Per l'informativa estesa privacy e cookie clicca qui

Si consiglia inoltre di consultare gli altri documenti pubblicati nell'apposita sezione di Iusreporter.it cliccando qui

Il sito web del Garante per la protezione dei dati personali: www.garanteprivacy.it

Come riportato dalla newsletter del Garante per la protezione dei dati personali del 23/01/2013, non si possono mettere on line informazioni sullo stato di salute, patologie o handicap di una persona.

Il Garante privacy è intervenuto su due gravi casi di violazione della riservatezza vietando a due amministrazioni pubbliche l'ulteriore diffusione su Internet, in qualsiasi area del loro sito istituzionale, dei dati sulla salute rispettivamente di cittadini disabili e di persone che hanno beneficiato di rimborsi per spese sanitarie.

Alle due amministrazioni, inoltre, è stato prescritto di conformare la pubblicazione on line di atti e documenti alle disposizioni contenute nel Codice privacy e nelle Linee guida del 2 marzo 2011 [doc. web n. 1793203], rispettando, in particolare, il divieto di diffusione di dati sulla salute.

Nel disporre i divieti il Garante ha dichiarato illecito il  trattamento di dati effettuato perché in contrasto con la norma che vieta ai soggetti pubblici di diffondere i dati da cui si possano desumere malattie, patologie e qualsiasi riferimento a invalidità, disabilità o handicap fisici o psichici. Dagli accertamenti effettuati dal Garante a seguito di segnalazioni telefoniche è risultato infatti che sul sito di uno dei due enti era liberamente consultabile un allegato al Piano comunale di protezione civile contenente l'elenco delle persone non autosufficienti che abitano da sole o con altri inabili. Nell'allegato erano riportati in chiaro il nome e cognome, la sigla della disabilità oppure la sua indicazione per esteso (es. non vedente) e  in alcuni casi anche la data di nascita e/o l'indirizzo della persona non autosufficiente.  Mentre sul sito dell'altro ente, nella sezione dedicata all'albo pretorio, erano presenti le determinazioni con le liquidazioni degli indennizzi per patologie contratte per cause di servizio, rimborsi per spese sanitarie (anche  a favore di trapiantati o di persone affette da determinate patologie), che riportavano  in chiaro  il nominativo  e/o il codice fiscale degli interessati o dei familiari che avevano beneficiato dei rimborsi.

Con un separato procedimento, si legge ancora nella newsletter, l'Autorità sta valutando gli estremi per contestare ai due enti una eventuale sanzione amministrativa.

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it

Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino




Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la protezione dei dati personali chiarisce, come riportato nella newsletter dell'Autorità del 4 luglio 2012,  che sulle buste utilizzate dall'Inps per l'invio di documentazione sanitaria non deve essere riportata alcuna indicazione che possa rivelare, anche indirettamente, lo stato di salute dei destinatari.

Il Garante è intervenuto a seguito della segnalazione di un cittadino che si era visto recapitare da una filiale dell'Istituto di previdenza il verbale di accertamento dell'invalidità civile all'interno di un plico sul quale era stampato un timbro con dettagli che rendevano esplicita la sua condizione.

L'Autorità ha ricordato che la normativa in materia di protezione dei dati personali prevede che i plichi postali non devono recare, sulla parte esterna, segni o indicazioni tali da consentire a soggetti estranei di desumere il contenuto delle comunicazioni o degli atti in essi inseriti e dalle quali possano evincersi, anche indirettamente, informazioni idonee a rivelare lo stato di salute del destinatario.

Dopo l'intervento del Garante, si legge ancora nella newsletter dell'Autorità, l'ente previdenziale ha provveduto a modificare le sue procedure e ha disposto che sulle buste utilizzate per l'invio di documentazione sanitaria sia apposto unicamente il timbro della filiale Inps mittente, senza alcuna altra formula o indicazione di dettaglio.

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino



Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Trascorsi i tempi previsti dalla legge per pubblicare documenti nell'albo pretorio on line, il Comune deve rimuovere dal sito istituzionale quelli che contengono dati personali o renderli anonimi. La diffusione di informazioni in grado di identificare le persone oltre i termini stabiliti è illecita.

Lo ha affermato il Garante privacy nel vietare ad un Comune di diffondere ulteriormente in Internet, oltre i 15 giorni stabiliti dalla norma, i dati personali di una donna contenuti in una deliberazione della Giunta comunale.

Il Comune inoltre, dovrà apportare le necessarie modifiche  per mettersi in regola con le Linee guida adottate nel 2011 dal Garante in materia di pubblicazione on line dei documenti. 

Come si legge nella newsletter del Garante, il caso è stato sollevato da una donna che si è rivolta all'Autorità lamentando una illecita diffusione di dati a causa della permanenza sul sito del Comune, oltre i termini di legge, di una delibera di giunta comunale contenente nome e cognome, indirizzo e dispositivo di una sentenza di rigetto di un ricorso presentato contro un accertamento Ici.  Informazioni che anche dopo un primo intervento del Garante e nonostante le modifiche apportate dal Comune continuavano ad essere presenti sul sito.

Pur avendo infatti modificato le modalità di pubblicazione delle delibere riguardanti i ricorsi, sostituendo i nominativi dei ricorrenti con degli omissis, la delibera con il nome della donna era sempre reperibile sul sito, determinando così una illecita diffusione di dati non consentita da alcuna norma.

Con separato provvedimento l'Autorità sta valutando gli estremi per contestare al Comune una sanzione amministrativa per l'illecito commesso.


Fonte: www.garanteprivacy.it, newsletter n. 356 del 27 marzo 2012

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante privacy, come si legge nel comunicato diffuso dall'Autorità il 21 settembre 2010, ha imposto a Google di bloccare qualsiasi trattamento sui cosiddetti "payload data" captati dalle vetture di Street View, e ha inviato gli atti all'autorità giudiziaria perché valuti gli eventuali profili penali derivanti dalla raccolta di questo tipo di dati.

L'Autorità aveva avviato un'istruttoria nei confronti di Google nel maggio di quest'anno quando era venuta a conoscenza della circostanza che le "Google car", girando sul territorio italiano, oltre a raccogliere immagini avevano anche "catturato" a partire dall'aprile 2008, tramite appositi software, frammenti di comunicazioni elettroniche - i "payload data" appunto - trasmesse da utenti che utilizzavano reti Wi-Fi non protette.

Nel corso del procedimento Google, fornendo i riscontri richiesti dal Garante, ha confermato la raccolta dei dati durante il passaggio delle vetture di Street View, specificando tuttavia che essa era avvenuta erroneamente e che i dati raccolti erano comunque talmente frammentati da non per poter essere considerate informazioni personali. Secondo le dichiarazioni delle società, i dati sono attualmente conservati su server negli Stati Uniti e non sono mai stati utilizzati, né comunicati a terzi.

Ad avviso dell'Autorità italiana, invece, una tale raccolta di informazioni, essendo stata effettuata in modo sistematico e per un considerevole periodo di tempo (fino al maggio 2010), comporta la concreta possibilità che alcune delle informazioni "catturate" abbiano natura di dati personali: consentano cioè di risalire a persone identificate o identificabili. Google, pertanto, potrebbe aver compiuto un grave illecito, violando non solo il Codice privacy, ma anche alcune norme del codice penale, come quelle che puniscono le intercettazioni fraudolente di comunicazioni effettuate su un sistema informatico o telematico (art.617-quater) e l'installazione, fuori dai casi consentiti dalla legge, di "apparecchiature atte ad intercettare, impedire o interrompere" comunicazioni relative ad un sistema informatico o telematico" (art.617-quinquies).

Alla luce di tutto ciò, il Garante privacy, si legge ancora nel comunicato, ha ritenuto di trasmettere gli atti all'autorità giudiziaria perché accerti gli eventuali illeciti penali che possono configurarsi. Considerato inoltre che i "payload data" possono costituire elementi di prova delle eventuali violazioni che spetterà alla magistratura valutare, il Garante ha ritenuto di conseguenza che essi non debbano essere cancellati dai server nei quali sono conservati e ne ha disposto il blocco, imponendo a Google di sospendere qualunque trattamento.

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Si segnala questo convegno, al quale l'Avv. Giuseppe Briganti parteciperà con una relazione sugli aspetti normativi legati al Codice della privacy:

Digitrust organizza un convegno multidisciplinare il 26/10/2011 a Pesaro sulla Vigilanza sugli intermediari Entratel da parte dell'Agenzia delle Entrate.

"Gli obblighi e gli strumenti per tutelare la riservatezza e la protezione dei dati negli studi professionali come da comunicato della Ag. Entrate del 03/08. Linee normative e soluzioni pratiche per prevenire eventuali revoche dell' abilitazione al canale Entratel."

I relatori che si alterneranno presso la sala ODCEC di Pesaro saranno:

• Dott. Bruno Mongaretto, dottore commercialista, esperto in protezione dei dati e privacy
• Avv. Giuseppe Briganti, avvocato e conciliatore, esperto in diritto delle nuove tecnologie e privacy
• Dott. Luca Pasquale, IT Architect e Consulente Business Intelligence
• Gabriele Gennari, esperto in IT e nuove tecnologie, consulente Federprivacy

Scaricare la locandina ufficiale per vedere il programma completo e i dettagli dell'evento.

Locandina Convegno vigilanza Entratel

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Serve il consenso per telefonate, sms ed e-mail. Liberi invece gli indirizzi delle liste elettorali

Il comunicato del Garante privacy:

« Si avvicinano le elezioni e l'Autorità Garante per la privacy ha approvato di recente un apposito provvedimento [doc. web 2181429] (pubblicato sulla G.U n.11 del 14 gennaio 2013) che conferma le regole già stabilite dal provvedimento generale [doc. web 1165613] in materia e prevede speciali casi di esonero temporaneo dall'informativa per i partiti e movimenti politici. Queste le modalità in base alle quali partiti politici e candidati possono utilizzare correttamente a fini di propaganda elettorale i dati personali dei cittadini (es. indirizzo, telefono, e- mail etc.).

Dati utilizzabili senza consenso. Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza il consenso dei cittadini i dati contenuti nelle liste elettorali detenute dai Comuni, nonché i dati personali di iscritti ed aderenti. Possono essere usati anche altri elenchi e registri in materia di elettorato passivo ed attivo (es. elenco degli elettori italiani residenti all'estero) ed altre fonti documentali detenute da soggetti pubblici accessibili a chiunque. Si possono utilizzare dati raccolti nel quadro delle relazioni interpersonali  avute con cittadini ed elettori.

Dati utilizzabili con il previo consenso. E' necessario il consenso per particolari modalità di comunicazione elettronica come sms, e-mail, mms, per telefonate preregistrate e fax. Stesso discorso nel caso si utilizzino dati raccolti automaticamente su Internet  o ricavati da forum o newsgroup, liste di abbonati ad un provider, dati presenti sul web per altre finalità.

Continuerà ad essere obbligatorio raccogliere il consenso per poter usare i dati degli abbonati presenti negli elenchi telefonici, i quali dovranno quindi preventivamente manifestare la loro disponibilità a ricevere questo tipo di telefonate. Sono utilizzabili, sempre se si è ottenuto preventivamente il consenso degli interessati, anche i dati relativi a simpatizzanti o altre persone già contattate per singole iniziative o che vi hanno partecipato (es. referendum, proposte di legge, raccolte di firme).

Dati non utilizzabili. Non sono in alcun modo utilizzabili gli archivi dello stato civile, l'anagrafe dei residenti, indirizzi raccolti per svolgere attività e compiti istituzionali dei soggetti pubblici o per prestazioni di servizi, anche di cura; liste elettorali di sezione già utilizzate nei seggi; dati annotati privatamente nei seggi da scrutatori e rappresentanti di lista durante operazioni elettorali.

Informazione ai cittadini. I cittadini devono essere sempre informati sull'uso che si fa dei loro dati. Se i dati non sono raccolti  direttamente presso l'interessato, l'informativa va data all'atto della registrazione dei dati o al momento del primo contatto.

Per i dati raccolti da registri ed elenchi pubblici o in caso di invio di materiale propagandistico di dimensioni ridotte (c.d. "santini"), il Garante ha consentito a partiti e candidati una temporanea sospensione dell'informativa fino al 30 aprile 2013.

Roma, 15 gennaio 2013 »

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante privacy, con un recente provvedimento, ha vietato a un ente alcuni trattamenti illeciti effettuati sui dati personali dei dipendenti.

La decisione è stata adottata dall'Autorità a seguito di accertamenti effettuati per verificare la corretta applicazione da parte dell'ente della normativa in materia di protezione dei dati personali riguardo all'utilizzo di Internet, posta elettronica aziendale, sistemi di telefonia su Internet (Voip), nonché per verificare la correttezza dell'operato degli amministratori di sistema. Il provvedimento del Garante è stato trasmesso alla magistratura per le valutazioni di competenza.

Nel corso degli accertamenti è emerso che, attraverso un sistema di filtraggio che consentiva la memorizzazione degli indirizzi delle pagine web effettivamente visitate o anche semplicemente richieste, l'ente monitorava in modo sistematico e a insaputa dei dipendenti le attività su Internet, conservando le informazioni per un ampio periodo di tempo. Venivano inoltre conservati per un tempo indeterminato i numeri di telefono chiamati da ogni dipendente tramite Voip e la durata delle singole conversazioni.

Trattamenti questi, evidenzia il Garante, non consentiti dallo Statuto dei lavoratori, che vieta il controllo a distanza dei lavoratori, ammettendolo solo in casi particolari e con l'adozione di necessarie garanzie.

I dati trattati dall'ente in violazione di legge non potranno quindi essere più utilizzati. L'ente potrà conservare le informazioni finora  raccolte solamente in vista di una eventuale acquisizione da parte dell'autorità giudiziaria.

Contestualmente al divieto, l'Autorità ha ordinato all'ente di informare dettagliatamente i propri dipendenti sulle modalità d'uso e di archiviazione della posta elettronica e di rendere conoscibili le identità degli amministratori di sistema, le cui operazioni dovranno essere tracciabili.

Con riferimento ai fatti accertati è stato infine avviato un procedimento sanzionatorio per violazione degli obblighi di informativa e inosservanza dei provvedimenti dell'Autorità.

Fonte: www.garanteprivacy.it, newsletter 351 del 20 settembre 2011

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

« È pervenuta all'Autorità una segnalazione da parte del sig. XY che ha lamentato la ricezione di chiamate indesiderate a carattere promozionale da parte di EE S.p.A. sulla propria utenza di telefonia fissa, nonostante l'intestatario ne avesse curato l'iscrizione nel Registro pubblico delle opposizioni di cui all'art. 130, comma 5 del Codice.

In replica alla richiesta di informazioni formulata dall'Ufficio, la società ha affermato che i relativi recapiti non sono stati estratti dagli elenchi telefonici, bensì "acquisiti da CD S.p.A., società che si occupa di generazione di anagrafiche con consenso per il marketing diretto . e da questa ceduti ad EE in virtù del contratto di fornitura di liste di nominativi stipulato . in data 3 dicembre 2010", versato in atti; che, inoltre, le informazioni personali in questione sono state comunicate dal sig. XY, in quanto possessore di un telefono cellulare marca MM, all'atto della compilazione di un questionario web sul sito della società MM il 1° febbraio 2007 per l'iscrizione al club MM Village, attraverso cui beneficiare di "servizi aggiuntivi e di customer care".

A seguito di un supplemento di istruttoria, CD S.p.A., destinataria di ulteriore, specifica richiesta di informazioni, non ha provato l'avvenuta acquisizione di un valido consenso informato dell'interessato. Ha infatti dichiarato che "purtroppo . il web server utilizzato . era configurato in modo tale da non mantenere un'associazione diretta tra l'indirizzo IP dell'utente e i singoli dati da questi inseriti nel questionario né un collegamento fra l'indirizzo IP dell'utente e il rilascio del consenso". Ha ammesso, inoltre, che la manifestazione di volontà del sig. XY è stata in realtà condizionata da "un meccanismo bloccante per cui senza consenso le anagrafiche e le risposte inserite non venivano nemmeno memorizzate". In altri termini, "l'utente poteva passare alla pagina successiva solo se le precedenti pagine erano state correttamente compilate", di modo che "in caso di mancata selezione del check box di consenso ("no" al trattamento dei dati con fini di promozione commerciale) i dati non erano salvati e l'utente veniva reindirizzato verso una nuova pagina web che indicava la necessità del consenso pena la mancata iscrizione al club".

La formula utilizzata da CD S.p.A. per l'acquisizione del consenso è risultata caratterizzata, tra l'altro, da notevole indeterminatezza, dunque inidonea ad acquisire una reale consapevolezza da parte dell'interessato sui concreti destinatari della comunicazione dei suoi dati personali. Il segnalante, in effetti, è stato testualmente indotto ad acconsentire al generico utilizzo dei propri dati "per finalità promozionali e di ricerche di mercato e per la comunicazione dei dati (CAMPO BLOCCANTE)" (cfr. punto D28 della legenda versata in atti da CD). Anche la versione estesa del testo dell'informativa che CD ha dichiarato essere presente sul sito riporta, quanto ai possibili destinatari della comunicazione dei dati, l'altrettanto generica dicitura di "società che operano nei settori di largo consumo, grande distribuzione, editoriale, finanziario, automobilistico, servizi ed associazioni benefiche"; con l'avvertenza che il loro elenco "è presente presso la sede di CD" e dunque, di fatto, praticamente inaccessibile e non conoscibile dagli interessati.

Occorre poi valutare il ruolo ricoperto nella specifica vicenda da EE S.p.A..

Questa società - la quale, lo si ribadisce, ha acquistato da CD S.p.A. una lista di dati personali in relazione ai quali sarebbe stato preventivamente raccolto il consenso per l'utilizzo a fini commerciali - non è esente da responsabilità con riguardo al trattamento dei dati del segnalante.

Sebbene, infatti, il contratto per la "fornitura liste di nominativi nel segmento residenziale" stipulato tra CD S.p.A. ed EE S.p.A. stabilisca, a più riprese, che soltanto la prima società agisce nella qualità di titolare autonomo del trattamento dei dati personali dei soggetti destinatari delle iniziative commerciali di EE S.p.A.; che, appunto in tale veste, si obbliga a nominare "i teleseller di EE. responsabili del trattamento . non prevedendosi alcuna comunicazione o accesso di EE alle informazioni", di modo che EE S.p.A. si limiterebbe, invece, "a dettare . i criteri di individuazione dei nominativi da contattare senza alcuna ingerenza nel trattamento dei relativi dati" (in tal senso le premesse al contratto, nonché i suoi artt. 2.2 e 12), tuttavia anche EE S.p.A. deve essere considerata titolare del trattamento delle informazioni personali dei destinatari delle iniziative commerciali adottate in suo nome e per suo conto. A questa società competono, infatti, le decisioni di cui all'art. 4, comma 1, lett. f), del Codice.

Confortano questo convincimento diversi elementi, che devono essere peraltro valutati anche alla luce dell'orientamento già espresso dal Garante nel richiamato provvedimento n. 230 del 15 giugno 2011 in materia di "titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali". Vi sono stati evidenziati gli indici che, in termini concreti, consentono di riconoscere la qualifica di titolare, tra l'altro, al soggetto che venga percepito come tale dall'interessato (in tal senso, la segnalazione del sig. XY); al soggetto, inoltre, che benefici del contatto promozionale, inteso quale antecedente logico dell'instaurando vincolo contrattuale tra la stessa EE S.p.A. e l'utente; a quello che disciplini, regolamentandoli nel dettaglio, modalità, compiti, ruoli e procedure dell'attività di telemarketing. Nella fattispecie all'esame, fin dalle disposizioni del contratto si evince che ad EE S.p.A. compete la scelta in ordine ai criteri di individuazione dei nominativi da contattare, dunque alle modalità del trattamento; che, inoltre, i teleseller agiscono "in qualità di responsabili del trattamento come da nomina diretta da parte di CD e secondo le indicazioni che la stessa comunicherà direttamente, fatte salve le intese con il committente" (art. 2.1); che, poi, compete a EE S.p.A. stessa"mettere a disposizione di CD la piattaforma informatica che sarà necessaria per consentire a CD la comunicazione ai teleseller dei dati provenienti dall'archivio di cui in premessa" (art. 4.2). Sono pattiziamente fissati i principi per i quali i contraenti disciplinano congiuntamente le modalità di effettuazione delle chiamate e le fasce orarie prescelte (art. 4.3 e 4.4) e si obbligano alla preventiva condivisione delle regole ("script") da utilizzare per lo svolgimento delle attività (ancora art. 4.4, lett. c)).

E ancora: in base alla disposizione dell'art. 4.4. lett. d) si conviene che il teleseller, in caso di esercizio del diritto di opposizione da parte dei soggetti contattati, comunichi "settimanalmente a CD - a mezzo del committente (cioè EE) - le cancellazioni" da effettuare. È anche disciplinata dal contratto la "trasmissione delle richieste a EE" di coloro che aderiranno alle offerte prospettate, attività che compete ai "responsabili del trattamento" ancorché con l'ininfluente cautela derivante dal fatto che quei dati "verranno di seguito immediatamente cancellati".

Un ulteriore elemento per cui EE S.p.A. non è esente da responsabilità in quanto titolare è costituito dalla clausola di manleva, di cui all'art. 12.4, ai sensi della quale CD S.p.A. si obbliga a tenere indenne EE S.p.A., tra l'altro, a fronte di eventuali "sanzioni penali o condanne conseguenti ad azioni in qualsiasi modo proposte e a provvedimenti di Autorità e pronunce giudiziali . in qualsiasi modo connesse all'utilizzo delle anagrafiche e dei dati contenuti nel data base"; con ciò dimostrando la piena consapevolezza di EE S.p.A. della possibile attribuzione di responsabilità alla società committente per fatti connessi alla gestione di quei dati.

È poi la stessa EE S.p.A. ad ammettere che, a seguito della ricezione della segnalazione, ha provveduto "a cancellare, conformemente alla volontà manifestata dall'utente, tutti i riferimenti riconducibili all'interessato dalle proprie banche dati" (cfr. il riscontro alla richiesta di informazioni formulata da questa Autorità); una esplicita conferma allora che, diversamente da quanto previsto nel contratto, le informazioni personali del Sig. XY, presenti all'interno degli archivi della società, hanno senz'altro costituito oggetto di trattamento anche da parte di quest'ultima.

D'altro canto diversamente argomentando, anche avuto riguardo ad un punto di vista squisitamente contrattuale, ci si troverebbe di fronte ad una pattuizione - il richiamato accordo tra CD S.p.A. ed EE S.p.A. - nella quale il sinallagma proprio del negozio giuridico posto in essere (e cioè la fornitura, verso corrispettivo, delle liste di dati personali di interessati che hanno acconsentito alla ricezione di iniziative di carattere commerciale) risulterebbe di fatto alterato, dal momento che quei dati sarebbero destinati, nella formale volontà dei contraenti, a permanere nella sfera giuridica del soggetto fornitore. Questi, infatti, si limiterebbe a riversarli ai propri responsabili, senza possibilità alcuna per l'acquirente di poterne disporre, nonostante il pagamento del relativo prezzo; con l'innegabile vantaggio di tenere indenne EE S.p.A. da oneri, obblighi e responsabilità connessi all'esercizio della titolarità.

In tale situazione, tuttavia, l'oggetto stesso del contratto risulterebbe illecito poiché si realizzerebbe in tal modo un indiretto risultato elusivo delle norme imperative del Codice che disciplinano, appunto, obblighi, oneri e responsabilità del titolare del trattamento di quelle informazioni.

In realtà invece, e per tutti i motivi evidenziati, la disciplina pattizia non corrisponde al reale atteggiarsi dei rapporti, ivi compresi quelli rilevanti in materia di protezione dei dati personali: anche EE S.p.A. deve essere, in effetti - lo si ribadisce - correttamente qualificata titolare del trattamento dei dati personali del segnalante; con l'effetto che, in tale accertata qualità, a questa società sono da ritenersi applicabili le specifiche prescrizioni adottate dal Garante nel menzionato provvedimento generale del 29 maggio 2003, segnatamente quelle relative alla fattispecie dell'acquisto di banche dati ed, in particolare, il principio per il quale "chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario". Non v'è dubbio che il medesimo principio debba essere applicato anche con riguardo alle attività promozionali effettuate utilizzando mezzi diversi dalla posta elettronica (nella fattispecie in esame, le telefonate con operatore), che sono vincolate all'obbligo della preventiva acquisizione del consenso dell'interessato ».



