivolto al Garante lamentando un’illecita diffusione di dati “di natura riservata e personale” dovuta alla pubblicazione integrale dell’ordinanza. Pur riconoscendo infatti il diritto alla manifestazione del pensiero da parte della onlus, che può esercitarsi  anche mediante la pubblicazione di atti giudiziari non più coperti da segreto, il Garante ha ritenuto che la diffusione di alcuni dati del segnalante e delle altre persone citate nel provvedimento (quali ad esempio numeri di telefono, residenza, codici fiscali ecc.) va al di là della finalità informativa e viola il principio dell’essenzialità dell’informazione.
La pubblicazione integrale del provvedimento, inoltre, è ingiustificata anche alla luce del principio di pertinenza e non eccedenza nel trattamento dei dati, trattandosi di informazioni, strettamente personali, sicuramente sovrabbondanti e non indispensabili per rappresentare la vicenda giudiziaria. Entro trenta giorni l’associazione dovrà rimuovere le informazioni eccedenti dai due siti dove ha pubblicato l’ordinanza e darne comunicazione all’Autorità.

Videosorveglianza e sicurezza urbana: le nuove linee guida dell’ANCI per i Comuni

Vi segnalo che, a seguito del nuovo provvedimento generale in tema di videosorveglianza per i Comuni, emanato dal Garante per la protezione dei dati personali nell’aprile del 2010, l’ANCI ha emanato le relative Linee Guida, illustrate nell’Assemblea Nazionale dell’11 novembre 2010.

Così recita il Comunicato del Garante:

Videosorveglianza: pronte le regole per i Comuni

Nell’ambito della XXVII Assemblea annuale dell’Anci, in programma a Padova dal 10 al 13 novembre presso il quartiere fieristico, Francesco Pizzetti, Presidente dell’Autorità Garante per la privacy, e Sergio Chiamparino, Sindaco di Torino e presidente dell’Anci, presenteranno

Le linee Guida per i Comuni in materia di videosorveglianza

11 novembre, ore 14,30

Le linee guida – messe a punto dall’Anci a seguito del nuovo provvedimento generale in materia di videosorveglianza adottato dal Garante privacy nell’aprile scorso – forniscono indicazioni sulle specifiche regole che le amministrazioni comunali devono rispettare per l’installazione e la corretta gestione di telecamere e sistemi di controllo video anche a fini di sicurezza urbana.

Roma, 9 novembre 2010

Nell’attesa di vederle pubblicate, ricordo la Circolare 8 agosto 2010 del Dipartimento della Pubblica Sicurezza del Ministero dell’Interno e la Direttiva 8 febbraio 2005, resa dal medesimo Dipartimento.

Come riassunto dall’ANCI,

Il giorno 8 agosto 2010, il Dipartimento della Pubblica Sicurezza del Ministero dell’Interno ha inviato una circolare avente come oggetto i “Sistemi di Videosorveglianza”, nella quale si sottolineano alcuni aspetti relativi al Provvedimento generale sulle nuove regole in materia di videosorveglianza, che il Garante per la protezione dei dati personali ha emanato in data 8 aprile 2010. Con quest’ultimo vengono aggiornate le disposizioni alle “intervenute produzioni normative che hanno attribuito ai sindaci e ai comuni specifiche competenze in materia di sicurezza urbana ed altre norme”.

La precedente direttiva dell’ 8 febbraio 2005 rimane comunque riferimento essenziale nelle parti che conservano la loro attualità in materia.

Nel nuovo provvedimento l’Autorità Garante per la Protezione dei dati personali dedica un apposito capitolo alla “sicurezza urbana”, a partire dall’introduzione in via normativa del concetto di “sicurezza urbana”.

Risultano di fondamentale interesse per i Comuni gli aspetti legati alla tutela dell’ordine e della sicurezza pubblica, oltre a quelli di sicurezza urbana, sui quali sarà necessaria una specifica “valutazione congiunta”, in accordo con ANCI, in “sede di Comitato provinciale per l’ordine e la sicurezza pubblica” . In tal senso l’ANCI e l’Autorità Garante per la protezione dei dati personali stanno lavorando a delle apposite linee guida di imminente emanazione.

Ebbene, ora le Linee Guida, come già riferito, sono state rese pubbliche l’11 novembre 2010 e, si ritiene, verranno diffuse ufficialmente in questi giorni. Le stiamo aspettando (ad oggi né il sito del Garante per la protezione dei dati personali, né quello dell’ANCI sembra le abbia riportate).

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Garante Privacy: provvedimento sulle Google Car. Devono essere riconoscibili

Il Garante per la protezione dei dati personali ha emanato, in data 15 ottobre 2010, un provvedimento con cui impartisce precise indicazioni a Google per l’uso delle Google Cars in Italia, le auto che acquisicono informazioni e immagini per approntare il servizio Google Street View (cfr. anche il Comunicato Stampa del 25.10.2010).