Così Garante per la protezione dei dati personali, provvedimento 5 aprile 2012

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino




Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Le novità recentemente introdotte in materia sono circoscritte solo a determinate ipotesi e prevedono limiti temporali precisi.

Stabilisce infatti l'art. 44, comma 1-bis, del decreto legge 207/2008 ("milleproroghe"), convertito, con modificazioni, in legge 27 febbraio 2009, n. 14 che

i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005

sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196,

dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.

Avv. Giuseppe Briganti

marzo 2009

Altre risposte in tema di privacy

Risposte
Leggi le altre risposte o proponi un quesito
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante privacy, come si legge nella newsletter dell'Autorità n. 341 del 10 settembre 2010, è recentemente intervenuto per vietare la profilazione occulta degli ascoltatori che si registrano sui siti delle web radio per pubblicare video, foto, brani musicali e partecipare a concorsi a premi on-line, votando i contenuti preferiti.

Con il provvedimento del 22 luglio 2010 il Garante ha infatti vietato a una società che gestisce i siti web di quattro emittenti radiofoniche a livello nazionale il trattamento dei dati personali degli ascoltatori raccolti in modo illecito.

Ciò a seguito di accertamenti ispettivi avviati dall'Autorità nei confronti di società che effettuano concorsi a premi on-line, dai quali erano emerse una serie di criticità, tra cui l'uso senza consenso dei dati degli iscritti alle community. Le informazioni, si legge ancora nella newsletter, venivano utilizzate dalla società in particolare per studiare i loro gusti e le loro abitudini.

Nei form di registrazione presenti sui siti delle quattro emittenti, che gli utenti dovevano compilare per partecipare ai concorsi e registrarsi alle community, era presente un'unica casella, barrando la quale si autorizzava l'uso dei dati per diversi scopi: per la fornitura del servizio, per il trasferimento dei propri dati a tutte le società appartenenti al gruppo, per l'invio di comunicazioni commerciali e per le operazioni di profiling.

In proposito il Garante ricorda che la normativa sulla privacy stabilisce invece che il consenso non può avere carattere generico: gli interessati devono infatti essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine ad ogni trattamento dei propri dati.

Non solo: nel modulo di registrazione mancava anche l'indicazione dei soggetti ai quali i dati degli utenti sarebbero stati comunicati, informazione invece espressamente richiesta dal Codice privacy.

Nel vietare il trattamento dei dati, con il provvedimento in parola, di cui è stato relatore Giuseppe Chiaravalloti, il Garante ha quindi prescritto alla società di riformulare il modulo di registrazione, con l'obbligo di garantire agli utenti la possibilità di prestare consensi differenziati, nonché di modificare l'informativa, indicando chiaramente le categorie di soggetti cui possono essere comunicati i dati.

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

 

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Gruppo di lavoro Articolo 29 per la protezione dei dati personali ha elaborato in proposito un parere (parere 1/2008 adottato il 4/04/2008).

Il parere in sintesi:

I motori di ricerca sono entrati a far parte della vita quotidiana di chi usa Internet e le
tecnologie per la ricerca di informazioni. Il Gruppo di lavoro articolo 29 ne riconosce
l'utilità ed è consapevole della loro importanza.
Nel presente parere il Gruppo di lavoro stabilisce un chiaro elenco di responsabilità che
ai sensi della direttiva 95/46/CE sulla protezione dei dati incombono ai provider di
motori di ricerca nella loro veste di responsabili del trattamento dei dati degli utenti.
Come provider di dati di contenuto (per esempio, l'indice dei risultati di ricerca), ai
motori di ricerca si applica la normativa europea sulla protezione dei dati anche in
situazioni specifiche, per esempio se propongono un servizio di caching o se sono
specializzati nell'elaborazione di profili di singoli utenti. L'obiettivo principale del
presente parere è trovare il giusto mezzo tra le legittime esigenze commerciali dei
provider e la protezione dei dati personali degli utenti di Internet.
Il parere tratta della definizione di motori di ricerca, del tipo di dati elaborati per offrire
servizi di ricerca, del quadro giuridico, delle finalità/motivazioni del trattamento
legittimo, dell'obbligo di informare le persone interessate e dei loro diritti.
Una delle principali conclusioni è che la direttiva sulla protezione dei dati si applica in
generale al trattamento di dati personali effettuato dai motori di ricerca, anche quando la
loro sede è situata al di fuori del SEE, e che a questi spetta l'onere di chiarire il loro ruolo
nel SEE e la portata dei loro obblighi ai sensi della direttiva. Ai provider di motori di
ricerca risulta invece chiaramente non applicarsi la direttiva 2006/24/CE sulla
conservazione dei dati.
Il presente parere giunge alla conclusione che i dati personali devono essere elaborati
soltanto per finalità legittime. I provider di motori di ricerca devono cancellare o rendere
anonimi in maniera irreversibile i dati personali che non sono più utili per la finalità
specifica e legittima per i quali sono stati raccolti, e devono in qualsiasi momento poter
giustificare la conservazione e la durata dei cookie installati. Per qualsiasi correlazione
pianificata di dati e profilazione di utenti è necessario il consenso di questi. I motori di
ricerca devono rispettare la scelta di esclusione (opt-out) dei responsabili editoriali dei
siti web e modificare/aggiornare immediatamente la copia cache degli utenti che ne
fanno richiesta. Il Gruppo di lavoro ribadisce l'obbligo dei motori di ricerca di informare
chiaramente gli utenti a monte di qualsiasi trattamento dei loro dati, e di rispettarne il
diritto di accedere, controllare e rettificare tempestivamente i propri dati conformemente
all'articolo 12 della direttiva 95/46/CE sulla protezione dei dati.

Si veda anche questo post

Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it

Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Nel Supplemento straordinario alla Gazzetta Ufficiale 4^ Serie Speciale “Concorsi ed Esami” del 5 agosto 2008 sono stati pubblicati i "Quesiti a risposta multipla relativi alla prova preselettiva del concorso pubblico, per esami, a 80 posti per l’accesso al profilo professionale di collaboratore amministrativo".

Il concorso cui si riferiscono i quesiti è il seguente:

Concorso pubblico, per esami, a 80 posti per l’accesso al profilo professionale di collaboratore amministrativo, area funzionale terza, posizione economica F1 (ex C1), del ruolo del personale dell’Amministrazione civile dell’Interno. Indetto con d.m. del 26/5/2008, pubblicato nella G.U. 4° Serie Speciale Concorsi ed Esami n. 42, del 30/5/2008 per le esigenze degli uffici periferici del Ministero dell’Interno, da ripartire nell’ambito delle seguenti regioni: Abruzzo, Basilicata, Calabria, Campania, Emilia Romagna, Friuli Venezia Giulia, Lazio, Liguria, Lombardia, Marche, Molise, Piemonte, Puglia, Sardegna, Sicilia, Toscana, Umbria, Valle D’Aosta, Veneto e Trentino Alto Adige limitatamente agli uffici ubicati nell’ambito della provincia di Trento.

Un accorto lettore mi segnala in proposito che tra i quesiti di diritto pubblico resi noti dal Ministero vi è il seguente (http://concorsiciv.interno.it):

200. Con il ricorso giurisdizionale al Garante per la protezione dei dati personali può essere chiesto:

A) L'adozione delle misure necessarie, il risarcimento del danno, ove richiesto, oltre che l'emanazione di provvedimenti provvisori quando sussiste pericolo imminente di un danno grave ed irreparabile.

B) Solo il risarcimento del danno eventualmente subito.

C) L'emanazione di provvedimenti provvisori che blocchino in tutto o in parte il trattamento, ma non il risarcimento del danno eventualmente subito.

D) L'adozione delle misure necessarie, esclusi i provvedimenti provvisori.

Stando al Ministero, per tutti i quesiti pubblicati la risposta esatta è, o dovrebbe essere, sempre quella contrassegnata con la lettera "A".

Ora, a mente del Codice della privacy, il Garante per la protezione dei dati personali non mi risulta possa provvedere sul risarcimento del danno. L'interessato che intende chiedere il risarcimento del danno deve infatti rivolgersi al giudice... dunque la risposta A non mi pare possa essere quella esatta...

Ma ancor più a monte: il ricorso al Garante privacy viene definito "giurisdizionale"...

Mi sfugge forse qualcosa?!

Il Ministero avverte in ogni caso che

Si comunica che la Commissione esaminatrice provvederà ad individuare i quesiti, da sottoporre ai candidati, che non presentino errori o anomalie di qualsiasi tipo.

Avv. Giuseppe Briganti

Risposte
Leggi le altre risposte o proponi un quesito
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

In data 29 maggio 2003, il Garante per la protezione dei dati personali è intervenuto in materia di spamming effettuato tramite posta elettronica con un provvedimento di carattere generale.

Con il provvedimento generale l'Autorità ha inteso, con riferimento al quadro giuridico previgente, "indicare le misure che gli operatori del settore devono adottare al fine di conformarsi alla disciplina generale sull'uso dei dati personali, specie nel settore delle comunicazioni".

Per quanto riguarda "Messaggi per conto terzi e acquisto di banche dati", nel provvedimento si legge quanto segue.

In alcuni casi portati all'attenzione del Garante, l'invio di messaggi pubblicitari era stato effettuato, per conto di terzi committenti, da società specializzate che utilizzano indirizzi di posta elettronica contenuti in proprie banche dati.

Tali società, da considerarsi titolari o contitolari del trattamento dei dati a seconda del rapporto che si instaura con il committente e delle modalità di concreta utilizzazione dei dati, sono, secondo il Garante, tenute a rispettare le disposizioni in tema di informativa e specifico consenso, anche per quanto riguarda l'eventuale comunicazione di dati personali ai committenti medesimi e le relative finalità.

Ciò comporta un quadro di obblighi e possibili responsabilità anche penali che gli operatori devono verificare con attenzione, anche quando la società specializzata incaricata sia stabilita fuori dell'Unione europea.

Dall'esame dei reclami e delle segnalazioni pervenuti al Garante è risultato, altresì, che alcuni dei soggetti che hanno utilizzato la posta elettronica per l'invio di messaggi pubblicitari avevano acquisito da terzi le banche dati contenenti gli indirizzi dei destinatari.

In questi casi, secondo l'Autorità, chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di informativa che precisi gli elementi indicati oggi nell'art. 13 del Codice della privacy, comprensivi di un riferimento di luogo - e non solo di posta elettronica - presso cui l'interessato possa esercitare i diritti riconosciuti dalla legge.

Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

« La diffusione di dati personali (relativi, cioè, a persone identificate o identificabili) nel corso di una trasmissione televisiva, raccolti nel corso di alcuni arresti effettuati dalla polizia giudiziaria all'esterno e all'interno di private abitazioni, configura un trattamento di dati personali per finalità giornalistiche al quale si applica la particolare disciplina posta dagli artt. 136-139 del Codice per la protezione dei dati personali (d.lgs. 30 giugno 2003 n. 196, di seguito: Codice), posta al fine di contemperare il diritto all'informazione e la libertà di stampa con i diritti della persona, in particolare quello alla riservatezza. In base a tale disciplina il giornalista può divulgare informazioni, anche sensibili, senza il consenso dell'interessato, purché nei "limiti del diritto di cronaca [.] e, in particolare, quello dell'essenzialità dell'informazione riguardo a fatti di interesse pubblico" (art. 137, comma 3, del Codice); si applicano, inoltre, le disposizioni poste dal codice di deontologia relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica, riportato nell'allegato A1 del Codice. In particolare il codice deontologico citato, nel riaffermare la "Tutela del diritto di cronaca nei procedimenti penali" (art. 12), precisa che "Salva l'essenzialità dell'informazione" il giornalista "non [.] pubblica immagini o fotografie di soggetti coinvolti in fatti di cronaca lesive della dignità della persona" (art. 8). Sono, altresì, fatte salve le norme di legge poste a tutela del domicilio (art. 3).

Pertanto il giornalista, nel diffondere immagini che documentano operazioni di arresto, dovrà conformarsi sia ai parametri generali tra cui quello che impone di acquisire le informazioni in modo lecito e secondo correttezza (art. 11, comma 1, lett. a) del Codice) nonché di diffonderle dopo aver valutato la loro essenzialità riguardo alla notizia riferita (art. 137, comma 3, sopra citato), sia al principio posto in modo specifico a tutela della dignità di coloro che sono sottoposti ad arresto, principio che, peraltro, è alla base delle limitazioni poste dall'ordinamento (cfr. art. 114, comma 6bis, c.p.p.) alla diffusione di immagini di persone ritratte con manette ai polsi o sottoposte ad altro mezzo di coercizione fisica (su questo punto si veda anche il documento del Garante per la protezione dei dati personali 6 maggio 2004, "privacy e giornalismo. Alcuni chiarimenti in risposta a quesiti dell'Ordine dei giornalisti" [doc. web n. 1007634]).

Nel caso specifico posto all'attenzione di questa Autorità, si ritiene che la trasmissione "[...]" del 15 gennaio u.s., ha riferito una vicenda di interesse pubblico, relativa ad alcune indagini dell'autorità giudiziaria dalle quali emerge l'infiltrazione di organizzazioni di stampo mafioso nel tessuto economico e nel governo locale di alcune regioni del Nord Italia, riportata con gli strumenti del reportage propri del c.d. giornalismo di inchiesta, particolare modalità di esercizio del diritto di cronaca costituzionalmente protetto, tutelata anche dal codice deontologico citato.

Tuttavia la diffusione in chiaro, anche attraverso riprese "in primo piano", delle immagini relative all'arresto dei segnalanti, non appare conforme al quadro normativo sopra esposto. In particolare, non è rispettoso della dignità della persona diffondere immagini -raccolte per finalità estranee a quelle proprie dell'attività giornalistica- che la ritraggono, anche semisvestita e all'interno della propria abitazione privata, nel momento delicatissimo in cui sta per essere presa in consegna dalle forze dell'ordine a seguito della loro irruzione; peraltro tali specifiche immagini, diversamente da quanto affermato nella nota [...] del 13 aprile u.s., non paiono rendere in termini essenziali una vicenda di indubbio interesse pubblico, in quanto non "indispensabil[i] in ragione dell'originalità del fatto o della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti" (art. 6, comma 1 del codice deontologico).

Quanto alle modalità con cui sono state raccolte le immagini, il giornalista in base alle disposizioni vigenti è comunque tenuto ad effettuare una propria valutazione sulla diffusione delle informazioni di cui viene in possesso, fermo restando che restano impregiudicati gli aspetti che attengono al compiuto rispetto degli articoli del codice di procedura penale che disciplinano l'attività di indagine della polizia giudiziaria e la sua documentazione nonché l'obbligo del segreto, aspetti che saranno oggetto di segnalazione alla competente Direzione Distrettuale Antimafia.

Pertanto questa Autorità, ritenuto illecito nei termini di cui in motivazione il trattamento dei dati personali  dei segnalanti effettuato nel corso della trasmissione "[...]" del 15 gennaio 2012, vieta a [...], in qualità di titolare del trattamento, ai sensi degli artt. 139, comma 5, 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l'ulteriore diffusione delle immagini in chiaro dei segnalanti ritratti nel momento in cui vengono sottoposti alla misura dell'arresto, di cui in premessa.

Si fa presente che in caso di inosservanza del divieto si renderanno applicabili le sanzioni di cui agli artt. 162, comma 2 ter e 170 del Codice ».

Così Garante per la protezione dei dati personali, provvedimento 18 maggio 2012

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Tribunale di Milano ha oggi condannato tre dirigenti di Google accusati di diffamazione e violazione della privacy per non avere impedito nel 2006 la pubblicazione su YouTube del video del noto caso Vividown.

Per segnalazioni e aggiornamenti sulla sentenza segui Iusreporter.it su Twitter:

Avv. Giuseppe Briganti

Il Garante per la protezione dei dati personali, come si legge nella newsletter dell'Autorità del 4 luglio 2012, ha prorogato al 31 dicembre 2012 le due autorizzazioni rilasciate nel 2011 con le quali ha fissato i principi e le misure per il corretto trattamento dei dati sensibili e giudiziari da parte degli organismi di mediazione civile, sia pubblici sia privati.

La decisione, si legge ancora nella newsletter, è stata assunta allo scopo di completare il processo di armonizzazione e consolidamento delle prescrizioni con le quali l'Autorità ha semplificato le procedure e gli adempimenti degli organismi di mediazione, mantenendo comunque elevato il livello di garanzia per i diritti e le libertà fondamentali delle parti coinvolte.

La prima autorizzazione dà il via libera agli organismi privati di mediazione a trattare i dati di natura sensibile delle parti coinvolte nella controversia oggetto di conciliazione.

La seconda riguarda i dati giudiziari e autorizza gli organismi di mediazione pubblici e privati, il Ministero della giustizia e gli enti di formazione per la mediazione a trattare tali tipi di dati per la verifica dei requisiti di onorabilità di mediatori, soci, associati, rappresentanti degli organismi e degli enti privati.

La mediazione delle controversie civili, evidenzia l'Autorità, è una procedura obbligatoria affidata ad organismi iscritti in un apposito registro presso il Ministero della giustizia, da esperirsi prima di esercitare in giudizio un'azione in una serie di materie di particolare rilevanza quali: condominio, eredità, locazione, risarcimento del danno da incidenti stradali, diffamazione a mezzo stampa, contratti assicurativi, bancari, finanziari.

Il nuovo istituto comporta l'uso dei dati personali delle parti che si avvalgono della conciliazione e degli altri eventuali protagonisti coinvolti nel procedimento, anche di tipo sensibile (ad es. richieste di risarcimento del danno da responsabilità medica o diffamazione) e giudiziario (ad es. dati relativi a sentenze di condanna penale in base alle quali si può chiedere il risarcimento).

A cura dell'Avv. Giuseppe Briganti

Avvocato e mediatore professionista

La Guida sulla mediazione civile e commerciale di Iusreporter.it

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Il Garante privacy ha recentemente precisato che le società che si avvalgono di agenzie o altre imprese per la promozione o la commercializzazione della loro attività senza che queste operino come autonomi titolari rispondono sempre in prima persona dei trattamenti dei dati e degli eventuali illeciti compiuti.

Inoltre, in questi casi le società devono provvedere a nominare formalmente le agenzie o le imprese di cui si avvalgono in outsourcing quali responsabili dei trattamenti stessi.

« E' quanto ha stabilito il Garante per la protezione dei dati personali nel provvedimento generale (pubblicato sulla G.U. n. 153 del 4 luglio) adottato per assicurare ai cittadini maggiori tutele contro i contatti commerciali indesiderati (telefonate, fax, posta etc.), fenomeno che ha registrato un forte incremento anche a seguito della modifica delle norme che regolano il telemarketing.

Dalle verifiche compiute dall'Autorità è infatti emerso che molte aziende, anche di grandi dimensioni, si avvalgono di società in outsourcing  per le attività promozionali, ma definiscono esse stesse gli obiettivi, le strategie commerciali, le istruzioni operative  e la modulistica necessaria.

Di conseguenza, in questi casi, i soggetti che operano in outsourcing non possono in alcun modo essere considerati autonomi titolari del trattamento, rimanendo tale titolarità in capo alle società committenti che rispondono di ogni illecito eventualmente commesso, nonché della mancata nomina quali responsabili delle aziende affidatarie dei servizi.

Nel suo provvedimento, il Garante ha dunque prescritto alle società che commissionano all'esterno l'attività di promozione ma ne mantengono di fatto il controllo operativo e quindi si configurano come titolari, anche l'obbligo di designare formalmente responsabili del trattamento i promoter di cui si avvalgono.

Le prescrizioni imposte dal Garante consentiranno di identificare con certezza gli autori di eventuali illeciti, garantendo maggiore tutela ai cittadini. Le società avranno 60 giorni di tempo per adempiere ».

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Come si legge nella Relazione 2010 del Garante privacy, il Garante nel corso del 2010 si è occupato anche di segnalazioni riguardanti la diffusione su forum e blog di dati personali, anche con riferimento a commenti sull'attività professionale o commerciale di determinati soggetti.

L'Autorità ha evidenziato in proposito che l'indicazione di alcuni dati personali (come per esempio la denominazione della società, il relativo indirizzo e la formulazione di commenti sulla sua attività e sui servizi resi dalla medesima), sia a mezzo stampa, sia all'interno di un sito web, costituisce una libera manifestazione del pensiero (Nota 4 febbraio 2011).

In tal caso dunque la raccolta e la diffusione di dati personali pubblici, per esempio nelle note relative al nome della società, così come nei commenti, possono avvenire anche senza il consenso dell'interessato, in quanto rientrano nell'ambito della manifestazione del pensiero.

Il Garante ha comunque precisato che resta fermo il divieto di diffondere dati personali altrui ledendone la dignità o l'onorabilità (Nota 4 febbraio 2011).

Qualora peraltro il trattamento dei dati risulti illecito, per il mancato rispetto della normativa vigente (per esempio per eventuali profili diffamatori), precisa il Garante, è ovviamente possibile ricorrere alle forme di tutela previste dal codice civile e dal codice penale (risarcimento danni, querela, ecc.) da far valere dinanzi all'autorità giudiziaria.

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il danno non patrimoniale risarcibile ai sensi del D.Lgs. 30 giugno 2003, n. 196, art. 15, (c.d. codice della privacy) non si sottrae alla verifica di 'gravità della lesione' (concernente il diritto fondamentale alla protezione dei dati personali, quale intimamente legato ai diritti ed alle libertà indicate dall'art. 2 del codice, convergenti tutti funzionalmente alla tutela piena della persona umana e della sua dignità) e di 'serietà del danno' (quale perdita di natura personale effettivamente patita dall'interessato), che, in linea generale, si richiede in applicazione dell'art. 2059 c.c., nelle ipotesi di pregiudizio inferto ai diritti inviolabili previsti in Costituzione.

Ciò in quanto, anche nella fattispecie di danno non patrimoniale di cui al citato art. 15, opera il bilanciamento (siccome pienamente consentito all'interprete dal modo in cui si è realizzata nello specifico l'interpositio legislatoris) del diritto tutelato da detta disposizione con il principio di solidarietà - di cui il principio di tolleranza è intrinseco precipitato -, il quale, nella sua immanente configurazione, costituisce il punto di mediazione che permette all'ordinamento di salvaguardare il diritto del singolo nell'ambito di una concreta comunità di persone che deve affrontare i costi di una esistenza collettiva.

L'accertamento di fatto rimesso, a tal fine, al giudice del merito, in forza di previe allegazioni e di coerenti istanze istruttorie di parte, dovrà essere ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale, dovendo l'indagine, illuminata dal bilanciamento anzidetto, proiettarsi sugli aspetti contingenti dell'offesa e sulla singolarità delle perdite personali verificatesi.

Un siffatto accertamento - che, ove l'offesa non superi la soglia di minima tollerabilità o il danno sia futile, può condurre anche ad escludere la possibilità di somministrare il risarcimento del danno - è come tale sottratto al sindacato di legittimità se congruamente motivato.

Così Cassazione civile, sez. III, 15/07/2014 (ud. 09/05/2014, dep. 15/07/2014), n. 16133.

Fattispecie relativa all'asserito illecito trattamento di dati personali ad opera di una Università. In particolare, risultava possibile, oltre che attraverso l'indirizzo, inserito direttamente in Internet, '(OMISSIS)', anche con la sola digitazione del nome e cognome o soltanto il cognome sul motore di ricerca 'Google', avere accesso al file excel '(OMISSIS)', recante il nominativo di 3.724 studenti specializzandi e/o ex studenti specializzati, tra cui quello dei ricorrenti, con evidenziazione dei relativi dati personali e cioè generalità, codice fiscale, attività di studio, posizione lavorativa e retributiva.



A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Slide della relazione dell'Avv. Giuseppe Briganti tenuta in occasione dell'evento formativo

"Vigilanza sugli intermediari Entratel"

organizzato da Digitrust presso la sede dell'Ordine dei Dottori Commercialisti ed Esperti Contabili di Pesaro-Urbino in data 26 ottobre 2011

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Una notizia riguardante la salute di un minore è un dato personale e sensibile relativamente al minore. Essa è parimenti dato personale e sensibile anche relativamente ad altre persone, come i genitori, alle quali la legge, individuando una specifica diretta conseguenza negativa della malattia, analoga a quella che risente l'ammalato, ovvero individuando un disagio avente la stessa origine fattuale, riconosce per l'appunto il diritto ad ottenere uno specifico beneficio.

La protezione assegnata al dato sensibile non è solo più forte di quella assegnata al dato meramente personale. Essa è qualitativamente diversa, giacché sottolinea l'interesse pubblico ad un trattamento rispettoso di fondamentali principi di convivenza democratica e sociale.

Così Cassazione civile, sez. I, 22 settembre 2011, n. 19365:

« [...] 1.A. Ritiene il collegio che la doglianza, in qualche punto ripetitiva, individui, nel nucleo essenziale riassunto riguardante la distinzione tra dato sensibile e dato personale, la necessità di una migliore precisazione dei principi in gioco.

La trama normativa che consente di ricostruire sul piano giuridico la vicenda che ne occupa muove dall'art. 1 del D.Lgs. [196/2003] di cui si tratta.

Esso recita: "chiunque ha diritto alla protezione dei dati personali che lo riguardano". E' di tutta evidenza la ampiezza dell'oggetto della protezione,giacchè l'uso della dizione "dati personali che lo riguardano" fa diventare "personali" tutti i dati che, per l'appunto, quale che ne sia l'origine ontologica, riguardano la persona che rivendica la protezione in questione.

L'art. 4, quindi, nel chiarire i concetti essenziali che strutturano la normativa alla lettera d) qualifica dato personale, "qualunque informazione relativa a persona fisica, persona giuridica, enti o associazioni, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".

Ritiene il collegio che con tale espressione la legge ha inteso individuare ogni circostanza trattabile come dato, ovvero capace di essere raccolta in un archivio per qualsivoglia successivo trattamento, in quanto riferibile ad una persona e capace di consentirne la identificazione.

Infine, e per quanto riguarda la questione oggetto del motivo di ricorso, alla lett. d), l'articolo stesso definisce come dati sensibili, quelli, "idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni di carattere religioso, filosofico, politico sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale".

Da tale previsione il Tribunale di [...] trae la conclusione che il dato relativo alla salute che rileva è quello riferibile alla sola persona del soggetto vittima di una condizione negativa di salute.

Il collegio ritiene siffatta distinzione eccessiva rispetto alla finalità della legge, e dunque arbitraria.

1.a. E' opportuno partire, per risolvere la questione, dalla differenza di regime giuridico attribuita al dato sensibile rispetto al più generico dato personale.

Per il secondo in via di principio va detto che l'interessato, ovvero il soggetto al quale il dato si riferisce e che il dato identifica, ha diritto di ottenere conferma della esistenza o meno "di dati che lo riguardano con l'indicazione dei medesimi, delle finalità e delle modalità del trattamento" art. 7 D.Lgs. del 2003). Ha diritto di ottenere l'aggiornamento, la rettificazione o, quando vi ha interesse, l'integrazione che ritiene o la cancellazione o la trasformazione in forma anonima, ed in ogni caso i dati stessi devono essere trattati in modo lecito e secondo specifiche regole che si possono definire di correttezza. Essi devono essere espliciti, legittimi, esatti, aggiornati, per temi pertinenti, completi , e non eccedenti rispetto alla finalità dichiarata. I dati sono custoditi e controllati anche in relazione alla conoscenza acquisita sulla base del progresso tecnico, alla natura dei medesimi e alle caratteristiche del trattamento, così che si evitino rischi di distruzione, perdita, o diffusione; ed ovviamente, chiunque cagiona danno ad altri per effetto del trattamento dei dati stessi è tenuto a risarcirlo anche se non patrimoniale.

I dati personali facenti parte della elencazione di cui alla lettera d) precedentemente citata, ovvero i dati sensibili, ricevono un ulteriore specifico trattamento, anzitutto con l'art. 20 del D.Lgs..

Il principio è quello espresso al numero 1 della norma suddetta, secondo il quale il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge, nella quale sono specificati i tipi di dati che possono essere trattati, nonchè "le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite".

La restante parte dell'art. 20 disciplina quindi le specifiche modalità di operazioni eseguibili rispetto a tali dati sensibili da parte di soggetti pubblici. Conclusione che se ne trae è che la storica esperienza dell'uso discriminante, arbitrario, oppressivo, di dati della persona che per la loro delicatezza, (si pensi a quelli che riguardano opinioni politiche, adesione a partiti, origine razziale, ovvero come dimostra anche la attualità, quelli relativi a specifiche malattie particolarmente invalidanti oppure ad una vita sessuale particolare, da parte delle Pubbliche Amministrazioni e dei Governi, ha fatto prescrivere che qualunque catalogazione di tali dati e qualunque uso se ne intenda fare debbano essere autorizzati dalla legge.

Quindi la norma si preoccupa, per il caso in cui la legge specifichi la finalità di interesse pubblico che giustifica il trattamento ma non indichi le modalità nè i tipi di dati sensibili ai quali il trattamento si dovrebbe riferire, di stabilire l'intervento del Garante che, caso per caso, determina modi e tempi di particolare protezione. Infine la norma precisa che laddove la legge non prevede il trattamento di uno specifico dato, pur rientrante nella categoria della sensibilità, dovrà allora affidarsi al Garante l'individuazione, previo accertamento dell'interesse pubblico al trattamento stesso, dei modi nei quali esso può essere portato a termine.

1.b. Osserva il collegio che la protezione assegnata al dato sensibile non è solo più forte di quella assegnata al dato meramente personale. Essa è qualitativamente diversa, giacchè sottolinea l'interesse pubblico ad un trattamento rispettoso di fondamentali principi di convivenza democratica e sociale. Al punto che essa, in realtà, rende insufficiente la sola autorizzazione al trattamento da parte del titolare del dato, ovvero da parte del soggetto che pure riveste quella posizione culturale, religiosa, politica, oppure di salute, ritenuta abbisognevole di protezione anche con la tutela della sua riservatezza. Infatti l'art. 26, operante fuori del caso dell'utilizzo del dato sensibile da parte di una Pubblica Amministrazione, precisa ancora un fondamentale principio secondo il quale essi dati possono essere trattati solo previo consenso scritto dell'interessato ed autorizzazione del Garante. A dimostrazione che non si tratta solo di un interesse, per quanto fondamentale, del soggetto la cui situazione culturale, politica o sanitaria può essere racchiusa in un dato, ma si tratta invece di un princìpio generale di ordine pubblico delle relazioni tra i soggetti. Sinteticamente,dunque, ritiene il collegio possa dirsi che ogni dato che consenta l'identificazione in capo ad un soggetto di una situazione di debolezza, di disagio, ovvero di una situazione e l'esperienza storica ha dimostrato possa dar luogo a situazioni discriminatorie ovvero lesive dei diritti del titolare del dato stesso, viene prudenzialmente protetto in maniera più forte che non qualunque dato che attenga alla generica riservatezza della persona, con un regime che implica per definizione l'intervento del Garante, quanto meno accanto alla volontà del titolare, se non addirittura in via ed in misura prevalente. Esistono insomma particolari disagi o pericoli di particolari disagi nei confronti dei quali il legislatore ha voluto che il dato personale che ne consente il disvelamento sia particolarmente vigilato. In ragione, appunto, della strutturale ed ontologica pericolosità del disvelamento.

Pertanto, che una notizia riguardante la salute di un minore sia in quanto tale dato personale e sensibile, relativamente al minore stesso, è fuori questione.

Non può dirsi invece che non sia parimenti dato personale e sensibile anche relativamente ad altre persone, come i genitori, alle quali la legge, individuando una specifica diretta conseguenza negativa della malattia, analoga a quella che risente l'ammalato, ovvero individuando un disagio avente la stessa origine fattuale, riconosce per l'appunto il diritto ad ottenere uno specifico beneficio. In definitiva lo stato di salute del figlio, considerato espressamente dalla legge a fondamento di un diritto del padre, e pertanto dato personale del padre stesso,appare pervaso dalla stessa intrinseca delicatezza che fa individuare una necessità di riservatezza ed un disagio analoghi a quelli che si riferiscono all'ammalato nel momento in cui egli espone ad un terzo, ovvero ad una Pubblica Amministrazione, la propria malattia.

Esistono, insomma,a parere del collegio, informazioni che appartengono alla persona non tanto perchè attinenti la fisicità della stessa ma perchè la cultura, nel tempo, ha spinto, all'atto in cui essa individua il patrimonio giuridico della persona, a porre dentro di esso una particolare protezione a fronte della maturata consapevolezza sociale dell' esistenza di un peso meritevole di aiuto. Nel caso che ne occupa si tratta della protezione (prevista dalla L. n 104 del 1992, ma in generale tutte le provvidenze che il sistema giuridico riconosce alla famiglia dell'ammalato portatore di handicap) che deriva dall'essere legato ad obblighi genitoriali di assistenza verso un ammalato. E', dunque, l'obbligo di assistenza che rende personale un dato che nasce sensibile nella situazione soggettiva di altra persona. E tale dato non perde la sua caratteristica di "sensibilità", non diventa dunque meno sensibile, per il fatto che va a strutturare anche il patrimonio di altra persona, diversa da quella dell'ammalato, ma tenuta al carico, anche sociale, della stessa malattia. Dunque, e ciò va precisato anche in considerazione della funzione nomofilattica della Corte oltre che per la rilevanza che detta precisazione può rivestire nella soluzione della vicenda, la distinzione fatta dal Tribunale di [...], tra dati meramente personali e dati anche sensibili, certamente corretta sul piano esegetico e sistematico, non trova applicazione nella specie. Giacchè il dato sensibile, letteralmente tale in capo al minore, in quanto caratterizza il complessivo statuto dei diritti che fanno capo al padre lavoratore e pervaso dalla stessa delicatezza culturale, è anche dato sensibile riferibile a questi. La estensione del dato in questione, necessitata dalla richiesta di una provvidenza quale quella di cui alla Legge n 104 citata, conduce ad una dolorosità ed a rischi di discriminazione sociale che riguardano appunto il genitore, cosicchè il trattamento di tali dati da parte di una PA deve rispondere alle cautele che la legge ha connesso a quei dati.

Conclusivamente deve dirsi che il dato sulla salute, ovvero riguardante una condizione negativa di salute di una persona, che dà luogo a conseguenze giuridiche nel patrimonio di familiari tenuti agli obblighi di assistenza, e che per tale caratteristica necessita di ostensione, deve essere assistito dalla protezione del dato sensibile anche quando identifica la persona del familiare predetto, ovvero il suo statuto di diritti [...] ».

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

E' entrato in vigore il 15/09/2015 il nuovo Regolamento Enac sui mezzi aerei a pilotaggio remoto (Edizione n. 2 del 16 luglio 2015).

Secondo l’articolo 743 del Codice della Navigazione rientrano nella nozione di aeromobile anche i mezzi aerei a pilotaggio remoto.

Il Regolamento distingue i mezzi aerei a pilotaggio remoto in

Sistemi Aeromobili a Pilotaggio Remoto e

Aeromodelli.

I mezzi aerei a pilotaggio remoto impiegati o destinati all'impiego in operazioni specializzate o in attività scientifiche, sperimentazione e ricerca, costituiscono i Sistemi Aeromobili a Pilotaggio Remoto (SAPR) e ad essi si applicano le previsioni del Codice della Navigazione secondo quanto previsto dal Regolamento.

Gli Aeromodelli non sono considerati aeromobili ai fini del loro assoggettamento alle previsioni del Codice della Navigazione e possono essere utilizzati esclusivamente per impiego ricreazionale e sportivo. Pur tuttavia, il Regolamento contiene specifiche disposizioni e limitazioni applicabili all’impiego degli aeromodelli, per l’uso dello spazio aereo e a garanzia della sicurezza di cose e persone al suolo e degli altri mezzi aerei.

Il Regolamento si applica dunque alle operazioni dei SAPR di competenza Enac e alle attività degli Aeromodelli.

Specificamente, il Regolamento definisce Aeromodello il dispositivo aereo a pilotaggio remoto, senza persone a bordo, impiegato esclusivamente per scopi ricreativi e sportivi, non dotato di equipaggiamenti che ne permettano un volo autonomo, e che vola sotto il controllo visivo diretto e costante dell’aeromodellista, senza l’ausilio di aiuti visivi.

Per Aeromobile a Pilotaggio Remoto (APR) s'intende invece il mezzo aereo a pilotaggio remoto senza persone a bordo, non utilizzato per fini ricreativi e sportivi.

Il Sistema Aeromobile a Pilotaggio Remoto (SAPR) viene definito come il sistema costituito da un mezzo aereo (aeromobile a pilotaggio remoto) senza persone a bordo, utilizzato per fini diversi da quelli ricreativi e sportivi, e dai relativi componenti necessari per il controllo e comando (stazione di controllo) da parte di un pilota remoto.

L'art. 34 del Regolamento, in materia di protezione dei dati e privacy, prevede quanto segue:

1. Laddove le operazioni svolte attraverso un SAPR possano comportare un trattamento di dati personali, tale circostanza deve essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione.

2. Il trattamento dei dati personali deve essere effettuato in ogni caso nel rispetto del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni (Codice in materia di protezione dei dati personali), con particolare riguardo all'utilizzo di modalità che permettano di identificare l’interessato solo in caso di necessità ai sensi dell’art. 3 del Codice, nonché delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante per la protezione dei dati personali.

In proposito si ricorda che le Autorità per la privacy europee, riunite nel "Gruppo Articolo 29", hanno recentemente adottato, in data 16/06/2015, un parere sull'impiego dei droni per tutti gli usi civili.

Il provvedimento, di cui è relatore il Garante italiano, dà indicazioni e raccomandazioni ai costruttori e agli operatori, al legislatore nazionale e europeo e ai regolatori del settore per la tutela della riservatezza delle persone.

Il WP29 chiarisce, in primo luogo, che non è l'impiego dei droni in sé ad essere problematico, quanto gli effetti potenzialmente invasivi che può produrre il loro uso e che sfuggono totalmente alla percezione delle persone. Nel caso dei droni poi, gli strumenti di tutela finora adottati risultano di ardua applicazione. A ciò si aggiunge l'attuale difficoltà di ricostruire con chiarezza la catena di responsabilità nell'utilizzo dei droni, ossia di chiarire chi fa cosa e per quali scopi: spesso i droni sono utilizzati da imprese che offrono servizi in "outsourcing" ad altri soggetti, i quali sono i veri titolari del trattamento ma non sempre hanno piena consapevolezza delle responsabilità derivanti.

Per questi motivi il WP29 ha indicato una serie di misure alle parti interessate.

Gli operatori avranno l'obbligo di fornire un'informativa tenendo conto delle peculiarità delle operazioni svolte. E' consigliato un approccio multilivello: dai classici cartelli, ove possibile, a informative pubblicate sui siti di ciascun operatore e/o a piattaforme uniche che raccolgano le informazioni sui voli – ad esempio su siti delle Autorità di aviazione competenti – fino all'adozione di misure per rendere il più possibile visibile e identificabile un drone. Gli operatori inoltre dovranno scegliere una tecnologia che limiti la raccolta e il trattamento dei dati a quelli indispensabili alle loro finalità e adottare idonee misure di sicurezza.

Al legislatore nazionale ed europeo e ai regolatori di settore il WP29 raccomanda l'introduzione e/o il rafforzamento di norme che consentano l'utilizzo dei droni nel rispetto dei diritti fondamentali; lo sviluppo e l'introduzione (in collaborazione con i rappresentanti dell'industria, i costruttori e gli operatori di settore) di criteri per la valutazione di impatto privacy; l'individuazione di modalità di cooperazione tra autorità di protezione dei dati e autorità per l'aviazione civile; l'utilizzo dei fondi di ricerca EU per l'individuazione di strumenti tecnologicamente adeguati per fornire l'informativa agli interessati e favorire l'identificazione dei droni.

Ai costruttori, infine, il WP29 raccomanda l'adozione di misure di privacy by default, la promozione di codici deontologici, l'adozione di misure per rendere il più possibile visibile e identificabile un drone.

Studio legale Avv. Giuseppe Briganti

Pesaro-Urbino

Il Garante privacy, nella newsletter del 7 giugno 2012, rende noto di aver accolto un'istanza di verifica preliminare avanzata da una compagnia telefonica, con cui la società chiedeva di poter realizzare un "arricchimento" del proprio database, integrando informazioni sui clienti e sulle rispettive abitudini di consumo con statistiche di tipo socio-demografico sull'area di residenza e lavoro.

La compagnia telefonica potrà dunque avviare l'innovativa forma di profilazione della propria clientela, senza doverne prima acquisire il consenso.

Tale attività dovrà però essere sottoposta a precise regole e controlli a tutela dei dati personali degli interessati.

Sempre in base a quanto riportato dalla newsletter citata, nella richiesta la compagnia sottolineava che tale arricchimento dei dati era particolarmente importante sia per definire nuove offerte commerciali, sia per la progettazione e lo sviluppo della propria rete.

Chiedeva quindi, in base al principio di bilanciamento degli interessi, e garantendo l'adozione di adeguate cautele, di poter essere esonerata dall'obbligo di acquisire il consenso delle persone interessate.

La società dovrà, in particolare, fare in modo che i codici utente utilizzati per l'attività di profilazione siano diversi da quelli già adottati per la gestione del servizio telefonico.

I dati clienti utilizzati per la profilazione potranno essere impiegati esclusivamente per la definizione delle nuove offerte commerciali e dovranno essere cancellati o resi definitivamente anonimi appena elaborate le nuove promozioni.

Anche i cosiddetti "dati arricchiti" dovranno essere cancellati o resi anonimi in maniera irreversibile entro 12 mesi dalla loro creazione.

La società dovrà poi aggiornare l'informativa fornita agli utenti integrandola con precise indicazioni sul nuovo tipo di trattamento realizzato con i loro dati.

Il Garante privacy ha infine prescritto alla società di telecomunicazioni di far pervenire, prima di avviare l'attività di arricchimento del database clienti, la documentazione tecnica e legale che dimostri l'adozione delle misure indicate.

Trascorso un anno dall'inizio delle operazioni, la compagnia telefonica dovrà produrre anche un dossier relativo a tutte le campagne marketing effettuate con il nuovo sistema in tale arco temporale, al fine di verificare che non siano stati posti in essere trattamenti non autorizzati o comunque illeciti.

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la privacy comunica (newsletter n. 354 del 23 dicembre 2011) di aver vietato a una società concessionaria di pubblicità l'utilizzo di due banche dati contenenti gli indirizzi e-mail di oltre 340.000 persone.

La società era stata sottoposta a una ispezione nell'ambito degli accertamenti effettuati dal Garante nel settore delle promozioni tramite posta elettronica.

Dalle verifiche era emerso che, in alcuni casi, la società aveva operato solamente come intermediario tra chi intendeva promuovere i propri prodotti e servizi e i titolari di alcuni database con liste di persone contattabili per finalità pubblicitarie, senza accedere ai dati personali degli interessati.

In altri casi invece la concessionaria di pubblicità aveva operato direttamente su due banche dati esterne, utilizzando così gli indirizzi e gli altri dati personali contenuti ma senza aver però rispettato l'obbligo di informare le persone registrate e richiedere il loro consenso.

La società inoltre non è risultata essere stata neppure designata come responsabile del trattamento dai titolari delle due banche dati.

Il Garante per la protezione dei dati personali ha dunque vietato alla società ogni ulteriore trattamento dei dati personali presenti nei due archivi e ha avviato un autonomo procedimento al fine di valutare eventuali sanzioni amministrative per le violazioni commesse.

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di internet

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Lo rende noto il Garante per la protezione dei dati personali con un comunicato del 6/02/2013:

« Skype migliorerà le procedure per consentire agli utenti di chiudere il proprio account e integrerà le informazioni per venire incontro alle loro esigenze.

E' questo l'esito della nota spedita a fine 2012 dal Garante privacy con la quale l'Autorità aveva chiesto alla società con sede in Lussemburgo spiegazioni sulle difficoltà incontrate dagli utenti italiani nel chiudere il proprio account.

Pur non essendo stabilita sul nostro territorio, Skype ha tuttavia deciso di dare riscontro all'Autorità italiana fornendo nel contempo alcune informazioni utili per capire le procedure adottate per dar seguito alle richieste degli utenti.

Skype ha ammesso che le indicazioni contenute nelle "domande più frequenti" (Faq), secondo cui "una volta creato, non è possibile eliminare un account Skype", non informano in maniera adeguata gli utenti. Esse d'ora in poi verranno dunque modificate per spiegare chiaramente che si potrà comunque bloccare in via permanente il proprio account rivolgendosi al servizio di supporto tecnico clienti, il quale provvederà a deindicizzare  lo username dell'utente dalle pagine pubbliche del servizio, in modo tale che non sia più operativo né visibile dagli altri. Skype sta peraltro valutando potenziali migliorie per consentire un'autonoma chiusura dell'account da parte dell'utente.

La società ha tuttavia spiegato che l'account non viene definitivamente cancellato o distrutto e che il relativo username resta archiviato all'interno dei suoi sistemi: lo scopo dichiarato è quello di evitare che in futuro altri utenti possano utilizzare, intenzionalmente o meno, il medesimo nome.

Permane dunque la necessità di alcuni chiarimenti in ordine alla tipologia dei dati conservati, dopo la chiusura dell'account, e ai tempi e alle modalità di tale conservazione, della quale peraltro l'utente potrebbe non essere del tutto consapevole.

Per tali motivi, il Garante ha deciso di avviare ulteriori approfondimenti e di sollevare la questione nell'ambito del Gruppo di lavoro che riunisce le Autorità della protezione dati europee ».

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino



Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la protezione dei dati personali ha avuto recentemente occasione di stabilire (provv. 12/11/2009) che non è possibile sfruttare commercialmente l'immagine di una persona, anche se nota, senza il suo consenso.

Come può leggersi nella newsletter del Garante n. 333 dell'11/01/2010, l'Autorità ha affrontato il caso di una donna di spettacolo, impegnata anche in politica, che aveva casualmente scoperto la sua fotografia su alcuni volantini pubblicitari utilizzati per reclamizzare servizi odontoiatrici. L'interessata aveva diffidato il centro dentistico dal proseguire il volantinaggio ma, dopo aver scoperto che le pubblicità erano ancora in distribuzione presso una delle sedi dello studio, aveva chiesto l'intervento del Garante.

<< Dagli accertamenti avviati dall'Autorità è emerso che lo studio professionale aveva scaricato la fotografia della donna da un sito web e, senza il consenso dell'interessata, l'aveva poi stampata su 50.000 volantini.

L'Autorità - anche sulla base di quanto stabilito dalla disciplina sul diritto d'autore - ha sottolineato che la riproduzione e la divulgazione del ritratto di una persona nota senza il suo consenso, anche nel caso in cui si tratta di un'immagine liberamente reperibile su internet, è lecita soltanto se risponde a esigenze di "pubblica informazione" e non ad altre finalità, in particolare quelle commerciali.

Essendo stati violati i principi di liceità e correttezza fissati dal Codice privacy, il Garante ha dunque vietato allo studio dentistico l'ulteriore trattamento, in qualunque forma, della foto della donna, inclusa la distribuzione, presso le diverse sedi, dei volantini già stampati.

L'Autorità ha, inoltre, avviato un autonomo procedimento per l'eventuale contestazione delle sanzioni amministrative relative alle violazioni alla normativa sulla privacy commesse dallo studio dentistico >>.

In un altro caso di cui viene data notizia nella medesima newsletter, il Garante ha affermato inoltre che non si possono scattare e diffondere fotografie, anche di personaggi famosi, violando la riservatezza di dimore private protette alla vista esterna. Nessun problema, invece, riguardo a foto scattate in luoghi visibili al pubblico.

Il provvedimento del Garante (provv. 22/12/2009) è giunto in risposta alla segnalazione dell'attore George Clooney che lamentava la pubblicazione, da parte di alcune testate giornalistiche, di immagini che lo ritraevano con alcuni ospiti all'interno del parco della sua villa.

<< Alcune fotografie oggetto della segnalazione mostrano persone che si trovavano all'interno del giardino della villa, in zone circondate da un'alta siepe o da un muro di cinta che impediscono ai passanti la vista. Dagli accertamenti del Garante è emerso che tali immagini sono state raccolte con espedienti (ad esempio, aprendo dei varchi nella siepe), violando così la ragionevole aspettativa di intimità e riservatezza creata dalla barriera visiva posta a protezione della dimora privata. Le modalità con cui sono state acquisite queste immagini - ha sottolineato l'Autorità - contrastano con quelle garanzie di trasparenza e di correttezza che devono caratterizzare la raccolta di dati personali a cui si devono attenere i giornalisti nell'esercizio della loro attività, indipendentemente dalla notorietà dei personaggi coinvolti.