Ecco il dispositivo:

IL GARANTE:

dispone, ai sensi degli artt. 143, comma 1. lett. b) e 154, comma 1, lett. c) del Codice, che Google Inc. entro trenta giorni dalla notificazione del presente provvedimento:

a) provveda a designare un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali;

b) provveda ad informare gli interessati, relativamente all’acquisizione di immagini fotografiche, individuando con un sufficiente livello di approssimazione le località visitate dalle vetture di Street View tenendo conto della ampiezza delle suddette località, mediante pubblicazione della notizia sul sito web della società, nei tre giorni antecedenti rispetto all’inizio della raccolta delle immagini;

c) provveda ad informare gli interessati anche tramite la pubblicazione, sulla pagina di cronaca locale di almeno due quotidiani, nonché mediante diffusione per mezzo di un’emittente radiofonica locale, di un preventivo avviso – per ogni regione visitata – che informi sui luoghi in cui circoleranno le vetture;

d) predisponga, sulle vetture attraverso le quali acquisisce le immagini fotografiche, cartelli o adesivi ben visibili che indichino, in modo inequivocabile, che si stanno acquisendo immagini fotografiche istantanee oggetto di pubblicazione online mediante il servizio Street View.

Al di là delle prescrizioni impartite, appare molto interessante ripercorrere le motivazioni che hanno portato a tali conclusioni.

Il Garante per la privacy, come si legge nel recente provvedimento, Continua a leggere

Privacy nei Taxi: installate webcam per registrare immagini e audio dei passeggeri

In via sperimentale, in alcuni taxi di Napoli, sono state installate delle webcam in grado di registrare audio e immagini di ciò che avviene a bordo. Ne dà notizia il Corriere del Mezzogiorno con l’articolo a firma di Paolo Cuozzo dal titolo “Napoli, il Grande Fratello sale sul taxi“.

Le critiche per la lesione della privacy e del diritto alla protezione dei dati personali dei passeggeri fanno dubitare della bontà del progetto, nato per motivi di sicurezza.  Continua a leggere

Cosa sono i playload data (sul caso Google Street View e captazione dati su reti wi-fi)

Il Garante per la protezione dei dati personali è intervenuto sul caso relativo alla captazione di dati su reti wi-fi, effettuata da Google con le Google Cars, durante le operazioni tecniche necessarie per approntare il servizio Google Street View.

Il provvedimento del Garante per la privacy, di cui ho dato conto nel precedente articolo, faceva espresso riferimento ai playload data.

Poiché mi è stato chiesto di chiarire il significato del termine usato dal Garante, riporto di seguito del materiale utile a comprendere il senso tecnico delle espressioni:

1) La definizione di “playload data”:

(…) On the Internet, a payload is either:

1) The essential data that is being carried within a packet or other transmission unit. The payload does not include the “overhead” data required to get the packet to its destination. Note that what constitutes the payload may depend on the point-of-view. To a communications layer that needs some of the overhead data to do its job, the payload is sometimes considered to include the part of the overhead data that this layer handles. However, in more general usage, the payload is the bits that get delivered to the end user at the destination.

2) The eventual effect of a software virus that has been delivered to a user’s computer.

Poiché l’espressione “playload data” potrebbe fare riferimento a concetti e “dati” diversi, non univocamente individuabili a priori, sarebbe (stato) il caso che il Garante precisasse nel provvedimento, anche con un atto integrativo, il senso esatto da attribuire all’espressione usata nel proprio provvedimento a carico di Google, sopratutto in ragione della delicatezza della situazione e delle particolari esigenze di ordine probatorio che hanno indotto l’Authority a disporre la conservazione ed il blocco dei dati illecitamente trattati ed a trasmettere gli atti alla magistratura ai fini della verifica di eventuali illeciti penali, con particolare riferimento alle ipotesi di reato previste e punite all’art. 617 quater, co. 1, c.p. e all’art. 617 quinquies, co. 1, c.p.

***

2) Materiale tecnico di approfondimento sui “playload data”

Sui “playload data”, per chi desiderasse un accurato approfondimento tecnico, segnalo un intessante lavoro di ricerca di Jordi Portelli de Mora condotto presso l’Universitat Politecnica de Catalunya (Departament de Fisica Aplicada), a conclusione del dottorato di ricerca (Ph.D.). La tesi del dottorato di ricerca è del 2005 e verte proprio sui “Playload Data” nell’ambito del progetto GAIA condotto presso l’ESA (European Space Agency), a cui Jordi Portelli de Mora ha lavorato attivamente per cinque anni.

Fabio Bravo

www.fabiobravo.it

Information Sosciety & ICT Law

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books