Altre fotografie, invece, sono state scattate in luoghi normalmente visibili dall'esterno, ad esempio, presso la scalinata di accesso alla villa, o l'affaccio di un balcone. In questo caso, l'Autorità ha ritenuto leciti gli scatti, in quanto ritraggono le persone in luoghi pubblici o, comunque, aperti al pubblico, oppure in aree "per loro natura esposte alla visibilità da parte di terzi".

Il Garante ha dunque vietato il trattamento e l'ulteriore diffusione delle immagini raccolte in modo illegittimo e ha altresì prescritto alle tre testate giornalistiche, alle agenzie e ai fotografi coinvolti di informare sugli esiti del provvedimento tutti coloro ai quali sono state eventualmente cedute le fotografie sottoposte a divieto >>.

Giurisprudenza
La presente sezione ha ad oggetto sentenze e altri provvedimenti venuti in rilievo relativamente ai casi e alle questioni trattati dallo studio legale o particolarmente interessanti con riferimento alle materie trattate dallo studio legale
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Guida breve alla tutela della privacy

e-book gratuito

dell'Avv. Giuseppe Briganti

(agosto 2012)

Questa guida si propone di offrire una semplice introduzione ai diritti riconosciuti all'interessato dal Codice della privacy (decreto legislativo n. 196 del 2003) e alle forme di tutela della privacy previste da detto Codice.

Indice

Premessa 5

1
Quali sono i miei diritti? 6

2
Come posso far valere i miei diritti? 8

3
Come rivolgere le proprie richieste al titolare del trattamento di dati personali? 12

4
Come posso tutelare la mia privacy? 13

5
Quali sono le forme di tutela dinanzi al Garante privacy? 14

6
Il ricorso al Garante per la protezione dei dati personali: per quali diritti è previsto e quando può essere proposto? 16

7
Il ricorso al Garante per la protezione dei dati personali: che cos'è l'interpello preventivo? 17

8
Il ricorso al Garante per la protezione dei dati personali: il contenuto del ricorso 18

9
Il ricorso al Garante per la protezione dei dati personali: come si svolge il procedimento? 21

10
Come tutelare i propri diritti innanzi al tribunale? 25

11
Link utili 28

La Guida può essere scaricata gratuitamente, ti chiediamo solo di aiutarci a farla conoscere condividendo questa pagina, grazie!

Scarica l'e-book gratuito cliccando qui

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Elenco completo pubblicazioni Avv. Giuseppe Briganti





Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Come si legge nella newsletter dell'Autorità, il Garante privacy ha avuto recentemente occasione di affermare che i dati registrati nei Sistemi di informazioni creditizie (Sic), le vecchie "centrali rischi" private, devono essere esatti e puntualmente aggiornati.

In particolare, le informazioni su ritardi nella restituzione di un prestito quando riguardano non più di due rate poi pagate, non possono essere conservate oltre un anno.

Il principio è stato affermato dal Garante per la privacy intervenuto a seguito del  ricorso di un cittadino che si era rivolto all'Autorità ritenendo illegittima la presenza del suo nominativo in un Sic oltre il temine previsto dal codice deontologico.

Nonostante, infatti, come si legge ancora nella newsletter, una prima richiesta di cancellazione indirizzata, come prevede la normativa, dal ricorrente direttamente alla "centrale rischi" privata,  la segnalazione continuava ad essere presente nel data base della società, l'archivio elettronico nel quale confluiscono informazioni sui cittadini che chiedono un prestito personale o un mutuo e al quale accedono banche e finanziarie per verificarne l'affidabilità e la solvibilità prima di concedere finanziamenti.

E' stato quindi necessario l'avvio di un'istruttoria e l'invito del Garante a soddisfare le richieste del ricorrente per far attivare la centrale rischi, che dopo aver effettuato una verifica con la società finanziaria che aveva segnalato i ritardi nei pagamenti, ha  aggiornato il rapporto di credito, censendolo senza alcuna segnalazione di insolvenza.

Poiché la centrale rischi ha cancellato le informazioni negative, l'Autorità ha  dichiarato non luogo a provvedere sul ricorso, ma ha comunque addebitato al Sic le spese del procedimento, determinate in 500 euro, da rifondere direttamente al ricorrente.

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino




Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Così si legge nel provvedimento del Garante per la protezione dei dati personali del 20/12/2012 in un caso in cui la società titolare del trattamento dei dati condizionava la registrazione al sito da parte degli utenti, e conseguentemente anche la fruizione dei servizi, al rilascio del consenso al trattamento dei dati per finalità promozionali:

« Al caso sottoposto all'attenzione dell'Autorità si applica la disciplina dell'art. 23, comma 3 del Codice, secondo cui il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso dell'interessato libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto, nonché l'analogo disposto dell'art. 130, commi 1 e 2 del Codice, in base al quale l'utilizzo di comunicazioni con modalità automatizzate, come posta elettronica, telefax, Mms o Sms, per la finalità di invio di materiale pubblicitario o di comunicazione commerciale è consentito solo con il consenso del contraente o utente.

Si ricorda, tuttavia, l'eccezione del c.d. "soft spam", di cui all'art. 130, comma 4, in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso.

Inoltre, come già rilevato da questa Autorità (provv. 22 febbraio 2007, doc. web n. 1388590; provv.  12 ottobre 2005, doc. web n.  1179604; provv.  3 novembre 2005, doc. web n.  1195215; provv. 10 maggio 2006, doc. web n.  1298709 in www.garanteprivacy.it; provv. 15 luglio 2010, doc. web n.1741998; più recentemente, provv. 11 ottobre 2012, doc. web n. 2089777) non può definirsi "libero", e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l'interessato "debba" prestare quale condizione per conseguire una prestazione richiesta. Peraltro, gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso -allorché richiesto per legge- per ciascuna distinta finalità perseguita dal titolare (cfr. provv.  24 febbraio 2005, punto 7, in www.garanteprivacy.it, doc. web n.  1103045).

L'attività di trattamento dei dati, finalizzata all'invio di comunicazioni commerciali e materiale pubblicitario/informativo di beni e servizi, nella fattispecie mediante posta elettronica, effettuata dalla società senza il relativo consenso specifico costituisce quindi un trattamento illecito e non può essere proseguita ai sensi dell'art. 11, comma 2, del Codice, secondo cui i dati personali trattati in violazione del Codice non possono essere utilizzati ».

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino




Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

« Il consenso libero ed informato degli utenti finali è essenziale per garantire il rispetto della legislazione europea sulla protezione dei dati

Le Autorità europee per la protezione dei dati, riunite nel "Gruppo Articolo 29", hanno adottato un parere che esamina i rischi fondamentali per la protezione dei dati derivanti dalle applicazioni per terminali mobili. Nel parere sono indicati gli obblighi specifici che, in base alla legislazione Ue sulla privacy, sviluppatori, ma anche distributori e produttori di sistemi operativi e apparecchi di telefonia mobile, sono tenuti a rispettare. Particolare attenzione viene posta nel parere alle applicazioni rivolte ai minori.

Chi possiede uno smartphone ha normalmente attive in media circa 40 applicazioni. Queste applicazioni sono in grado di raccogliere grandi quantità di dati personali: ad esempio, accedendo alle raccolte di foto oppure utilizzando dati di localizzazione. "Spesso tutto ciò avviene senza che l'utente dia un consenso libero ed informato, quindi in violazione della legislazione europea sulla protezione dei dati" - afferma il Presidente dell'Autorità italiana per la privacy, Antonello Soro. "La nostra Autorità - continua Soro - ha dato un contributo significativo all'elaborazione del parere. Le app sono sempre più diffuse e il loro uso, senza un'adeguata definizione di garanzie e misure a tutela dei dati personali, può comportare rischi per gli utenti che le scaricano. Per questo è fondamentale muoversi in tempo".

I rischi per la privacy delle applicazioni per smartphone

Gli smartphone e i tablet contengono grandi quantità di dati molto personali che riguardano direttamente o indirettamente gli utenti: indirizzi, dati sulla localizzazione geografica, informazioni bancarie, foto, video. Smartphone e tablet sono, inoltre, in grado di registrare o catturare in tempo reale varie tipologie di informazioni attraverso molteplici sensori quali microfoni, bussole o altri dispositivi utilizzati per tracciare gli spostamenti dell'utente. Anche se l'obiettivo degli sviluppatori è rendere disponibili servizi nuovi e innovativi, le app possono comportare rischi significativi per la privacy e la reputazione degli utenti.

La legislazione sulla privacy Ue prevede che ogni persona ha il diritto di decidere sui propri dati personali. Le applicazioni, dunque,  per trattare i dati degli utenti devono prima fornire informative adeguate, in modo da ottenere un consenso che sia veramente libero e informato.

Un altro rischio per la protezione dei dati deriva da misure di sicurezza insufficienti. Insufficienza che  può comportare trattamenti non autorizzati di dati personali a causa della tendenza a raccogliere quantità sempre più consistenti di informazioni e della elasticità e genericità degli scopi per i quali queste vengono raccolte, ad esempio a fini di  "ricerche di mercato". Tutto ciò aumenta la possibilità di violazioni dei dati.

Obblighi e raccomandazioni

Il parere individua precise raccomandazioni e obblighi per ciascuno degli attori coinvolti, evidenziando che la protezione di dati personali degli utenti e la relativa sicurezza sono il risultato di azioni coordinate di sviluppatori, produttori dei sistemi operativi e distributori ("app stores")  che devono durare nel tempo, e non la semplice applicazione di regole una tantum. In particolare, sono richiamati gli obblighi sull'informativa e sul consenso riguardo all'archiviazione di informazioni sui terminali degli utenti, nonché per l'utilizzo da parte delle app di dati di localizzazione o delle rubriche dei contatti. Si raccomandano inoltre alcune "buone pratiche" che devono intervenire sin dalle fasi iniziali di sviluppo delle app, quali l'impiego di identificativi non persistenti, in modo da ridurre al minimo il rischio di tracciamenti degli utenti per tempi indefiniti, la definizione di precisi tempi di conservazione dei dati raccolti, l'impiego di icone "user friendly" per segnalare che specifici trattamenti di dati sono in corso (ad es. dati di geolocalizzazione).

In caso di app rivolte specificamente ai minori, si ribadisce la necessità del consenso dei genitori.

Si sottolinea, infine, la necessità di una più efficace assistenza all'utente mediante la designazione di "punti di contatto" presso gli "stores" che consentano agli utenti di risolvere in modo rapido problemi legati al trattamento di dati personali da parte delle app installate ».

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Come può leggersi nel comunicato del Garante privacy del 19 maggio 2010, il Garante ha avviato un'istruttoria nei confronti di Google per verificare la liceità e la correttezza del trattamento dei dati personali effettuato nell'ambito del servizio Street View.

Il procedimento del Garante è stato aperto in merito alla raccolta di dati personali effettuata da Google sul territorio italiano e che, secondo quanto ammesso dalla stessa Google Italia, ha riguardato, oltre che immagini, anche dati relativi alla presenza di reti wireless e di apparati di rete radiomobile, nonché frammenti di comunicazioni elettroniche, eventualmente trasmesse dagli utenti su reti wireless non protette. Riguardo a quest'ultima tipologia di dati, l'Autorità ha invitato la società a sospendere qualsiasi trattamento fino a diversa direttiva dello stesso Garante.

Con particolare riferimento a tutti i dati eventualmente "captati" dalle "Google cars", si legge ancora nel comunicato del Garante, la società dovrà comunicare all'Autorità la data di inizio della raccolta delle informazioni, per quali finalità e con quali modalità essa è stata realizzata, per quanto tempo e in quali banche dati queste informazioni sono conservate.

Google dovrà chiarire, inoltre, l'eventuale impiego di apparecchiature o software "ad hoc" per la raccolta di dati sulle reti WiFi e sugli apparati di telefonia mobile.

La società dovrà comunicare, infine, se i dati raccolti siano accessibili a terzi e con quali modalità, o se siano stati ceduti.

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

« Il Garante fa rimuovere i dati personali dalle ordinanze di dieci Comuni. E sono in arrivo sanzioni

Sì alla trasparenza on line nella Pa, ma rispettando la dignità delle persone. Sui siti dei Comuni non possono essere pubblicati atti e documenti contenenti dati sullo stato di salute dei cittadini.

Il Garante per la privacy ha fatto oscurare dai siti web di dieci Comuni italiani, di piccola e media grandezza, i dati personali contenuti in alcune ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini. Nuovi provvedimenti sono in arrivo per altri Comuni.

Nelle ordinanze, con le quali i sindaci disponevano il ricovero immediato di diversi cittadini, erano infatti indicati "in chiaro" non solo i dati anagrafici (nome, cognome, luogo e data di nascita) e la residenza, ma anche la patologia della quale soffriva la persona (ad es. "infermo mentale"), o altri dettagli davvero eccessivi, quali ad esempio l'indicazione di "persona  affetta da manifestazioni di ripetuti tentativi di suicidio". Il trattamento dei dati effettuato dai Comuni è risultato dunque illecito: come ha ricordato l'Autorità, le disposizioni del Codice della privacy, richiamate anche dalle Linee guida sulla trasparenza on line della Pa [doc. web n. 1793203] emanate dallo stesso Garante nel 2011, vietano espressamente la diffusione di dati idonei a rivelare lo stato di salute delle persone.

Le ordinanze, per giunta, oltre ad essere visibili e liberamente consultabili sui siti istituzionali dei Comuni, attraverso link che rimandavano all'archivio degli atti dell'ente, erano nella maggioranza dei casi facilmente reperibili anche sui più usati motori di ricerca, come Google: bastava digitare il nome e cognome delle persone.

Nel disporre il divieto di ulteriore diffusione dei dati, l'Autorità per la privacy ha  prescritto alle amministrazioni comunali non solo di oscurare i dati personali, presenti nei provvedimenti, da qualsiasi area del sito, ma anche di attivarsi presso i responsabili dei principali motori di ricerca per fare in modo che vengano rimosse le copie web delle ordinanze e di tutti gli altri atti aventi ad oggetto il ricovero per trattamento sanitario obbligatorio dagli indici e dalla cache.

I Comuni, inoltre, per il futuro dovranno far sì che la pubblicazione di atti e documenti in Internet avvenga nel rispetto della normativa privacy e delle Linee guida in materia di trasparenza on line della Pa.

"La sacrosanta esigenza di trasparenza della Pubblica amministrazione - ha commentato Antonello Soro, Presidente dell'Autorità - non può trasformarsi in una grave lesione per la dignità dei cittadini interessati. Prima di mettere on line sui propri siti dati delicatissimi come quelli sulla salute, le pubbliche amministrazioni, a partire da quelle più vicine ai cittadini, come i Comuni,  devono riflettere e domandarsi se stanno rispettando le norme poste a tutela della privacy. E devono evitare sempre di recare ingiustificato pregiudizio ai cittadini che amministrano. Oltretutto, errori gravi e scarsa attenzione alle norme comportano come conseguenza che il Garante debba poi applicare pesanti sanzioni" .

L'Autorità procederà, infatti, ad avviare nei confronti dei Comuni interessati le previste procedure sanzionatorie per trattamento illecito di dati personali ».

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino



Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Obbligo del consenso per video e foto sui social network. Scrutini e voti pubblici. Sì alle foto di recite e gite scolastiche. No alla pubblicazione on line dei nomi e cognomi degli studenti non in regola coi pagamenti della retta. Su cellulari e tablet in classe l'ultima parola spetta alle scuole.

Mancano pochi giorni all'apertura delle scuole e il Garante per la protezione dei dati personali ritiene utile, come si legge nel comunicato stampa del 6/09/2012, fornire a professori, genitori e studenti, sulla base dei  provvedimenti adottati e dei pareri resi, alcune indicazioni generali in materia di tutela della privacy.

Ecco dunque, in sintesi, le regole:

Temi in classe
Non lede la privacy l'insegnante che assegna ai propri alunni lo svolgimento di temi in classe riguardanti il loro mondo personale. Sta invece nella sensibilità dell'insegnante, nel momento in cui gli elaborati vengono letti in classe, trovare l'equilibrio tra esigenze didattiche e tutela della riservatezza, specialmente se si tratta di argomenti delicati.

Cellulari e tablet
L'uso di cellulari e smartphone è in genere consentito per fini strettamente personali, ad esempio per registrare le lezioni, e sempre nel rispetto delle persone. Spetta comunque agli istituti scolastici decidere nella loro autonomia come regolamentare o se vietare del tutto l'uso dei cellulari. Non si possono diffondere immagini, video o foto sul web se non con il consenso delle persone riprese. E' bene ricordare che la diffusione di filmati e foto che ledono la riservatezza e la dignità delle persone  può far incorrere lo studente in sanzioni disciplinari e pecuniarie o perfino in veri e propri reati.

Stesse cautele vanno previste per l'uso dei tablet, se usati a fini di registrazione e non soltanto per fini didattici o per consultare in classe libri elettronici e testi on line.

Recite e gite scolastiche
Non violano la privacy le riprese video e le fotografie raccolte dai genitori durante le recite, le gite e i saggi scolastici. Le immagini in questi casi sono raccolte a fini personali e destinati ad un ambito familiare o amicale. Nel caso si intendesse pubblicarle o diffonderle in rete, anche sui social network, è necessario ottenere il consenso delle persone presenti nei video o nelle foto.

Retta e servizio mensa
É illecito pubblicare sul sito della scuola il nome e cognome degli studenti i cui genitori sono in ritardo nel pagamento della retta o del servizio mensa. Lo stesso vale per gli studenti che usufruiscono gratuitamente del servizio mensa in quanto appartenenti a famiglie con reddito minimo o a fasce deboli. Gli avvisi messi on line devono avere carattere generale, mentre alle singole persone ci si deve rivolgere con comunicazioni di carattere individuale. A salvaguardia della trasparenza sulla gestione delle risorse scolastiche, restano ferme le regole sull'accesso ai documenti amministrativi da parte delle persone interessate.

Telecamere
Si possono in generale installare telecamere all'interno degli istituti scolastici, ma devono funzionare solo negli orari di chiusura degli istituti e la loro presenza deve essere segnalata con cartelli. Se le riprese riguardano l'esterno della scuola, l'angolo visuale delle telecamere deve essere opportunamente delimitato. Le immagini registrare devono essere cancellate in generale dopo 24 ore.

Inserimento professionale
Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale le scuole, su richiesta degli studenti, possono comunicare e diffondere alle aziende private e alle pubbliche amministrazioni i dati personali dei ragazzi.

Questionari per attività di ricerca
L'attività di ricerca con la raccolta di informazioni personali tramite questionari da sottoporre agli studenti è consentita solo se ragazzi e genitori sono stati prima informati sugli scopi delle ricerca, le modalità del trattamento e le misure di sicurezza adottate. Gli studenti e i genitori devono essere lasciati liberi di non aderire all'iniziativa.

Iscrizione e registri on line, pagella elettronica
In attesa di poter esprimere il previsto parere sui provvedimenti attuativi del Ministero dell'istruzione riguardo all'iscrizione on line degli studenti, all'adozione dei registri on line e alla consultazione della pagella via web, il Garante auspica l'adozione di adeguate misure di sicurezza a protezione dei dati.

Voti, scrutini, esami di Stato
I voti dei compiti in classe e delle interrogazioni, gli esiti degli scrutini o degli esami di Stato sono pubblici. Le informazioni sul rendimento scolastico sono soggette ad un regime di trasparenza e il regime della loro conoscibilità è stabilito dal Ministero dell'istruzione. E' necessario però, nel pubblicare voti degli scrutini e degli esami nei tabelloni, che l'istituto eviti di fornire, anche indirettamente, informazioni sulle condizioni di salute degli studenti: il riferimento alle "prove differenziate" sostenute dagli studenti portatori di handicap, ad esempio, non va inserito nei tabelloni, ma deve essere indicato solamente nell'attestazione da rilasciare allo studente.

Trattamento dei dati personali
Le scuole devono rendere noto alle famiglie e ai ragazzi, attraverso un'adeguata informativa, quali dati raccolgono e come li utilizzano. Spesso le scuole utilizzano nella loro attività quotidiana dati delicati  - come quelli riguardanti le origini etniche, le convinzioni religiose, lo stato di salute - anche per fornire semplici servizi, come ad esempio la mensa. E' bene ricordare che nel trattare  queste categorie di informazioni gli istituti scolastici devono porre estrema cautela, in conformità al regolamento sui dati sensibili adottato dal Ministero dell'istruzione. Famiglie e studenti hanno diritto di conoscere quali informazioni sono trattate dall'istituto scolastico, farle rettificare se inesatte, incomplete o non aggiornate.

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino



Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Codice della privacy (decreto legislativo 196/2003), agli articoli 7-10, regola i diritti dell'interessato.

In base all'art. 7 ("Diritto di accesso ai dati personali ed altri diritti"), comma 1, del Codice, l'interessato ha dunque, innanzitutto, diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

In base al secondo comma della medesima disposizione, l'interessato ha inoltre diritto di ottenere l'indicazione:

a) dell'origine dei dati personali che lo riguardano;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'art. 5, comma 2;

e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

L'interessato ha altresì diritto di ottenere (art. 7, comma 3):

a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l'attestazione che le operazioni di cui alle precedenti lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

L'interessato ha, infine, diritto di opporsi, in tutto o in parte (art. 7, comma 4):

a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

I successivi articoli del Codice della privacy regolano poi l'esercizio dei diritti riconosciuti dall'art. 7.

Secondo quanto previsto dall'art. 8 ("Esercizio dei diritti"), dunque, i diritti di cui all'art. 7 appena esaminato sono esercitati, in linea generale, con richiesta rivolta senza formalità al titolare o al responsabile del trattamento, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.

L'art. 9 ("Modalità di esercizio") del Codice prevede che la richiesta rivolta al titolare o al responsabile ex art. 8 possa essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può d'altra parte individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche.

Quando riguarda l'esercizio dei diritti di cui all'art. 7, commi 1 e 2, sopra esaminati, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell'incaricato o del responsabile.

Nell'esercizio dei diritti di cui all'art. 7, l'interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia.

L'identità dell'interessato deve essere verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento (art. 9, comma 4). Se l'interessato è una persona giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.

La richiesta di cui all'art. 7, commi 1 e 2, sopra esaminati, deve essere formulata liberamente e senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni.

Al fine di garantire l'effettivo esercizio dei diritti di cui all'art. 7, il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare (art. 10, comma 1):

a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano singoli interessati identificati o identificabili;

b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.

I dati sono estratti a cura del responsabile o degli incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica.

Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato deve comprendere tutti i dati personali che riguardano l'interessato comunque trattati dal titolare.

Come rivolgere le proprie richieste al titolare del trattamento di dati personali?

Il Garante per la privacy ha predisposto un modello per l'esercizio da parte dell'interessato dei diritti in materia di protezione dei dati personali, secondo quanto previsto dagli artt. 7 e 8 del Codice.

Tramite detto modello, l'interessato può rivolgersi al titolare o al responsabile del trattamento dei dati per proporre le proprie richieste in ordine a:

accesso ai dati personali

notizie sul trattamento dei dati

opposizione al trattamento per fini pubblicitari

opposizione al trattamento per motivi legittimi.

Il modello può essere scaricato dal sito web del Garante per la protezione dei dati personali: www.garanteprivacy.it

Avv. Giuseppe Briganti
avvbriganti.iusreporter.it

gennaio 2009
Altre risposte in tema di privacy

Risposte
Leggi le altre risposte o proponi un quesito
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la protezione dei dati personali, con provvedimento dell'8 aprile 2010, ha disposto che, con esclusivo riferimento ai "vecchi" abbonati i cui dati erano già inseriti in un elenco pubblico alla data del 1° febbraio 2005, possa essere attivata a partire dal 1° gennaio 2011 la funzione di ricerca inversa, consistente nella ricerca del nominativo di un abbonato sulla base del suo numero telefonico, anche senza il consenso espresso degli abbonati, salvo il rispetto di eventuali volontà contrarie comunicate dagli stessi al proprio operatore.

Il Garante ha disposto inoltre che gli operatori telefonici  che abbiano clienti i cui dati erano già inseriti in un elenco pubblico alla data del 1° febbraio 2005  rendano nota a tali abbonati l'attivazione della funzione di ricerca inversa nei loro confronti nei termini sopra indicati, mediante idonea informativa, da inserire nella bolletta contenente il conto telefonico entro il 31 dicembre 2010 e da pubblicare sui propri siti web entro il 31 maggio 2010.

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Con la sentenza n. 23798/2012, la Corte di Cassazione ha affrontato il caso dell'invio da parte di una società di newsletter pubblicitarie non richieste, stabilendo che tale condotta configura il reato di trattamento illecito di dati personali di cui all'art. 167 del Codice della privacy, e chiarendo in particolare cosa debba intendersi per "nocumento" ai fini della disposizione citata.

« [...] In altri termini, si può dire che, ai fini della disposizione dell'art. 167 in esame, il richiamo al nocumento, evoca ed istituzionalizza il principio di offensività.

Il concetto, del resto, è stato già espresso da questa stessa S.C. (sez. 3^, 28.5.04, Barone, rv. 229472) con decisione che, molto opportunamente, il giudice di primo grado ricorda (f. 8).

In quel caso, infatti, si era sostenuto che la tipizzazione del "nocumento" comportava la non punibilità di violazione alla tutela dei dati personali colà contestata perchè aveva prodotto "un vulnus minimo all'identità personale del soggetto passivo ed alla sua privacy". In quella decisione, si soggiungeva come ulteriore connotazione del vulnus, che esso dovesse essere tale da determinare un danno patrimoniale apprezzabile ma, a ben vedere, si tratta di puntualizzazione eccessivamente restrittiva e dissonante con il concetto - pacifico - che il danno (ed, a fortori, il nocumento) possa essere anche diverso da quello patrimoniale.

Ciè è tanto vero che, in altra recente pronuncia (sez. 3^, 17.2.11, 1^, rv. 249991), questa S.C. ha ravvisato la tutelabilità degli interessi, sicuramente non strettamente economici, dei familiari di una persona, deceduta, la cui immagine in stato morente era stata illecitamente diffusa.

A tale stregua, considerata la molteplicità di forme di manifestazione del "nocumento" che può conseguire ad un illecito trattamento dei dati personali, sembra possibile concludere che, con l'inserimento della condizione obiettiva di punibilità di cui trattasi, il legislatore abbia inteso, in qualche modo, arretrare la soglia dell'intervento penale anche alla semplice esposizione al pericolo di una lesione dell'unico bene protetto dal D.Lgs. n. 196 del 1993 (vale a dire il diritto dell'interessato al controllo sulla circolazione delle sue informazioni personali) formulando la norma come se si fosse al cospetto di un reato di pericolo concreto con dolo di danno.

In altri termini, il reato è perfetto quando la condotta si sostanzia in un trattamento dei dati personali, in violazione di precise disposizioni di legge, effettuato con il fine precipuo di trame un profitto per sè o per altri o di recare ad altri un danno ma la sua punibilità discende dalla ricorrenza di un effettivo "nocumento" (nel senso, cioè, che il profitto conseguito o il danno causato siano apprezzabili sotto più punti di vista).

Si è, in altri termini, al cospetto di un reato di pericolo effettivo e non meramente presunto (così come detto da questa S.C. anche in tema di rivelazione di segreti d'ufficio - S.U. 27.10.11, Casani, rv. 251271) con il risultato che la illecita utilizzazione dei dati personali è punibile, non già in sè e per sè, ma in quanto suscettibile di produrre nocumento (cosa che, ovviamente, deve essere valutata caso per caso) alla persona dell'interessato e/o al suo patrimonio.

Ciò vuoi dire che, per un verso, rimane tutelato l'imputato perchè l'oggettiva inidoneità della condotta a ledere il bene giuridico protetto lo salvaguarda anche nel caso in cui la sua azione sia stata animata da un chiaro intento di profitto, al contempo, però, garantisce la persona offesa con un raggio di azione più ampio, viste e considerate le peculiarità della fattispecie di cui si sta trattando.

Come bene ricorda il giudice di primo grado (f. 8), il nocumento che consegue all'illecito trattamento di dati personali è di vario genere "non solo economico, ma anche più immediatamente personale, quale ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii".

Ma la condotta descritte nell'art. 167 può causare un nocumento anche maggiore e più subdolo, vale a dire la esposizione al pericolo dell'interesse tutelato stante il rischio di finire nelle c.d. blacklist.

[...] Esattamente i ricorrenti ricordano quelle pronunzie di questa S.C. (f. 12 ric.) nelle quali si afferma che la violazione della normativa sulla tutela dei dati personali comporta una sanzione solo quando abbia prodotto un vulnus significativo alla persona offesa" ma, a maggior ragione, cadono in errore quando concludono che esso nella specie non si sarebbe verificato solo perchè le persone sentite sul punto hanno escluso di aver ricevuto un fastidio di qualsivoglia natura dalla percezione di mails della [...] da essi non previamente assentite.

[...] Il rischio, del resto, è in agguato visto che gli operatori del settore telematico mostrano sempre più spesso la tendenza a ribaltare i piani delle responsabilità.

Ciè è emblematico, ad esempio, nell'utilizzo - anche da parte degli odierni ricorrenti - dell'argomento rappresentato dalle c.d.mail "wellcome", vale a dire, quelle missive telematiche, senza alcun contenuto pubblicitario nelle quali sono spiegate all'utente le modalità di utilizzo del pannello di controllo per la gestione delle proprie iscrizioni o cancellazioni e viene preannunciato l'invio periodico di informazioni pubblicitarie.

Si tratta, all'evidenza, di argomento suggestivo e fuorviante perchè finisce per trasferire sull'utente - destinatario della mail indesiderata - l'onere di precisare (con procedure che, magari a chi non è tanto esperto possono anche risultare complicate) che non intende più ricevere altre mails da quel mittente.

Il vero è che la ed mail di wellcome ha un senso solo se rivolta a chi abbia già dato il proprio assenso a ricevere corrispondenza da quel certo mittente e non deve rappresentare l'abile escamotage per chi - come nel caso della [...] - si rivolga a soggetti dei cui dati si era impossessata abusivamente.

E' stato accertato che, nella specie, la newsletter (OMISSIS) della [...], veniva inviata ai destinatari individuati estrapolandoli dalla lista (OMISSIS), senza averne ottenuto il previo assenso ma semplicemente dando loro la possibilità di chiedere la cancellazione dalla lista stessa.

All'evidenza, però, il problema non deve ricadere su chi riceve la newsletter indesiderata (che, se non gradisce, si vede costretto a cancellarsi) ma solo su chi invia la mail (che ha il dovere di accertarsi previamente della disponibilità del destinatario a riceverla acquisendone, come prescritto dalla norma, il consenso).

[...] D'altro canto, deve ribadirsi, questo appare essere l'unico modo di interpretare la disposizione in esame (segnatamente il dato del "nocumento") se si vuole dare effettività alla tutela che la norma intende apprestare specie per coloro che decidano di inserire i propri dati personali in un circuito, come quello telematico, nel quale il rischio della diffusione indiscriminata ed abusiva (altrimenti detto "spamming") è costantemente in agguato [...] ».

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

La legge 166/2009 di conversione, con modificazioni, del decreto-legge 25 settembre 2009, n. 135 (GU n. 274 del 24/11/2009 - Suppl. Ordinario n. 215) introduce sensibili novità in materia di comunicazioni indesiderate, andando a modificare il Codice della privacy e il Codice del Consumo

Le perplessità del Garante per la protezione dei dati personali (comunicato 19/11/2009):

<< Telemarketing: su nuove norme il Garante privacy esprime perplessità e preoccupazione

L'Autorità Garante per la privacy esprime forte preoccupazione riguardo agli effetti negativi che potranno derivare dalle nuove norme in materia di telemarketing introdotte dal cosiddetto "decreto legge Ronchi", appena approvato in via definitiva dalla Camera.

In particolare suscita molta perplessità l'istituzione di un registro pubblico al quale devono iscriversi quanti non vogliono essere disturbati da telefonate pubblicitarie o commerciali, caricando così i cittadini di incombenze e problemi.

Si rischia, inoltre, di causare ulteriori molestie ad abbonati e utenti, che, almeno fino a quando non sarà istituito il registro, si vedranno di nuovo massicciamente contattare da aziende, gestori telefonici, società di servizi con le offerte più diverse.

La norma prevede, peraltro, che possano essere contattati a fini promozionali anche coloro che a suo tempo avevano manifestato la volontà di non ricevere più pubblicità telefonica, provocando in questo modo ulteriori fastidi a tutti, compreso  chi si era già espresso su questa questione.

Sconcertante e inspiegabile appare anche la mancata previsione del parere formale del Garante sull'istituzione del registro, sul cui funzionamento e sulla cui organizzazione l'Autorità viene tuttavia chiamata a vigilare.

Pur riservandosi di verificarne in concreto il funzionamento, l'Autorità esprime infine dubbi sull'effettiva efficacia del registro, il quale peraltro non verrà, come erroneamente riportato da notizie di stampa, gestito direttamente dal Garante, ma da un ente o organismo diverso, ancora da individuare >>.

Il nuovo articolo 130 del Codice della privacy (Comunicazioni indesiderate):

1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato.

2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.

3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articolo 23 e 24 nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo.

3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129, comma 1, mediante l'impiego del telefono per le finalità di cui all'articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della quale è intestatario in un registro pubblico delle opposizioni.

3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell'Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e princìpi generali:

a) attribuzione dell'istituzione e della gestione del registro ad un ente o organismo pubblico titolare di competenze inerenti alla materia;

b) previsione che l'ente o organismo deputato all'istituzione e alla gestione del registro vi provveda con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163 . I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali tariffe;

c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via telematica o telefonica;

d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;

e) disciplina delle tempistiche e delle modalità dell'iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l'iscrizione abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;

f) obbligo per i soggetti che effettuano trattamenti di dati per le finalità di cui all'articolo 7, comma 4, lettera b), di garantire la presentazione dell'identificazione della linea chiamante e di fornire all'utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;

g) previsione che l'iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24 .

3-quater. La vigilanza e il controllo sull'organizzazione e il funzionamento del registro di cui al comma 3-bis e sul trattamento dei dati sono attribuiti al Garante.

4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

5. È vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7.

6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi dell'articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.

Il nuovo articolo 58 del Codice del Consumo (Limiti all'impiego di talune tecniche di comunicazione a distanza):

1. L'impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore, fatta salva la disciplina prevista dall'articolo 130, comma 3-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, per i trattamenti dei dati inclusi negli elenchi di abbonati a disposizione del pubblico.

2. Tecniche di comunicazione a distanza diverse da quelle di cui al comma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal professionista se il consumatore non si dichiara esplicitamente contrario.

Avv. Giuseppe Briganti
avvbriganti.iusreporter.it

dicembre 2009

Risposte
Leggi le altre risposte o proponi un quesito
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità.

La Corte di Cassazione (sez. III penale, sentenza 10 settembre – 8 ottobre 2015, n. 40356) ha confermato la condanna per violenza privata (art. 610 cod. pen.) e trattamento illecito di dati personali (art. 167 Codice privacy) inflitta a un uomo che, al fine di costringere una donna a intrattenere rapporti telematici con lui, aveva dapprima minacciato di divulgare su YouTube, e poi aveva effettivamente pubblicato on-line, ledendo così il diritto alla riservatezza dell’immagine, un video in cui la ragazza compariva con la gonna sollevata.

In particolare la Corte afferma che:

[…] Il delitto di violenza privata si consuma ogni qual volta l’autore con la violenza o con la minaccia lede il diritto del soggetto passivo di autodeterminarsi liberamente, costringendolo a fare, tollerare od omettere qualcosa. Al contrario della minaccia che ha natura formale, la violenza privata è un reato di danno, nel quale la condotta sanzionata si realizza con la coartazione della volontà altrui e l’evento lesivo si concretizza nel comportamento coartato di colui che l’ha subita […]

[…] Nel reato di illecito trattamento di dati personali di cui al D.lgs. 30 giugno 2003, n. 196, art. 167 […] il concetto di nocumento è ben più ampio di quello di danno, volendo esso abbracciare qualsiasi effetto pregiudizievole che possa conseguire alla arbitraria condotta invasiva altrui. Nel richiedere appunto il nocumento, la legge vuole escludere dalla sfera del penalmente rilevante quelle condotte, pure intrusive, che tuttavia siano rimaste del tutto irrilevanti nelle loro conseguenze […]

Studio legale Avv. Giuseppe Briganti

Pesaro-Urbino

Come si legge nella newsletter del Garante privacy n. 346 del primo marzo 2011, il diritto alla riservatezza dei lavoratori deve essere bilanciato con la possibilità per le imprese di tutelarsi nell'ambito di eventuali procedimenti penali.

Il Garante privacy ha avuto occasione di chiarire quanto sopra decidendo sul ricorso di un dipendente, il quale chiedeva al suo ex datore di lavoro di cancellare alcune cartelle personali presenti nel computer portatile restituito dopo il licenziamento, opponendosi ad ogni ulteriore uso dei suoi dati contenuti nel PC. Nelle cartelle personali erano infatti conservate e-mail, fotografie e altra documentazione di esclusiva valenza personale.

Nel corso dell'istruttoria, la società ha però affermato che proprio in quel materiale potevano essere presenti prove della concorrenza sleale posta in essere dal dipendente insieme ad altri colleghi. L'azienda intendeva quindi mettere l'hard disk del computer, senza alterazione alcuna, a disposizione dell'autorità giudiziaria al fine di far valere i propri diritti.

Il Garante privacy, con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti, si legge ancora nella newsletter, non ha accolto la richiesta avanzata dall'interessato di far cancellare i dati, ma ha deciso di inibire alla società l'accesso alle cartelle private poiché il trattamento dei dati personali estranei all'attività lavorativa avrebbe violato i principi di pertinenza e non eccedenza previsti dal Codice della privacy.

L'Autorità ha però riconosciuto il diritto dell'impresa di conservare i file del dipendente al fine di poterli eventualmente presentare come prova nell'ambito del contenzioso penale. L'acquisizione dei dati nel procedimento dovrà comunque avvenire su precisa disposizione del giudice.

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Slide della relazione dell'Avv. Giuseppe Briganti tenuta in occasione dell'evento formativo

"Utilizzo della videosorveglianza e dei nuovi sistemi di controllo a distanza in azienda, rapporti fra Statuto dei lavoratori e privacy"

organizzato da Digitrust presso la sede dell'Ordine dei Dottori Commercialisti ed Esperti Contabili di Pesaro-Urbino in data 10 marzo 2011

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Il Consiglio dei Ministri (n. 83 del 19/02/2010) ha approvato il decreto legislativo che, in attuazione della delega conferita al Governo dalla legge n. 69 del 2009 in materia di processo civile, riforma la disciplina della mediazione finalizzata alla conciliazione di tutte le controversie in materia civile e commerciale, con obiettivi di deflazione dei processi e diffusione della cultura del ricorso a soluzioni alternative. Il decreto, inoltre, adegua la legislazione ad alcune norme comunitarie che disciplinano la mediazione. Il provvedimento ha ricevuto il parere favorevole delle Commissioni parlamentari

Consiglio dei Ministri n.83 del 19/02/2010

19 Febbraio 2010

La Presidenza del Consiglio dei Ministri comunica:

il Consiglio dei Ministri si è riunito oggi, alle ore 10:10 a Palazzo Chigi, sotto la presidenza del Presidente, Silvio Berlusconi.

Segretario, il Sottosegretario di Stato alla Presidenza, Gianni Letta.

Dopo aver ricordato la figura del Sottosegretario alla Presidenza del Consiglio per la semplificazione normativa, Maurizio Balocchi, recentemente scomparso, il Presidente Berlusconi ha annunciato la nomina, in sua vece del dottor Francesco Belsito. Il Consiglio ha condiviso l'iniziativa.

E' stato avviato l'esame di un disegno di legge, su proposta del Ministro della giustizia, Angelino Alfano ed al quale il Governo annette grande importanza, che contiene disposizioni tese a rafforzare il principio di legalità nella pubblica amministrazione attraverso l'ampliamento del novero delle sentenze di condanna ostative alle candidature ad elezioni amministrative e all'assunzione di cariche negli enti locali, nonché modifiche al codice penale in materia di delitti contro la pubblica amministrazione ed aggravamento delle relative pene. Condividendone impianto e finalità, il Consiglio ha deciso di rendere il provvedimento più incisivo integrandolo con disposizioni che perseguano l'obiettivo di una efficienza sempre maggiore nella pubblica amministrazione e negli enti locali. L'esame del disegno di legge sarà pertanto completato nella prossima riunione.

Il Governo ha esaminato e deciso di presentare un emendamento al disegno di legge di conversione del decreto-legge in materia di missioni internazionali di pace, attualmente all'esame del Senato, che consentirà all'Italia di inviare 130 Carabinieri nell'isola di Haiti con il compito di assistere il Governo locale nell'ambito della missione delle Nazioni Unite denominata United Nations Stabilization Mission in Haiti, sulla base di una Risoluzione del Consiglio di sicurezza.

Il Consiglio ha poi approvato i seguenti provvedimenti:

su proposta del Ministro per la pubblica amministrazione e l'innovazione, Renato Brunetta:

- uno schema di decreto legislativo, che integra e modifica il vigente Codice dell'amministrazione digitale, emanato nel 2005, alla luce della rapidissima evoluzione delle tecnologie informatiche che ha reso obsolete alcune definizioni e previsioni normative in esso contenute. Le modifiche organizzative intervenute nelle amministrazioni pubbliche rendono inoltre necessario l'adeguamento ai criteri di efficienza ed efficacia che permeano i nuovi indirizzi strategici del Governo. Obiettivo principale del provvedimento è modernizzare l'apparato pubblico con l'individuazione e la diffusione dei più evoluti strumenti tecnologici in modo da semplificare i rapporti con cittadini ed imprese e fornire risposte sempre più tempestive. Sarà così possibile avvicinare di più la pubblica amministrazione alle esigenze dei cittadini, e, sotto il profilo economico, conseguire un forte recupero di produttività. Sul testo verrà sentito il Garante per la protezione dei dati personali e saranno acquisiti i pareri della Conferenza unificata e delle Commissioni parlamentari di merito;

su proposta del Ministro per le politiche europee, Andrea Ronchi, e del Ministro dell'ambiente e della tutela del territorio e del mare, Stefania Prestigiacomo:

- un decreto legislativo che recepisce la direttiva 2007/60 per disciplinare l'attività di valutazione e di gestione dei rischi di alluvioni, al fine di ridurne le conseguenze per i cittadini e sul territorio, nonché per i beni, l'ambiente, il patrimonio culturale e le attività economiche. Il testo ha ricevuto il parere favorevole delle Commissioni parlamentari;

su proposta dal Ministro della giustizia, Angelino Alfano:

- un decreto legislativo che, in attuazione della delega conferita al Governo dalla legge n. 69 del 2009 in materia di processo civile, riforma la disciplina della mediazione finalizzata alla conciliazione di tutte le controversie in materia civile e commerciale, con obiettivi di deflazione dei processi e diffusione della cultura del ricorso a soluzioni alternative. Il decreto, inoltre, adegua la legislazione ad alcune norme comunitarie che disciplinano la mediazione. Il provvedimento ha ricevuto il parere favorevole delle Commissioni parlamentari;

su proposta del Ministro della salute, Ferruccio Fazio:

- uno schema di disegno di legge che, al fine di consentire una più ampia informazione sugli effetti indesiderati, nonché sulle tipologie e sui materiali usati, istituisce i registri nazionali e regionali degli impianti protesici nel seno. L'obiettivo è fornire un ulteriore strumento di tutela della salute delle persone che fanno ricorso a questo tipo di intervento chirurgico, che recenti statistiche indicano solo in minima parte legato a patologie mediche. Il disegno di legge, sul quale è stato sentito il Garante per la privacy, vieta inoltre il ricorso all'intervento da parte di persone di minore età. Lo schema di disegno di legge verrà trasmesso alla Conferenza Stato-Regioni per il parere;

su proposta del Ministro degli affari esteri, Franco Frattini:

- un disegno di legge per la ratifica e l'esecuzione dell'Accordo di co-produzione cinematografica fra l'Italia e la Cina.

Sono stati poi approvati due stati d'emergenza per i gravi dissesti idrogeologici che hanno interessato la provincia di Messina e la Calabria nei giorni scorsi. Al fine di completare gli interventi di contrasto ai danni da inquinamento di suoli ed acque in Sicilia, nonchè per le avverse condizioni del gennaio 2009 in Calabria, il Consiglio ha prorogato gli stati d'emergenza già dichiarati a tal fine.

Il Ministro dell'interno, Roberto Maroni, ha riferito al Consiglio sulle modalità di svolgimento delle elezioni regionali, provinciali e comunali del 28 e 29 marzo prossimi. Il Consiglio ne ha preso atto.

Il Ministro Maroni ha altresì presentato al Consiglio l'aggiornamento del Rapporto sui risultati del Governo nella lotta alle mafie.

Il Consiglio ha infine deliberato, su proposta del Ministro delle politiche agricole alimentari e forestali, Luca Zaia, la conferma del dottor Arturo SEMERARI a Presidente dell'ISMEA - Istituto di servizi per il mercato agricolo alimentare e la nomina del dottor Tiziano BAGGIO a Presidente dell'UNIRE - Unione nazionale per l'incremento delle razze equine.

Su proposta del Ministro della difesa, Ignazio la Russa, il Consiglio ha altresì deliberato il conferimento dell'incarico di Vicesegretario generale del Ministero al generale di squadra aerea Claudio DEBERTOLIS.

Infine il Consiglio ha esaminato alcune leggi regionali, ai sensi dell'articolo 127 della Costituzione.

La seduta ha avuto termine alle ore 11,45.

Governo Italiano - Comunicati stampa del Consiglio dei Ministri

A cura dell'Avv. Giuseppe Briganti
Avvocato e conciliatore professionista

Per maggiori informazioni sulla mediazione civile e commerciale è possibile contattare l'Avv. Giuseppe Briganti tramite i recapiti indicati nel sito.

Aggiornamenti sulla mediazione sul sito dell'Avv. Giuseppe Briganti

La Guida sulla mediazione civile e commerciale di Iusreporter.it

Sono state pubblicate nella Gazzetta Ufficiale del 3 maggio 2011 due autorizzazioni rilasciate dal Garante privacy con riguardo alla mediazione civile e commerciale:

Autorizzazione al trattamento dei dati sensibili nell'attivita' di mediazione finalizzata alla conciliazione delle controversie civili e commerciali (Deliberazione n. 161/2011)

Autorizzazione al trattamento dei dati a carattere giudiziario correlato all'attivita' di mediazione finalizzata alla conciliazione delle controversie civili e commerciali (Deliberazione n. 162/2011)

A cura dell'Avv. Giuseppe Briganti

Avvocato e mediatore

La Guida sulla mediazione civile e commerciale di Iusreporter.it

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Maggiori informazioni sulla mediazione in materia civile e commerciale - Elenco degli organismi di mediazione nelle cui liste di mediatori l'Avv. Giuseppe Briganti è iscritto

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

L'affissione nella bacheca dell'androne condominiale del dato personale concernente le posizioni di debito del singolo condomino va al di là della giustificata comunicazione dell'informazione ai soggetti interessati nell'ambito della compagine condominiale; tale affissione, infatti, avvenendo in uno spazio accessibile al pubblico, non solo non è necessaria ai fini dell'amministrazione comune, ma, soprattutto, si risolve nella messa a disposizione di quei dati in favore di una serie indeterminata di persone estranee e, quindi, in una indebita diffusione, come tale illecita e fonte di responsabilità civile, ai sensi del Codice della privacy.

Così Cassazione civile  sez. II, 4 gennaio 2011, n. 186:

« [...] 2.1.1. - Occorre premettere che i dati riferiti ai singoli partecipanti al condominio, raccolti ed utilizzati per le finalità riconducibili alla disciplina civilistica di cui all'art. 1117 c.c. e ss., ed alle relative norme di attuazione, ivi compresi quelli relativi alle posizioni debitorie di ciascuno nei confronti della collettività condominiale, costituiscono dati personali, ai sensi dell'art. 4, comma 1, lett. b).

Infatti, l'elemento qualificante dell'informazione, perchè possa essere considerata dato personale, è rappresentato esclusivamente dal fatto che essa si riferisca ad un soggetto determinato o determinabile.

La misura in cui ciascun condomino è tenuto a partecipare alle spese condominiali e i dati relativi alla mora nel pagamento dei contributi, hanno certamente una valenza contabile, di interesse ai fini della gestione collettiva, ma ciò non fa venir meno la loro natura di dati personali, soggetti, in quanto tali, alla disciplina del codice e alle regole generali per il trattamento che esso delinea.

Affinchè questa disciplina sia applicabile, non occorre che il dato sia anche sensibile (ossia idoneo a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, ovvero, ancora, idoneo a rivelare lo stato di salute e la vita sessuale), giacchè l'appartenenza dell'informazione alla sottoclasse dei dati sensibili comporta la previsione di una disciplina di tutela e di garanzia ulteriore contro i rischi della circolazione (v., ad esempio, l'art. 26 del codice), in considerazione della intrinseca attitudine di questi dati ad essere strumentalizzati per fini discriminatori.

2.1.2. - In ambito condominiale, le informazioni relative al riparto delle spese, all'entità del contributo dovuto da ciascuno e alla mora nel pagamento degli oneri pregressi possono senz' altro essere oggetto di trattamento, anche senza il consenso dell'interessato, come si ricava dall'art. 24 del codice.

Difatti, le attività di gestione ed amministrazione delle parti comuni implicano che l'amministratore possa procedere alla raccolta, registrazione, conservazione, elaborazione e selezione delle informazioni concernenti le posizioni di dare ed avere dei singoli partecipanti al condominio. Del pari, ragioni di buon andamento e di trasparenza giustificano una comunicazione di questi dati a tutti i condomini, non solo su iniziativa dell'amministratore in sede di rendiconto annuale o di assemblea ovvero nell'ambito delle informazioni periodiche trasmesse nell'assolvimento degli obblighi scaturenti dal mandato ricevuto, ma anche su richiesta di ciascun condomino, essendo questi investito di un potere di vigilanza e di controllo sull'attività di gestione delle cose, dei servizi e degli impianti comuni, che lo abilita a domandare in ogni tempo all'amministratore informazioni sulla situazione contabile del condominio, comprese quelle che riguardano eventuali posizioni debitorie degli altri partecipanti.

Il trattamento dei dati personali, per essere lecito, deve tuttavia avvenire nell'osservanza dei principi di proporzionalità, di pertinenza e di non eccedenza rispetto agli scopi per i quali i dati stessi sono raccolti (art. 11 del codice).

Sull'amministratore del condominio, pertanto, grava il dovere di adottare le opportune cautele per evitare l'accesso a quei dati da parte di persone estranee al condominio.

Ora, l'affissione nella bacheca dell'androne condominiale del dato personale concernente le posizioni di debito del singolo condomino va al di là della giustificata comunicazione dell'informazione ai soggetti interessati nell'ambito della compagine condominiale; tale affissione, infatti, avvenendo in uno spazio accessibile al pubblico, non solo non è necessaria ai fini dell'amministrazione comune, ma, soprattutto, si risolve nella messa a disposizione di quei dati in favore di una serie indeterminata di persone estranee e, quindi, in una indebita diffusione, come tale illecita e fonte di responsabilità civile, ai sensi degli artt. 11 e 15 del codice [...] »

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it

Giurisprudenza
La presente sezione ha ad oggetto sentenze e altri provvedimenti venuti in rilievo relativamente ai casi e alle questioni trattati dallo studio legale o particolarmente interessanti con riferimento alle materie trattate dallo Studio legale

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

L'Autorità Garante per la protezione dei dati personali ha dichiarato illecito il trattamento di dati effettuato da un ente con il questionario somministrato, nei mesi scorsi, ai candidati che partecipavano alla selezione per il reclutamento di un dirigente tecnico. Parimenti illecito è stato definito il trattamento dei dati operato dalla società che ha curato la selezione e dalla psicologa incaricata della raccolta dei profili.

Il provvedimento dell'Autorità (relatore Mauro Paissan) del 21 luglio 2011 ha vietato con effetto immediato l'uso dei dati personali ricavati dalla somministrazione dei test.

Nel corso dell'istruttoria, avviata nel maggio scorso sulla base di notizie di stampa, il Garante ha accertato che numerose domande contenute nel questionario riguardavano aspetti anche intimi della sfera personale dei candidati, relativi ai rapporti affettivi, al grado di stabilità degli stessi, alla vita sessuale (con richieste su eventuali problemi o disturbi), condizioni di salute psico-fisica, eventuali interruzioni di gravidanza, tentativi di suicidio etc..

Tale trattamento dei dati è illecito, rileva il Garante, innanzitutto perché in contrasto con l'art.8 dello Statuto dei lavoratori, che vieta al datore di lavoro di fare indagini ai fini dell'assunzione sulle opinioni religiose, politiche e sindacali del lavoratore nonché su fatti non rilevanti per la valutazione dell'attitudine professionale, e perché in contrasto con l'art.10 del decreto legislativo n.276 del 2003 che vieta alle agenzie di lavoro o ai soggetti che si occupano di preselezione di lavoratori di effettuare indagini relative alle convinzioni personali, al credo religioso, all'orientamento sessuale, allo stato di gravidanza, allo stato di salute etc..

La raccolta di questi dati personali risulta inoltre illecita perché effettuata in violazione dei principi di indispensabilità, pertinenza e non eccedenza fissati dal Codice privacy.

Il trattamento di questo tipo di dati, infine, non è tra quelli contemplati nell'autorizzazione generale del Garante sull'uso dei dati sensibili e giudiziari.

Il Garante ha disposto la trasmissione del provvedimento al Ministero del lavoro e delle politiche sociali nonché all'autorità giudiziaria per le valutazioni di competenza, riservandosi anche di valutare l'apertura di un procedimento per l'applicazione di sanzioni amministrative.

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti,

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

gennaio 2009
Altre risposte in tema di privacy

Risposte
Leggi le altre risposte o proponi un quesito
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Procedure semplificate per i mediatori, elevate garanzie per i dati sensibili e giudiziari delle parti

« Con un provvedimento e due autorizzazioni "ad hoc" il Garante privacy ha semplificato procedure e  adempimenti degli organismi di mediazione civile pubblici e privati che trattano dati sensibili e giudiziari mantenendo comunque elevato il livello di garanzia per i diritti e le libertà fondamentali delle parti coinvolte.

La mediazione delle controversie civili è una procedura resa obbligatoria di recente e affidata ad organismi iscritti in un apposito registro presso il Ministero della giustizia, da esperirsi prima di esercitare in giudizio un'azione in una serie di materie di particolare rilevanza quali: condominio, eredità, locazione, risarcimento del danno da incidenti stradali, diffamazione a mezzo stampa, contratti assicurativi, bancari, finanziari.

L'intervento del Garante si è reso necessario perché la mediazione comporta l'uso dei dati personali delle parti che si avvalgono della conciliazione e degli altri eventuali protagonisti coinvolti nel procedimento, anche di tipo sensibile (ad es. richieste di risarcimento del danno  da responsabilità medica o diffamazione) e giudiziario (ad es. dati relativi a sentenze di condanna penale in base alle quali si può chiedere il risarcimento).

Per essere in regola con la normativa i soggetti pubblici che intendono costituire un organismo di mediazione dovranno quindi rispettare la normativa sulla privacy e aggiungere al proprio regolamento per il trattamento dei dati sensibili e giudiziari un documento predisposto dall'Autorità in cui sono individuati i tipi di dati (stato di salute, vita sessuale, convinzioni politiche, condanne ecc.) e le operazioni eseguibili (raccolta presso l'interessato o presso terzi, elaborazione in forma cartacea o automatizzata ecc.). Il regolamento, integrato dal documento, non dovrà essere così sottoposto nuovamente al parere del Garante.

Le due autorizzazioni, valide fino al 30 giugno 2012, fissano i principi e le misure per il corretto trattamento dei dati. La prima dà il via libera agli organismi privati di mediazione a trattare i dati di natura sensibile delle parti coinvolte nella controversia oggetto di conciliazione.

La seconda riguarda i dati giudiziari e autorizza gli organismi di mediazione pubblici e privati, il Ministero della giustizia e gli enti di formazione per la mediazione a trattare tali tipi di dati per la verifica dei requisiti di onorabilità di mediatori, soci, associati, rappresentanti degli organismi e degli enti privati ».

Fonte: www.garanteprivacy.it

A cura dell'Avv. Giuseppe Briganti

Avvocato e mediatore

La Guida sulla mediazione civile e commerciale di Iusreporter.it

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Maggiori informazioni sulla mediazione in materia civile e commerciale - Elenco degli organismi di mediazione nelle cui liste di mediatori l'Avv. Giuseppe Briganti è iscritto

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Come si legge nella Relazione 2010 del Garante privacy, in misura superiore rispetto all'anno precedente, nel 2010 sono pervenute all'Autorità segnalazioni con le quali si è lamentato il trattamento illecito dei dati personali su Facebook.

Il Garante privacy, pur nella consapevolezza dei limiti territoriali dell'applicazione della normativa italiana, ha contattato Facebook in un'ottica di collaborazione, sollevando alcune problematiche.

L'Autorità ha richiesto in particolare informazioni relative all'avvenuta disattivazione di tre profili, lamentata dagli interessanti.

Nel primo caso Facebook ha risposto elencando le ipotesi in cui provvede a disattivare i profili e ha sostenuto di non potere riattivare l'account del segnalante, non riuscendo a individuarlo (Nota 11 ottobre 2010).

Nel secondo caso ha risposto che il segnalante aveva commesso una violazione delle condizioni contrattuali di Facebook (Nota 15 ottobre 2010).

Nell'ultimo caso, invece, il profilo Facebook è stato riattivato (Nota 30 novembre 2010).

Il Garante, si legge ancora nella Relazione, ha inoltre esaminato diverse segnalazioni con le quali alcuni utenti italiani non iscritti a Facebook hanno lamentato la ricezione di e-mail indesiderate da parte del social network (Nota 11 ottobre 2010).

Dagli accertamenti effettuati, illustra il Garante, è risultato che Facebook mette a disposizione degli utenti iscritti la possibilità di usare uno strumento, denominato "friend-finder", attraverso il quale, in modo automatico, questi possono inserire tutti i contatti presenti nella propria casella di posta elettronica o nelle rubriche appartenenti ad altri servizi di messaggistica istantanea. A seguito di questo inserimento, Facebook provvede ad inviare a questi indirizzi e-mail messaggi di invito per l'iscrizione al social network, elaborando, automaticamente, un unico elenco, contenente tutti i nominativi degli utenti già iscritti al social network e che hanno inserito un medesimo indirizzo di posta elettronica. Pertanto, i contatti suggeriti agli utenti non iscritti, mediante l'e-mail inviata a costoro da Facebook, corrispondono a tali persone, già iscritte al social network, che hanno inserito l'indirizzo di posta elettronica dell'utente non iscritto nei database di Facebook.

Periodicamente, il social network invia una nuova e-mail per ricordare di iscriversi, aggiornando anche l'elenco dei "potenziali amici" individuati da Facebook.

Il Garante ha rilevato che si verifica in tal modo non soltanto un'attività di spam da parte del social network, ma anche un'attività di profilazione dell'utente non iscritto, cui sono infatti associati periodicamente una serie di "potenziali amici" tra gli utenti della piattaforma.

In un altro caso, il Garante privacy ha rigettato un ricorso nel quale una persona iscritta a Facebook aveva lamentato di essere stata "taggata" da un'altra, in particolare mediante una foto utilizzata per una campagna di sensibilizzazione sul tema dell'AIDS e dell'omosessualità, così svelando l'orientamento sessuale di tutti i soggetti "taggati", compreso il proprio.

Il Garante ha osservato in proposito che, poiché la pagina web in cui risultava la segnalante non era stata oggetto di diffusione o di comunicazione sistematica, tale utilizzo della foto doveva considerarsi effettuato per fini esclusivamente personali (art. 5, c. 3, del Codice della privacy) e non era pertanto soggetto all'applicazione delle norme del Codice della privacy (Provv. 18 febbraio 2010 [doc. web n. 1712776]).

Il Garante è intervenuto anche riguardo alla segnalazione di un lavoratore licenziato dalla propria società a causa dell'utilizzo che il medesimo aveva fatto di Facebook.

In particolare, si legge nella Relazione, il lavoratore aveva lamentato l'utilizzo da parte della società di alcune fotografie, scattate sul luogo di lavoro e sul cui sfondo erano visibili disegni, a detta dell'azienda, coperti da segreto industriale, tratte dal proprio profilo Facebook.

Il lavoratore segnalante aveva affermato la illiceità del trattamento dei dati in questione, sulla base del carattere "chiuso" del suo profilo, riservato a una cerchia ristretta di utenti, tra i quali non rientrava il datore di lavoro, e dell'assenza del consenso dell'interessato ai sensi dell'art. 23 del Codice della privacy.

Dall'istruttoria svolta dal Garante è emersa invece la possibilità per il datore di lavoro di utilizzare lecitamente le foto in questione, in quanto la consultazione era consentita non solo ai contatti scelti dal dipendente (i cd. "amici"), ma a una comunità più vasta, i cd. "amici degli amici", cioè ai contatti scelti dagli amici dell'interessato, quindi a una cerchia di utenti sostanzialmente indeterminabile (Nota 26 agosto 2010).

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la protezione dei dati personali, come si legge nella newsletter dell'Autorità, è recentemente intervenuto per bloccare le videoriprese effettuate dalla titolare di una ditta che aveva installato una webcam all'interno di due negozi a scopo di sicurezza, ma senza rispettare le norme dello Statuto dei lavoratori che vietano il controllo a distanza dei dipendenti.

Intervenuto a seguito della segnalazione di un ex addetta ai punti vendita, il Garante ha accertato che il dispositivo era stato installato senza che vi fossero cartelli che ne segnalassero la presenza e soprattutto senza rispettare le procedure previste a tutela dei lavoratori.

Norme che obbligano il datore di lavoro - nei casi in cui per specifiche esigenze organizzative e di sicurezza abbia necessità di istallare nello spazio lavorativo impianti audiovisivi o altre apparecchiature analoghe - ad un previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna, o a ricorrere infine all'Ispettorato del lavoro.

La titolare della ditta si era invece limitata ad informare sommariamente i lavoratori della presenza delle telecamere.

L'Autorità ha osservato, inoltre, si legge ancora nella newsletter, che anche laddove vi fosse un uso sporadico delle telecamere, come nel caso di uno dei due negozi, la giurisprudenza della Cassazione afferma che il divieto di controllo a distanza dell'attività lavorativa non è escluso dal fatto che esso "sia destinato ad essere discontinuo perché esercitato in locali dove i lavoratori possono trovarsi solo saltuariamente".

Il Garante, con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti, ha dunque disposto il blocco del trattamento illecito in attesa dell'eventuale attuazione delle procedure previste dallo Statuto ed ha trasmesso all'autorità giudiziaria copia degli atti per l'accertamento di eventuali profili penali.

Fonte: www.garanteprivacy.it, newsletter n. 340 del 19 luglio 2010

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

 

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

« [...] nella diffusione di notizie idonee a rivelare lo stato di salute di una persona devono essere osservate particolari garanzie a tutela della persona medesima (art. 139, comma 1, del d.lg. 30 giugno 2003, n. 196 (di seguito "Codice"); art. 5 del codice di deontologia relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica, allegato A1 del Codice; provvedimenti del Garante del 7 febbraio 2002, del 23 novembre 2005, del 29 novembre 2007, del 6 dicembre 2007, del 5 marzo 2008 rispettivamente doc. web nn. 1064770, 1225898, 1478083, 1478059 e 1523741); considerato, in particolare, che il giornalista nel far riferimento allo stato di salute di una determinata persona, identificata o identificabile, è tenuto a rispettarne la dignità, il diritto alla riservatezza e al decoro personale (art. 10 del codice di deontologia cit.);

[...] la diffusione delle generalità dei soggetti interessati, (seppur con la predetta, successiva, indicazione dell'iniziale del nome di battesimo), sebbene riferita a notizie di rilevante interesse pubblico, risulta contrastante con i principi in materia di trattamento dei dati a fini giornalistici e altre manifestazioni del pensiero, tenuto conto, in particolare, sia del generale principio della non eccedenza del dato oggetto del trattamento rispetto alle finalità per le quali lo stesso è raccolto e trattato (art. 11, lett d) del Codice), sia del principio dell'"essenzialità dell'informazione riguardo a fatti di interesse pubblico" richiamato nell'art. 137 comma 3 del Codice, nonché negli artt. 5, 6, e 8, comma 1, del menzionato codice di deontologia;

[...] la diffusione nell'articolo in esame dei dati personali delle persone decedute con le predette modalità, sebbene riferita ad episodi che potevano essere oggetto, in termini più generali, di una legittima attività di cronaca, ha determinato e determina una violazione della sfera di riservatezza, del decoro e della dignità delle stesse [...] »

Provvedimento Garante per la protezione dei dati personali 01/07/2010 [doc. web n. 1738303]

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

 
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Nel dare notizia di vicende riguardanti abusi sessuali occorre evitare di rendere identificabile la vittima, ad esempio indicando i rapporti di parentela tra i protagonisti della vicenda. Tanto più se si tratta di un minore.

Lo ha affermato il Garante per la privacy (comunicato del 25/06/2010), che è intervenuto nei confronti di alcune testate giornalistiche per bloccare l'ulteriore pubblicazione di informazioni riguardanti un presunto caso di abuso sessuale in ambito famigliare.

Nel riportare la notizia, le testate interessate hanno infatti individuato precisi rapporti di parentela tra il supposto autore dell'abuso e la vittima, rendendo così quest'ultima identificabile.

Il Garante ricorda che, pur nel legittimo diritto di cronaca riguardo a fatti di interesse pubblico, è doveroso che i media si comportino con responsabilità evitando di pubblicare informazioni che ledano la riservatezza e danneggino ulteriormente le vittime di abuso. E questo tanto più se si tratta, come nella vicenda in questione, di una persona minore.

Il diritto alla riservatezza del minore, specialmente quando riguardi una vittima dell'abuso, infatti - sottolinea l'Autorità - è sempre primario rispetto al diritto di cronaca, e questo vale anche nel caso in cui l'identità sia rivelata da fonti ufficiali o perfino da fonti vicine alla famiglia.

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

E' entrato in vigore il primo giugno 2012 il decreto legislativo 28 maggio 2012, n. 69 di recepimento della direttiva e-privacy ("Modifiche al decreto legislativo 30  giugno  2003,  n.  196,  recante codice in materia di protezione  dei  dati  personali  in  attuazione delle direttive 2009/136/CE,  in  materia  di  trattamento  dei  dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche,  e  2009/140/CE  in  materia  di  reti  e  servizi   di comunicazione elettronica e del regolamento (CE) n.  2006/2004  sulla cooperazione tra le autorita' nazionali responsabili  dell'esecuzione della normativa a tutela dei consumatori").

Si segnala in particolare il nuovo art. 32-bis del Codice della privacy, introdotto dal d.lgs. 69/2012:

« 1.  In  caso  di  violazione  di  dati  personali,  il
fornitore di servizi  di  comunicazione  elettronica  accessibili  al
pubblico comunica senza indebiti ritardi detta violazione al Garante.
 
2. Quando la violazione  di  dati  personali  rischia  di  arrecare
pregiudizio ai dati personali o alla riservatezza di contraente o  di
altra persona, il fornitore comunica anche agli stessi senza  ritardo
l'avvenuta violazione.
 
3. La comunicazione di cui al comma 2 non e' dovuta se il fornitore
ha dimostrato al Garante di aver utilizzato  misure  tecnologiche  di
protezione che rendono i dati  inintelligibili  a  chiunque  non  sia
autorizzato ad accedervi e che tali misure erano state  applicate  ai
dati oggetto della violazione.
 
4. Ove il fornitore non vi abbia gia' provveduto, il Garante  puo',
considerate le presumibili ripercussioni negative  della  violazione,
obbligare lo stesso a comunicare al contraente  o  ad  altra  persona
l'avvenuta violazione.
 
5. La comunicazione al  contraente  o  ad  altra  persona  contiene
almeno  una  descrizione  della  natura  della  violazione  di   dati
personali e i punti  di  contatto  presso  cui  si  possono  ottenere
maggiori informazioni ed elenca le misure raccomandate per  attenuare
i  possibili  effetti  pregiudizievoli  della  violazione   di   dati
personali.  La  comunicazione  al  Garante  descrive,   inoltre,   le
conseguenze della violazione di dati personali e le misure proposte o
adottate dal fornitore per porvi rimedio.
 
6. Il Garante puo' emanare, con proprio provvedimento, orientamenti
e istruzioni in relazione alle circostanze in  cui  il  fornitore  ha
l'obbligo di comunicare le violazioni di dati personali,  al  formato
applicabile a tale comunicazione, nonche' alle relative modalita'  di
effettuazione,  tenuto  conto  delle  eventuali  misure  tecniche  di
attuazione adottate dalla Commissione europea ai sensi  dell'articolo
4, paragrafo 5, della direttiva  2002/58/CE,  come  modificata  dalla
direttiva 2009/136/CE.
 
7. I fornitori tengono un aggiornato inventario delle violazioni di
dati personali, ivi incluse le circostanze in cui si sono verificate,
le loro conseguenze e i provvedimenti adottati per porvi rimedio,  in
modo da  consentire  al  Garante  di  verificare  il  rispetto  delle
disposizioni  del   presente   articolo.   Nell'inventario   figurano
unicamente le informazioni necessarie a tal fine.
 
8. Nel caso in cui il fornitore di  un  servizio  di  comunicazione
elettronica accessibile al pubblico affidi l'erogazione del  predetto
servizio ad altri soggetti, gli stessi sono tenuti  a  comunicare  al
fornitore senza indebito ritardo tutti gli eventi e  le  informazioni
necessarie a consentire a quest'ultimo di effettuare gli  adempimenti
di cui al presente articolo ».

Leggi il testo completo del d.lgs. 69/2012 su IRDoc





A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il comunicato del Garante privacy del 20/02/2012:

« Più tutele per chi è iscritto a social network dedicati alla salute, partecipa a blog e a forum di discussione o segue siti web che si occupano esclusivamente di tematiche sanitarie. Da oggi in poi i gestori di questi siti saranno tenuti a fornire agli utenti una specifica "avvertenza", che informi sui rischi di esporsi in rete con la propria patologia.

É quanto stabiliscono le "Linee guida" per i siti web dedicati alla salute (che non riguardano comunque i servizi di assistenza sanitaria on line e la telemedicina) varate dal Garante privacy e pubblicata oggi sulla G.U.

Il ricorso sempre più crescente alla rete da parte di persone che, nell'ambio di siti web, blog, forum, social network si scambiano informazioni, inviano commenti, chiedono consigli o consulenze, presenta, insieme ad un innegabile vantaggio per gli utenti, anche potenziali rischi connessi alla pubblicazione e alla diffusione on line dei dati relativi alla loro salute.

In base alle Linee guida del Garante, i gestori di siti, blog, forum, social network dedicati a tematiche relative alla salute, che prevedano o meno la registrazione degli utenti, dovranno inserire nella loro home page una specifica "avvertenza di rischio", il cui scopo sarà quello di richiamare l'attenzione sui rischi connessi al fatto di rendersi identificabili sul web in relazione alla propria patologia. E questo anche alla luce della possibilità che tali informazioni possano essere indicizzate dai motori di ricerca generalisti o conosciuti dalla generalità degli utenti Internet e non dai soli iscritti al sito.

L'utente, così avvisato, potrà fare attenzione e decidere in modo più consapevole se inserire o meno dati personali (es. nome, cognome e-mail etc.) che possano rivelare, anche indirettamente, la propria identità o quella di terzi, così come se pubblicare foto o video che consentano di rendere identificabili persone e luoghi. L'utente sarà invitato a dare conferma di aver preso visione dell' "avvertenza di rischio", barrando un'apposita casella.

I siti che prevedono la registrazione saranno tenuti anche ad informare gli utenti sugli scopi per i quali i dati sono richiesti, sulle modalità del loro trattamento, sui tempi di conservazione, sul diritto di cancellare, aggiornare, rettificare o integrare i dati così raccolti, come previsto dal Codice privacy.

Il Garante ha stabilito, infine, che i dati raccolti dai gestori dei siti dovranno essere protetti da rigorose misure di sicurezza, dovranno restare riservati e non essere comunicati o diffusi a terzi, e dovranno essere trattati solo da personale autorizzato ».

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la protezione dei dati personali ha avviato una consultazione pubblica in materia di cookie e privacy: entro 90 giorni i contributi di gestori e consumatori su informativa per gli utenti.

Dal comunicato del Garante (www.garanteprivacy.it):

« Chi naviga on line potrà presto decidere in maniera libera e consapevole se far usare o no le informazioni sui siti visitati per ricevere pubblicità mirata. Lo aiuterà un'informativa semplice, chiara e di immediata comprensione sull'uso dei cookie che il Garante sta mettendo a punto.

Sulla base di quanto previsto dalla direttiva europea 2009/136, recepita di recente in Italia, l'Autorità ha infatti avviato una consultazione pubblica (Pubblicato sulla Gazzetta Ufficiale n. 295 del 19 dicembre 2012) diretta a tutti i gestori, grandi e piccoli, dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti.

Per fornire prime indicazioni sul tema e per agevolare l'elaborazione dei contributi e l'individuazione di una valida ed efficace informativa l'Autorità ha messo a punto, disponibile sul proprio sito, un documento contenente alcuni chiarimenti sulle principali questioni in materia di cookie (FAQ).

I cookie - si legge nel documento - sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook ecc.) dell'utente, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. Sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni riguardanti la navigazione on line (senza l'uso dei cookie "tecnici" alcune operazioni risulterebbero molto complesse o impossibili da eseguire), ma sono molto spesso utilizzati dai siti per raccogliere importanti e delicate informazioni all'insaputa degli utenti sui loro gusti, sulle loro abitudini, sulle loro scelte.

Con le nuove regole europee - spiega l'Autorità - i cookie "tecnici" possono essere utilizzati anche senza consenso, ma rimane naturalmente fermo per i gestori dei siti l'obbligo di informare gli utenti della loro presenza in maniera il più possibile semplice, chiara e comprensibile.

E' obbligatorio invece - sottolinea l'Autorità - il consenso preventivo e informato dell'utente per tutti i cookie "non tecnici", quelli cioè che, monitorando i siti visitati, raccolgono dati personali che consentono la costruzione di un dettagliato profilo del consumatore, e che proprio per questo motivo presentano maggiori criticità per la privacy degli utenti.

I gestori dei siti non possono, dunque, installare cookie per finalità di profilazione e marketing sui terminali degli utenti senza averli prima adeguatamente informati e aver acquisito un valido consenso.

La consultazione avviata dal Garante si concluderà entro 90 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale. Le proposte relative all'informativa semplificata potranno essere inviate all'Autorità per posta o in via telematica alla e-mail consultazionecookie@gpdp.it.

Il Garante si è riservato di valutare anche eventuali proposte che potrebbero pervenire da  università e centri di ricerca ».

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino




Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante privacy (newsletter 345 del 4 febbraio 2011) comunica che è stato varato il piano ispettivo per il primo semestre 2011. Nello scorso anno risultano applicate sanzioni per circa 3 milioni e 800 mila euro.

Si legge nella newsletter:

« Investigatori privati, servizi informatici (in particolare quelli forniti mediante il cosiddetto "cloud computing"), istituti bancari e carte di credito, marketing (anche via sms ed e-mail), enti previdenziali. E' su questi delicati settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani che si concentrerà l'attività di accertamento del Garante per la privacy nei primi sei mesi dell'anno.

Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico che in quello privato, anche riguardo alle informazioni da fornire ai cittadini sull'uso dei loro dati personali, all'adozione delle misure di sicurezza, alla durata di conservazione dei dati, al consenso da richiedere nei casi previsti dalla legge, all'obbligo di notificazione al Garante.

Oltre 250 gli accertamenti ispettivi programmati che verranno effettuati come di consueto anche in collaborazione con le Unità Speciali della Guardia di Finanza - Nucleo privacy. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati ».

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante privacy, come reso noto con la newsletter dell'Autorità del 7 giugno 2012, ha avuto occasione di precisare che i funzionari pubblici e i pubblici ufficiali, compresi i rappresentanti delle forze di polizia impegnati in operazioni di controllo o presenti in manifestazioni o  avvenimenti pubblici, possono essere fotografati e filmati, purché ciò non sia espressamente vietato dall'Autorità pubblica.

L'uso  delle immagini e delle riprese deve d'altra parte rispettare i limiti e le condizioni dettate dal Codice in materia di protezione dei dati personali.

La precisazione si è avuta in risposta a un quesito del Ministero dell'interno relativo alla liceità dell'acquisizione e della diffusione in rete di immagini riprese da privati nel corso di controlli della polizia stradale.

Le immagini e i filmati, osserva il Garante, rientrano infatti nella definizione di dato personale, e sia la loro acquisizione che ogni forma di loro diffusione costituiscono un trattamento di dati al quale si applica la disciplina del Codice privacy.

Il Garante ritiene generalmente lecita l'acquisizione e l'uso di foto e video effettuati nel corso di fatti, avvenimenti o cerimonie pubbliche, relativi anche a pubblici ufficiali, funzionari pubblici o incaricati di pubblico servizio nell'esercizio delle loro funzioni, esclusi  solo i casi in cui, nei modi e nelle forme previste dalla legge, l'Autorità pubblica lo vieti.

Il Garante ricorda però che, per quanto riguarda l'utilizzazione delle immagini, è necessario prestare particolare attenzione alle condizioni e ai limiti posti dal Codice privacy a seconda che si tratti di circolazione di dati tra un numero ristretto di persone,  diffusione in rete o loro utilizzo a fini di giustizia.

Il Garante sottolinea, infine, che le persone riprese che ritengono lesi i propri diritti  possono sempre far ricorso agli ordinari rimedi previsti dall'ordinamento sia in sede civile che penale.

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il testo della lettera:

«Caro Ministro,

gli ultimi terribili casi di giovanissimi che hanno deciso di porre fine alla loro vita per essersi sentiti violati nella loro dignità da insulti e offese diffusi on line così laceranti per loro da indurli a questo gesto estremo, pongono con forza la necessità inderogabile di affrontare il tema dell'uso responsabile dei social network.

Questo rappresenta oggi per genitori, istituzioni scolastiche, organismi di garanzia e media, uno dei primi obiettivi da perseguire a salvaguardia innanzitutto dei nostri ragazzi.

Le nuove forme di comunicazione e condivisione, l'esito forse più rivoluzionario di cambiamento nei rapporti sociali, che giovani e meno giovani usano per dialogare, scambiarsi opinioni, cercare informazioni, esprimere idee ed emozioni, lavorare, essere in contatto con il mondo mettono sempre più in luce, brutalmente, anche un loro "lato oscuro" che è bene conoscere e prevenire. Lo sviluppo tecnologico è sempre connotato dall'endiadi "opportunità-rischi", ma mai come con l'avvento della Rete questa doppia faccia si mostra in tutta la sua evidenza. Non si vuole certo demonizzare i social network, ma evidenziare il bisogno di usarli senza nuocere a se stessi e agli altri.

Non si tratta solo dei pericoli legati all'autoesposizione, al divulgare senza remore anche gli aspetti più intimi, al "postare" foto e video di cui soprattutto i giovani potrebbero pentirsi in futuro. I rischi che stiamo sperimentando riguardano l'enorme potenziale di danno che, come nel caso del cyberbullismo, i nuovi strumenti di comunicazione, proprio per la loro stessa primaria qualità di raggiungere con un click un numero elevatissimo di persone, portano con sé.

È con questa preoccupazione, che so pienamente condivisa, che mi rivolgo a Lei, Signor Ministro, e a tutta la realtà della scuola, affinché il tema della tutela della riservatezza e della dignità delle persone nel mondo on line venga assunto come momento imprescindibile di formazione dei nostri giovani.

È aiutandoli a conoscere realmente gli strumenti che abitualmente usano, ma di cui spesso ignorano i pericoli, che potremmo garantire loro un'autentica capacità di costruire se stessi, di sviluppare in libertà e armonia la loro identità.

Il Garante per la privacy avverte forte l'esigenza di unire gli sforzi in una battaglia che deve vederci prevalere: quella per garantire il rispetto a ognuno di noi, a partire dai più giovani che sono i più esposti ai pericoli di una "terra incognita" qual è spesso Internet, e la cui fragilità è ora accentuata dalle sfide tecnologiche che stanno cambiando il nostro modo di essere.

La Sua adesione all'iniziativa dedicata proprio ai social network e al corretto uso delle nuove tecnologie, con la quale la nostra Autorità intende quest'anno celebrare il prossimo 28 gennaio la Giornata europea della protezione dei dati personali, è lì del resto a testimoniare, oltre che la Sua personale sensibilità sul tema e il concreto impegno fin qui prodigato, anche questo comune obiettivo.

Quella del 28 gennaio sarà anche l'occasione per il Garante, da sempre impegnato a sensibilizzare i giovani sul valore della protezione dei dati e sulla cultura del rispetto, di mettere a loro disposizione sul sito istituzionale dell'Autorità un video di "istruzioni per l'uso" dei social network. L'intento è quello di aiutare i nostri ragazzi a servirsi di questi strumenti di libertà in maniera consapevole e sicura.

Roma, 9 gennaio 2013

Antonello Soro»

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Recentemente pubblicato un e-book dell'Avv. Giuseppe Briganti dal titolo

Tutela del consumatore on-line

Presentazione dell'opera

Il presente e-book si pone come obiettivo specifico quello di illustrare, in particolare, la tutela offerta al consumatore dal Codice del Consumo sia con riferimento ai contratti a distanza in generale, soffermandosi sul diritto di recesso, sia con riferimento alla commercializzazione a distanza di servizi finanziari ai consumatori.
Saranno inoltre prese in esame le norme che mirano a proteggere il consumatore dal noto
quanto fastidioso fenomeno dello spamming, di cui ciascuno di noi fa purtroppo quotidianamente
esperienza ogni qualvolta accede alla propria casella di posta elettronica.
Dato lo stretto legame, sarà altresì per sommi capi esaminata la disciplina dettata per il commercio elettronico dal decreto legislativo 70/2003, con particolare riferimento agli obblighi di informazione posti a carico del prestatore del servizio della società dell'informazione a tutela del consumatore on-line.
Poiché, infine, le liti del commercio elettronico che coinvolgono i consumatori presentano spesso caratteri tali - modesto valore economico ed elementi di internazionalità - da rendere difficoltosa la via giudiziale per la parte debole, ci si soffermerà brevemente sui modi alternativi di risoluzione delle controversie in ambito italiano ed europeo, con particolare riferimento alla recente introduzione nel nostro Paese della mediazione finalizzata alla conciliazione delle controversie in materia civile e commerciale.

L'autore

Giuseppe Briganti è avvocato in Urbino e conciliatore. Dal 2001 cura il sito web giuridico www.iusreporter.it. Si occupa in particolare di diritto dell'Internet, privacy, diritto dei consumatori e ADR, con particolare riferimento alla mediazione. E' autore di numerose pubblicazioni specifiche in materia, sia on-line che cartacee. Ha svolto attività di docenza in materia di informatica giuridica presso la Scuola di specializzazione per le professioni legali dell'Università di Urbino.

La collana

Indice del volume

Prefazione ... 3
Capitolo I - I contratti a distanza ... 4
Capitolo II - Il diritto di recesso nei contratti a distanza ... 10
Capitolo III - Comunicazioni indesiderate e spamming ... 13
Capitolo IV - Il commercio elettronico ... 17
Capitolo V - La commercializzazione a distanza di servizi finanziari ai consumatori ... 24
Capitolo VI - Risoluzione alternativa delle controversie e consumatore on-line, con particolare riferimento alla mediazione ... 31

Titolo
Tutela del consumatore on line

Autore
Giuseppe Briganti

Collana
Altalex eBook "Informatica Giuridica"

Edizione
2010

Prezzo

Euro 5,00

L'e-book può essere acquistato su Altalex


Elenco completo pubblicazioni Avv. Giuseppe Briganti



Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Il Codice della privacy consente ai clienti delle banche l'accesso solo ai propri dati personali contenuti nella documentazione bancaria.

La richiesta avanzata ai sensi del Codice privacy non consente, invece, all'interessato, evidenzia il Garante privacy, di ottenere la copia integrale della documentazione bancaria come, ad esempio, la copia dell'estratto conto, del contratto, della convenzione sulla determinazione del tasso ultra legale, del piano di ammortamento di un mutuo.

Questo tipo di documenti può infatti essere ottenuto solo fondando la richiesta sulle norme del Testo unico delle leggi in materia bancaria e creditizia (decreto legislativo n. 385/1993), in base al quale il cliente, o colui che gli succede o subentra nell'amministrazione dei suoi beni, "può ottenere, a proprie spese, entro un congruo termine e comunque non oltre novanta giorni, copia della documentazione inerente a singole operazioni poste in essere negli ultimi dieci anni" (art. 119, comma 4).

L'istanza presentata dal cliente ai sensi del Codice privacy comporta l'obbligo per la banca di estrarre dai propri archivi e dai documenti effettivamente conservati i dati personali dell'interessato e di comunicarglieli gratuitamente e in modo intellegibile, con l'oscuramento dei dati di terzi.

Qualora l'estrazione dei dati risultasse particolarmente difficoltosa, la banca ha la facoltà di soddisfare la richiesta di accesso "attraverso l'esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti", anche in questo caso con l'oscuramento dei dati riferiti a terzi.

Il Codice privacy, sottolinea il Garante, non può comunque essere invocato dalle persone giuridiche, dopo che una recente modifica apportata dal legislatore ha espunto dalla nozione di "interessato" società di persone e di capitali, enti e associazioni. Tali soggetti, non godendo più della tutela offerta dal Codice privacy, per accedere ai dati bancari devono pertanto necessariamente fare riferimento al Testo unico bancario.

Le richieste avanzate ai sensi del Codice privacy e del Testo unico bancario devono essere inviate direttamente all'istituto di credito e non al Garante privacy.

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la privacy informa di aver richiesto alla società californiana che fornisce WhatsApp di comunicare ogni informazione utile per valutare il rispetto della privacy degli utenti italiani.

L'intervento dell'Autorità trae origine dagli esiti di un recente rapporto dei Garanti per la privacy canadesi e olandesi dal quale sono emerse alcune caratteristiche nel funzionamento dell'applicazione sviluppata dalla società che potrebbero comportare implicazioni e rischi specifici per la protezione dei dati personali degli utenti.

Gli utenti, infatti, per poter usufruire del servizio di messaggistica, devono consentire che l'applicazione acceda alla rubrica dei contatti presente sul proprio smartphone o sul proprio tablet e cioè a dati personali di soggetti terzi, anche però di coloro che non hanno scaricato l'applicazione e non utilizzano quindi il servizio. Nel rapporto sono state inoltre ipotizzate possibili criticità nelle misure di sicurezza adottate, in particolare riguardo alla conservazione dei dati trattati e al loro accesso da parte di terzi non autorizzati.

Il Garante ha dunque scritto a WhatsApp Inc. chiedendo di chiarire una serie di aspetti:

- quali tipi di dati personali degli utenti vengono raccolti e usati al momento dell'iscrizione e nel corso dell'erogazione dei servizi di messaggistica e condivisione file;

- come vengono conservati e protetti questi dati;

- le misure adottate (es. cifratura, generazione di credenziali etc.) per limitare il rischio di accesso da parte di soggetti diversi dagli interessati e, in particolare, se siano stati previsti sistemi contro gli attacchi tipo "man in the middle", volti ad acquisire illecitamente il contenuto dei messaggi scambiati mediante l'applicazione;

- per quanto tempo vengono conservati i dati degli utenti e il numero degli account riferibili a quelli italiani.

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante privacy fissa le nuove regole per l'uso dei sistemi di videosorveglianza con il provvedimento generale dell'8 aprile 2010.

Il Garante ha predisposto anche un utile vademecum sull'argomento.

Si riporta il comunicato del Garante privacy del 27 aprile 2010:

Sistemi integrati di videosorveglianza solo nel rispetto di specifiche garanzie per la libertà delle persone. Appositi cartelli per segnalare la presenza di telecamere collegate con le sale operative delle forze di polizia. Obbligo di sottoporre alla verifica del Garante privacy, prima della loro attivazione, i sistemi che presentino rischi per i diritti e le libertà fondamentali delle persone, come i sistemi tecnologicamente avanzati o "intelligenti". Conservazione a tempo delle immagini registrate. Rigorose misure di sicurezza a protezione delle immagini e contro accessi non autorizzati.

L'Autorità Garante per la protezione dei dati personali ha varato le nuove regole alle quali soggetti pubblici e privati dovranno conformarsi per installare telecamere e sistemi di videosorveglianza. Il periodo per adeguarsi è stato fissato, a seconda degli adempimenti, da un minimo di sei mesi ad un massimo di un anno.

Il provvedimento generale, che sostituisce quello del 2004 e introduce importanti novità, si è reso necessario non solo alla luce dell'aumento massiccio di sistemi di videosorveglianza per diverse finalità (prevenzione, accertamento e repressione dei reati, sicurezza pubblica, tutela della proprietà privata, controllo stradale, etc.), ma anche in considerazione dei numerosi interventi legislativi adottati in materia: tra questi, quelli più recenti che hanno attribuito ai sindaci e ai comuni specifiche competenze in materia di incolumità pubblica e di sicurezza urbana, così come le norme, anche regionali, che hanno incentivato l'uso di telecamere.

Il provvedimento, di cui è stato relatore Francesco Pizzetti, in via di pubblicazione sulla Gazzetta Ufficiale, tiene conto delle osservazioni formulate dal Ministero dell'interno e dall'Anci.

Ecco in sintesi le regole fissate dal Garante.

Principi generali

. Informativa: i cittadini che transitano nelle aree sorvegliate devono essere informati con cartelli della presenza delle telecamere, i cartelli devono essere resi visibili anche quando il sistema di videosorveglianza è attivo in orario notturno. Nel caso in cui i sistemi di videosorveglianza installati da soggetti pubblici e privati (esercizi commerciali, banche, aziende etc.) siano collegati alle forze di polizia è necessario apporre uno specifico cartello (allegato n. 2), sulla base del modello elaborato dal Garante. Le telecamere installate a fini di tutela dell'ordine e della sicurezza pubblica non devono essere segnalate, ma il Garante auspica comunque l'utilizzo di cartelli che informino i cittadini.

. Conservazione: le immagini registrate possono essere conservate per periodo limitato e fino ad un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini. Per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che non può superare comunque la settimana. Eventuali esigenze di allungamento dovranno essere sottoposte a verifica preliminare del Garante.

Settori di particolare interesse

. Sicurezza urbana: i Comuni che installano telecamere per fini di sicurezza urbana hanno l'obbligo di mettere cartelli che ne segnalino la presenza, salvo che le attività di videosorveglianza siano riconducibili a quelle di tutela specifica della sicurezza pubblica,  prevenzione, accertamento o repressione dei reati. La conservazione dei dati  non può superare i 7 giorni, fatte salve speciali esigenze.

. Sistemi integrati:  per i sistemi che collegano telecamere tra soggetti diversi, sia pubblici  che privati, o che consentono la fornitura di servizi di videosorveglianza "in remoto" da parte di società specializzate (es. società di vigilanza, Internet providers) mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza (es. contro accessi abusivi alle immagini). Per alcuni sistemi è comunque necessaria la verifica preliminare del Garante.

. Sistemi intelligenti: per i sistemi di videosorveglianza "intelligenti" dotati di software che permettono l'associazione di immagini a dati biometrici (es. "riconoscimento facciale") o in grado, ad esempio, di riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (es. "motion detection") è obbligatoria la verifica preliminare del Garante.

. Violazioni al codice della strada: obbligatori i cartelli che segnalino i sistemi elettronici di rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo (non quindi conducente, passeggeri,  eventuali pedoni). Le fotografie o i video che attestano l'infrazione non devono essere inviati  al domicilio dell'intestatario del veicolo.

. Deposito rifiuti:  lecito l'utilizzo di telecamere per controllare discariche di sostanze pericolose ed "eco piazzole" per monitorare  modalità del loro uso, tipologia dei rifiuti scaricati e orario di deposito.

Settori specifici

. Luoghi di lavoro: le telecamere possono essere installate solo nel rispetto dello norme in materia di lavoro. Vietato comunque il controllo a distanza dei lavoratori, sia all'interno degli edifici, sia in altri luoghi di prestazione del lavoro (es. cantieri, veicoli).

. Ospedali e luoghi di cura: no alla diffusione di immagini di persone malate mediante monitor quando questi sono collocati in locali accessibili al pubblico. E' ammesso, nei casi indispensabili, il monitoraggio da parte del personale sanitario dei pazienti ricoverati in particolari reparti (es.rianimazione), ma l'accesso alle immagini deve essere consentito solo al personale autorizzato e ai familiari dei ricoverati.

. Istituti scolastici: ammessa l'installazione di sistemi di videosorveglianza per la tutela contro gli atti  vandalici, con riprese delimitate alle sole aree interessate e solo negli orari di chiusura.

. Taxi: le telecamere non devono riprendere in modo stabile la postazione di guida.

. Trasporto pubblico: lecita l'installazione su mezzi di trasporto pubblico e presso le fermate, ma rispettando limiti precisi (es.angolo visuale circoscritto, riprese senza l'uso di zoom).

.  Webcam a scopo turistico: la ripresa delle immagini deve avvenire con modalità che non rendano identificabili le persone.

Soggetti privati.

. Tutela delle persone e della proprietà: contro possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc. si possono installare telecamere senza il consenso dei soggetti ripresi, ma sempre sulla base delle prescrizioni indicate dal Garante.

Per segnalazioni e aggiornamenti seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Con riguardo alle possibili azioni a tutela del diritto d'autore illustrate con il documento "Il diritto d'autore sulle reti di comunicazione elettronica. Indagine conoscitiva", pubblicato su www.agcom.it il 12 febbraio 2010, l'Autorità per le garanzie nelle comunicazioni, relativamente agli obblighi sui fornitori di accesso ad Internet, afferma:

Ruolo centrale nella definizione delle possibili misure che l'Autorità può adottare è quella degli ISP, in quanto soggetti detentori delle informazioni sul traffico generato dagli utenti. Al fine di definire misure adeguate, proporzionate ed efficaci sul mercato è quindi necessario esplorare in primo luogo le possibilità di intervenire proprio sui fornitori di accesso ad Internet.

Da una lettura del quadro comunitario e della giurisprudenza della Corte di Giustizia UE, possono essere ricavati i principali parametri di legittimità cui dovrebbero essere informati eventuali interventi regolamentari tesi ad introdurre obblighi di monitoraggio e sorveglianza in capo agli ISP.

In particolare, questi riguardano il bilanciamento con i diritti alla tutela dei dati personali degli utenti, che possono subire limitazioni soltanto se proporzionate a quanto strettamente necessario ad assicurare una effettiva tutela del diritto d'autore, e che, in conformità con la tutela della privacy, devono garantire l'anonimato degli utenti (i cui dati personali possono essere quindi disvelati soltanto per effetto di un ordine della "pubblica autorità competente").

Inoltre, l'adozione di siffatti obblighi deve essere orientata al principio di proporzionalità e, quindi, rispettare i seguenti canoni interpretativi:

1) adeguatezza rispetto alle finalità dell'intervento: l'intervento regolamentare deve essere preceduto da opportune analisi volte a stabilire ex ante, in via previsionale, che gli obblighi suscettibili di essere posti a carico dell'ISP possono rivelarsi idonei a garantire una riduzione del fenomeno della pirateria. In questo senso, è perciò opportuna una previa attività di indagine, monitoraggio e sperimentazione, volta a quantificare il fenomeno e identificare le attività degli utenti potenzialmente lesive del diritto d'autore. Una volta identificato spessore e contenuti del fenomeno, sarà possibile stabilire quali misure si rivelino adeguate, in base a un ragionevole rapporto di causa-effetto tra gli interventi apprestati e tutela del diritto d'autore;

2) necessarietà: le restrizioni imposte alla privacy degli utenti non devono essere superiori alla misura strettamente necessaria ad assicurare il conseguimento dello scopo perseguito. Pertanto, l'imposizione degli obblighi dovrà essere corredata di verifiche periodiche per valutarne il conseguimento;

3) stretta proporzionalità: per scongiurare i rischi di un eccessivo sacrificio degli interessi configgenti, il bilanciamento deve fondarsi su valutazione quali-quantitativa in rapporto ad eventuali opzioni alternative di intervento, nonché su un approccio gradualistico che consenta la progressiva introduzione di misure via via più restrittive soltanto a seguito del previo espletamento di opportune verifiche sui risultati raggiunti.

Dalle indicazioni della giurisprudenza comunitaria emerge, quindi, la possibilità, per l'Autorità, di imporre in capo agli ISP un obbligo di sorveglianza finalizzato a comunicare all'Autorità, con cadenza periodica, dati sul traffico Internet (in forma anonima ed aggregati per servizio - peer-topeer, streaming, etc.), nel rispetto della normativa a tutela della privacy e nella salvaguardia del principio della neutralità della rete. L'opportunità di tale intervento è molteplice: gli ISP sono già in possesso di tali informazioni e i dati comunicati all'Autorità permetterebbero un'analisi sulla quantificazione del fenomeno (peer-to-peer, streaming, download) che, per quanto si è più volte detto, riveste valore propedeutico alla definizione di eventuali misure più puntuali per contrastare il fenomeno della pirateria.

Tale misura dovrebbe essere accompagnata da una adeguata e trasparente informativa agli utenti, attraverso:

1) l'indicazione, nei contratti di accesso ad Internet, dell'attività di sorveglianza da parte degli ISP sul traffico degli utenti, nel rispetto della normativa a tutela della privacy;
2) una simile indicazione informativa circa l'imposizione di tale obbligo sul sito web dell'Autorità.

Per quanto riguarda la legittimazione all'introduzione di un simile obbligo, si ritiene che l'Autorità abbia il potere di imporlo in virtù dei compiti ad essa affidati a tutela del diritto d'autore. In caso di inottemperanza alla decisione dell'Autorità, gli ISP sarebbero soggetti alla irrogazione della sanzione ai sensi dell'art. 1, comma 31, della legge 31 luglio 1997, n. 249.
In alternativa, si potrebbe avviare un dialogo con gli ISP finalizzato a sottoscrivere un protocollo d'intesa che definisca nel dettaglio le condizioni di fornitura delle informazioni sopra individuate, sì da pervenire al medesimo risultato senza imposizioni coercitive, attraverso un'attività "cooperativa" tra l'Autorità e i fornitori di accesso ad Internet.

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Attraverso il form di iscrizione ad un sito web si possono raccogliere solo i dati personali strettamente necessari a fornire il servizio per il quale l'utente si registra.

Questo il principio affermato dal Garante per la protezione dei dati personali, che ha vietato ad una università telematica il trattamento di alcuni dati degli studenti che si erano iscritti on line per essere informati sulle attività dell'ateneo.

Come si legge nella newsletter del Garante n. 352 del 19 ottobre 2011, nel corso di accertamenti ispettivi è emerso infatti che l'università, mediante il form di registrazione al sito, raccoglieva anche informazioni, quali luogo e data di nascita, codice fiscale, cittadinanza, che sono risultate eccedenti e non pertinenti rispetto alle finalità dichiarate di mantenere contatti con gli utenti interessati al mondo dell'ateneo e di informare sulle novità e gli appuntamenti universitari.

Oltre al divieto, l'Autorità ha prescritto all'ateneo di modificare le modalità di raccolta on line dei dati personali, eliminando dal form di registrazione la richiesta dei dati risultati non pertinenti.

L'università, inoltre, nel caso in cui intenda comunicare i dati personali a terzi, dovrà indicare chiaramente nell'informativa i soggetti o le categorie di soggetti, i motivi della comunicazione ed avere il consenso degli utenti.

Prima dell'intervento del Garante, l'ateneo forniva un'unica informativa ed acquisiva il consenso per tre diverse finalità (per la registrazione al sito, per la valutazione del curriculum vitae dell'utente e per l'iscrizione e l'immatricolazione ai corsi) richiedendo come "obbligatori" dati personali (cognome e nome, luogo e data di nascita, codice fiscale, cittadinanza, indirizzi di residenza, domicilio, indirizzo mail, numero di cellulare) necessari solo per alcune di esse.

Fonte: www.garanteprivacy.it

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la protezione dei dati personali ha espresso un sì condizionato allo schema di decreto legislativo del Ministro per la pubblica amministrazione e la semplificazione relativo agli obblighi di trasparenza della Pa. Come si legge nel comunicato del Garante dell'8 febbraio 2013, nel dare il suo parere favorevole [doc. web n. 2243168], l'Autorità ha infatti posto una serie di "paletti" chiedendo che alcune norme vengano modificate, introducendo maggiori garanzie a tutela delle persone.

Dal comunicato del Garante privacy:

« La necessità di realizzare un controllo diffuso sull'attività della Pubblica amministrazione non deve condurre a forme sproporzionate di diffusione di informazioni che possono finire per ledere i diritti dei cittadini, specialmente di quelli in condizioni più disagiate.

L'Authority condivide le ragioni sottese al provvedimento e l'obiettivo di garantire la trasparenza nell'attività della Pa, ma ritiene che un tale valore debba essere comunque bilanciato con un diritto di pari rango costituzionale come quello della riservatezza e della protezione dei dati che trova la sua matrice nella normativa europea.

Per questi motivi valuta con preoccupazione i possibili rischi che alcune disposizioni contenute nel provvedimento potrebbero determinare. Rischi ancora più forti se si tiene conto della particolare delicatezza  di alcune  informazioni che verrebbero messe on line e della loro facile reperibilità e riutilizzabilità incontrollata grazie ai motori di ricerca. Si pensi soltanto ai dati sensibili o in grado di rivelare condizioni di disagio economico e sociale di anziani, disabili o altri soggetti deboli che beneficiano di sussidi (es. social card), la cui diffusione potrebbe comportare irreversibili danni per la dignità degli interessati, anche considerate le difficoltà oggettive di cancellare tali informazioni una volta in rete.

Sono già numerosi, in questo senso, i casi sottoposti in questi ultimi anni all'Autorità.

Nell'esprimere il suo parere, l'Autorità ha anche tenuto conto di quanto previsto dalla normativa europea, di quanto stabilito dalla stessa Corte di Giustizia e del fatto che nella stragrande maggioranza dei Paesi europei non esistono forme di diffusione paragonabili a quelle che si intendono realizzare nel nostro.

Queste le richieste avanzate dal Garante.

Dati personali

Sui siti web della Pa non dovranno mai essere diffusi dati sulla salute e sulla vita sessuale.

Vanno esclusi dalla pubblicazione i dati identificativi dei destinatari dei provvedimenti dai quali si possano ricavare dati sullo stato di salute o di uno stato economico-sociale degli interessati: si pensi al riconoscimento di agevolazioni economiche, alla fruizione di prestazioni sociali collegate al reddito, come l'esenzione dal contributo per le refezione scolastica o dal ticket sanitario, i benefici per portatori di handicap, il riconoscimento di sussidi ad anziani non autosufficienti, i contributi erogati per la cura di particolari malattie o per le vittime di violenza sessuale.

Così come non appare giustificata la diffusione di dati non pertinenti rispetto alle finalità perseguite, quali ad esempio l'indirizzo di casa, il codice fiscale, le coordinate bancarie, la ripartizione degli assegnatari secondo le fasce ISEE, informazioni sulle condizioni di indigenza.

Più in generale, le pubbliche amministrazioni nel pubblicare atti o documenti dovranno rendere inintelligibili i dati personali non pertinenti o, se sensibili e giudiziari,  non indispensabili rispetto alle finalità di trasparenza che si intendono perseguire nel caso concreto. Potranno inoltre pubblicare sui propri siti web informazioni e documenti per i quali non vi è l'obbligo di pubblicazione, ma solo una volta che avranno reso anonimi i dati personali in essi contenuti.

Motori di ricerca

I documenti pubblicati dovranno essere rintracciabili solo mediante i motori di ricerca interna al sito del soggetto pubblico e non attraverso i comuni motori di ricerca generalisti, garantendo così la conoscibilità dei dati senza che essi vengano estrapolati dal contesto nei quali sono inseriti.

Durata della pubblicazione

Dovranno essere stabiliti periodi differenziati di permanenza on line dei documenti, e si dovrà prevedere una accessibilità selettiva una volta scaduto il termine di pubblicazione.

Dipendenti pubblici

Per quanto riguarda i dipendenti pubblici, lo schema di decreto legislativo dovrà essere modificato circoscrivendo la pubblicazione dei dati ad un ambito più ristretto di informazioni personali, strettamente pertinenti, sia riguardo ai curricula sia ai compensi corrisposti, individuando anche modalità di diffusione meno invasive di quelle previste.

Incarichi politici e cariche elettive

Per quanto riguarda gli obblighi di trasparenza relativi ai titolari di incarichi politici o di  carattere elettivo il Garante ha richiamato l'attenzione del Governo sull'opportunità di una riflessione generale sull'impianto della disciplina, richiedendo una graduazione degli obblighi di pubblicazione sia sotto il profilo della platea dei soggetti coinvolti che del contenuto degli atti da pubblicare.

In particolare, occorre circoscrivere il contenuto delle dichiarazioni dei redditi da pubblicare alle sole notizie risultanti dal quadro riepilogativo della dichiarazioni stesse, allo scopo di evitare la diffusione di dati anche sensibili (come la scelta del contribuente sulla destinazione del "5 per mille"). Lo stesso vale per soggetti estranei all'incarico pubblico, come coniugi, figli, parenti, ai quali è comunque necessario chiedere il consenso alla pubblicazione dei dati. Tale consenso dovrà essere libero e non condizionato e non dovranno comunque essere resi noti i nomi degli interessati che non intendessero fornirlo ».

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino


Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Si segnala il volume "Diritto e nuove tecnologie. Prontuario giuridico-informatico", curato da Michele Iaselli, Collana "Altalex Professionale", Altalex, 2011, 446 pagg., alla realizzazione del quale l'Avv. Giuseppe Briganti ha collaborato come coautore del capitolo dedicato al commercio elettronico e alla risoluzione alternativa delle controversie.

Indice del volume

PREFAZIONE
CAPITOLO I
LA RICERCA DEI DOCUMENTI GIURIDICI
di Michele Iaselli

1. La logica di Boole
2. Le tecniche informatiche applicate ai testi giuridici
3. Tecniche di classificazione dei documenti
4. Le banche dati e criteri distintivi rispetto agli archivi tradizionali
5. Le banche dati in Italia
6. Le principali fonti di informazione giuridica
7. Ricerca normativa, giurisprudenziale e dottrinale su banche dati on-line ed off-line
8. Ricerca dei documenti giuridici su Internet
9. Nascita di una nuova concezione della Rete
10. Ricerca giuridica in rete ed intelligenza artificiale

CAPITOLO II
DIRITTO E WEB 2.0
di Giuliano De Luca

1. Web 2.0 e tutela dei dati personali
1.1. Da Orwell al Web 2.0
1.2. privacy e Social Networks
1.3. privacy e siti User-generated Content
1.4. Marc L. ed il "Ritratto Google"
1.5. Strategie di difesa
1.6. Il suicidio 2.0
2. Web 2.0 ed Amministrazione Digitale
2.1. Il Web nel Codice dell?Amministrazione Digitale
2.2. Digital Divide
2.3. Siti Web pubblici ed accessibilità
2.4. Siti Web pubblici: i contenuti
2.5. Il Web 2.0 nella Pubblica Amministrazione
3. Web 2.0 e Pirateria
3.1. Pirateria informatica: origini
3.2. Web 2.0 e pirateria
3.3. Web 2.0 e pirateria: conseguenze giuridiche
4. Web 2.0 e tutela dei diritti dei terzi
4.1. Web 2.0 e diffamazione
4.2. Web 2.0 e diritto all?immagine

CAPITOLO III
DIRITTO D'AUTORE E SITI WEB
di Gerardo Antonio Cavaliere

1. Brevi cenni sulla storia del diritto d'autore
1.1. Gutenberg e gli stampatori
1.2. Lo Statute of Anne e la nostra legislazione
2. Il Diritto d'Autore applicato a Internet
2.1. I diritti patrimoniali
2.1.1. Diritto di riproduzione
2.1.2. Diritto di rappresentazione in pubblico
2.1.3. Diritto di comunicazione al pubblico
2.1.4. Diritto di distribuzione
2.1.5. Diritto di traduzione e di elaborazione
3. Diritti non patrimoniali
3.1. Diritto di rivendicare la paternità dell'opera
3.2. Diritto all'integrità dell'opera
3.3. Diritto a rivelarsi autore
3.4. Diritto al ritiro dell'opera dal commercio
4. Diritti connessi e libere utilizzazioni
4.1. Diritti connessi
4.2. Le libere utilizzazioni
5. Le opere tutelate dal diritto d'autore
5.1. Il software
5.2. Il firmware
5.3. Le banche di dati
5.4. Le pagine web
5.5. I links e la violazione del diritto d'autore
5.6. Le immagini
5.7. Le opere musicali
5.8. Le opere multimediali
6. Fare un sito web, le implicazioni col diritto d'autore
6.1. Come si configura un sito web per il diritto d'autore?
6.2. Quale disclaimer riportare sul sito?
6.3. Fare un sito web: si possono copiare testi da altri siti?
6.4. (segue) Si possono copiare grafica, immagini e suoni da altri siti?
6.5. (segue) Si possono copiare codici di un sito altrui?
6.6. (segue) Si può realizzare una rassegna di stampe?
6.7. (segue) Si può linkare a pagine di altri siti?
6.8. (segue) Si possono inserire le licenze Creative Commons?

CAPITOLO IV
privacy E NUOVE TECNOLOGIE
di Michele Iaselli

1. Principi generali in materia di privacy
2. I diritti dell?interessato
3. Gli amministratori di sistema
4. privacy e nuove tecnologie. Concetti fondamentali
5. RFID (Radio Frequency ID Devices)
6. I sistemi biometrici
7. La videosorveglianza
8. Il cloud computing
9. Il web 2.0
10. La sicurezza informatica
11. Le transazioni on-line

CAPITOLO V
I NUOVI CONTRATTI INFORMATICI
di Michele Iaselli

1. Cosa si intende per contratto informatico
2. Caratteri distintivi del contratto informatico
3. Aspetti disciplinari dei contratti di informatica
4. La tipologia dei contratti informatici
5. Nascita di nuove figure di contratti informatici: i contratti telematici ed i contratti cibernetici
6. I contratti che hanno per oggetto i servizi telematici: caratteristiche generali
7. I contratti telematici tra professionisti e consumatori. La disciplina dell?e-commerce
8. (segue): Profili di privacy in materia di transazioni on-line
9. Nuove tipologie contrattuali connesse ad Internet
9.1. Il contratto di accesso ad Internet
9.2. Il contratto di hosting
9.3. Il contratto di housing
9.4. Il contratto di inclusione nel portale Internet
9.5. Il contratto di sviluppo e gestione di un sito web
9.6. Il contratto di bannering
9.7. Il contratto di trading on-line
9.8. Il contratto di Internet banking
9.9. Il contratto di Application Service Provisioning
10. Il cloud computing

CAPITOLO VI
IL COMMERCIO ELETTRONICO
di Maria Rosaria Baldascino e Giuseppe Briganti

1. Principi generali
2. Normativa civilistica
2.1. La Direttiva n. 31/2000/UE
2.2. Il Decreto Legislativo n. 70/2003
2.3. Il Decreto Legislativo n. 206/2005 - Codice del Consumo
3. La risoluzione alternativa delle controversie e consumatore on-line
3.1. La composizione extragiudiziale delle controversie del commercio elettronico
3.2. La Rete dei Centri europei per i consumatori (ECC-Net)
3.3. La composizione extragiudiziale delle controversie in materia di consumo
3.4. Camere di Commercio
3.5. Composizione extragiudiziale delle controversie e azioni inibitorie
3.6. Non vessatorietà delle clausole di ricorso a organi di composizione extragiudiziale delle controversie e diritto dei consumatori di rivolgersi al giudice
3.7. Composizione extragiudiziale delle controversie nelle liti relative alla commercializzazione a distanza di servizi finanziari ai consumatori
3.8. La Raccomandazione n. 98/257/CE
3.9. La Raccomandazione n. 2001/310/CE
3.10. Il formulario europeo di reclamo per il consumatore
3.11. La Direttiva n. 2008/52/CE relativa a determinati aspetti della mediazione in materia civile e commerciale . 350
3.12. Il Decreto Legislativo n. 28/2010 sulla mediazione finalizzata alla conciliazione delle controversie civili e commerciali
3.13. Le procedure di risoluzione delle controversie tra operatori di comunicazioni elettroniche ed utenti
3.14. Esempi italiani di ODR
4. Il regime fiscale
4.1. La Direttiva n. 2008/8/CE

CAPITOLO VII
LA PEC - POSTA ELETTRONICA CERTIFICATA
di Emilio Robotti

1. Come funziona la PEC
1.1. La PEC dal punto di vista del mittente e del destinatario
2. Punti di forza della PEC
3. Punti deboli della PEC
4. La normativa italiana sulla PEC
5. Utilizzo della PEC tra privati; tra privati e Pubblica Amministrazione; tra le Pubbliche Amministrazioni
5.1. In generale, l?utilizzo della PEC tra privati e tra questi e le P.A., tra le P.A.
6. La (dura) realtà della Pubblica Amministrazione
7. La possibilità per i cittadini di richiedere ed ottenere gratuitamente una casella PEC dalla P.A., obblighi per imprese e professionisti
7.1. Il D.P.C.M. 6 maggio 2009
7.2. La CEC - PAC ed altre iniziative in ordine sparso delle singole pubbliche amministrazioni
7.3. Ancora sui rapporti tra Privati e tra questi e le Pubbliche Amministrazioni e la riforma del Codice dell?Amministrazione Digitale
8. Istanze alla P. A. tramite PEC: PEC e firma digitale
9. La PEC, il Processo Telematico e le notificazioni in ambito Civile, Penale ed Amministrativo
10. Come funziona la PEC: regole tecniche e definizione normativa del servizio 10.1. In generale: modalità di erogazione del servizio
11. Il riferimento temporale del messaggio e dei suoi allegati, obblighi dei gestori in materia di conservazione e sicurezza e di livello minimo di servizio
12. Norme tecniche di riferimento e compatibilità operativa degli standards internazionali
BIBLIOGRAFIA

Per maggiori informazioni sul volume: Altalex

Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Elenco completo pubblicazioni Avv. Giuseppe Briganti

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

« RILEVATO che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l'effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.); ritenuto, tuttavia che, nell'esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza, (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza di cui all'art. 11, comma 1, del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile;

RILEVATO che, sulla base della documentazione in atti, il ricorrente  non risulta essere stato previamente informato in riferimento al trattamento di dati personali che avrebbe potuto essere effettuato in attuazione di eventuali controlli sull'utilizzo del personal computer concessogli in uso per esclusive finalità professionali, con particolare riferimento alle modalità e alle procedure da seguire per gli stessi; considerato infatti che nel "regolamento per l'utilizzo delle risorse informatiche e telematiche" adottato dalla resistente il 15 febbraio 2002 e messo a disposizione dei dipendenti, nonché nel "documento recante istruzioni agli incaricati del trattamento" (sottoscritto per accettazione dall'interessato), la società, pur avendo fatto riferimento alla necessità di effettuare - almeno settimanalmente - il salvataggio dei dati su copie di sicurezza con conseguente verifica del buon fine dell'operazione, non ha fornito un'idonea informativa in ordine al trattamento di dati personali connesso ad eventuali attività di verifica e controllo effettuate dalla società stessa sui p.c. concessi in uso ai dipendenti (cfr. al riguardo anche il provv. del Garante del 1° marzo 2007 "Lavoro: le linee guida del Garante per posta elettronica e internet" pubblicate in G. U. n. 58 del 10 marzo 2007, punto 3);

RITENUTO, alla luce delle considerazioni sopra esposte, che il trattamento dei dati relativi al ricorrente è stato effettuato in violazione dei principi di cui all'art. 11 del Codice e ritenuto pertanto di dover dichiarare fondato il ricorso, disponendo, ai sensi dell'art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell'interessato, il divieto per la società resistente di trattare ulteriormente i dati oggetto del presente ricorso a partire dalla data di ricezione del presente provvedimento;

RILEVATO comunque che resta fermo quanto previsto dall'art. 160, comma 6, del Codice con riferimento alle autonome determinazioni da parte dell'autorità giudiziaria in ordine all'utilizzabilità nel procedimento civile della documentazione medesima eventualmente già acquisita in tale sede »

Provvedimento Garante privacy

18 ottobre 2012

www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino





Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il sistema introdotto con il Codice della privacy (d.lg. n. 196 del 2003), informato al prioritario rispetto dei diritti e delle libertà fondamentali e della dignità della persona (e in particolare della riservatezza e del diritto alla protezione dei dati personali nonché dell'identità personale o morale del soggetto cui gli stessi pervengono), è caratterizzato dalla necessaria rispondenza del trattamento dei dati personali a criteri di proporzionalità, necessità, pertinenza e non eccedenza allo scopo (quest'ultimo costituendo un vero e proprio limite intrinseco del trattamento lecito dei dati personali), che trova riscontro nella compartecipazione dell'interessato nell'utilizzazione dei propri dati personali, a quest'ultimo spettando il diritto di conoscere in ogni momento chi possiede i suoi dati personali e come li adopera, nonché di opporsi al trattamento dei medesimi, ancorché pertinenti allo scopo della raccolta, ovvero di ingerirsi al riguardo, chiedendone la cancellazione, la trasformazione, il blocco, ovvero la rettificazione, l'aggiornamento, l'integrazione (art. 7 d.lgs. n. 196 del 2003), a tutela della proiezione dinamica dei propri dati personali e del rispetto della propria attuale identità personale e morale.

Pertanto, anche in caso di memorizzazione nella rete internet, mero deposito di archivi dei singoli utenti che accedono alla rete e cioè dei titolari dei siti costituenti la fonte dell'informazione (c.d. siti sorgente), deve riconoscersi al soggetto cui appartengono i dati personali oggetto di trattamento ivi contenuti il diritto all'oblio, e cioè al relativo controllo a tutela della propria immagine sociale, che anche quando trattasi di notizia vera, e a fortiori se di cronaca, può tradursi nella pretesa alla contestualizzazione e aggiornamento dei medesimi, e se del caso, avuto riguardo alla finalità della conservazione nell'archivio e all'interesse che la sottende, financo alla relativa cancellazione.

In ipotesi di trasferimento ex art. 11, comma 1 lett. b), d.lg. n. 196 del 2003 di notizia già di cronaca nel proprio archivio storico il titolare dell'organo di informazione, che, avvalendosi di un motore di ricerca, memorizza la medesima notizia anche nella rete internet, è tenuto ad osservare i criteri di proporzionalità, necessità, pertinenza e non eccedenza dell'informazione, avuto riguardo alla finalità che ne consente il lecito trattamento, nonché a garantire la contestualizzazione e l'aggiornamento della notizia già di cronaca oggetto di informazione e di trattamento, a tutela del diritto del soggetto cui i dati pertengono alla propria identità personale o morale nella sua proiezione sociale, nonché a salvaguardia del diritto del cittadino utente di ricevere una completa e corretta informazione, non essendo al riguardo sufficiente le mera generica possibilità di rinvenire all'interno del "mare di internet" ulteriori notizie concernenti il caso di specie, ma richiedendosi, atteso il ravvisato persistente interesse pubblico alla conoscenza della notizia in argomento, la predisposizione di sistema idoneo a segnalare (nel corso o a margine) la sussistenza di un seguito e di uno sviluppo della notizia, e quale esso sia stato, consentendo il rapido ed agevole accesso da parte degli utenti ai fini del relativo adeguato approfondimento, giusta modalità operative stabilite, in mancanza di accordo tra le parti, del giudice di merito.

Così si è recentemente espressa la Corte di Cassazione (Cassazione civile  sez. III, 5 aprile 2012, n. 5525)

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

L'intervento dell'Autorità ha colpito un sito di vendita di farmaci on-line e il sito Private Outlet.

Si tratta, rende noto l'Autorità, dei primi due casi nei quali la medesima ha applicato la normativa che prevede la possibilità di richiedere agli Internet Service Providers di impedire l'accesso a siti web che ledono i diritti dei consumatori.

Di seguito il comunicato dell'Autorità del 29/12/2012:

« E-commerce più trasparente e più sicuro per i consumatori. E' l'obiettivo dell'azione dell'Antitrust che ha concluso due procedimenti per pratiche commerciali scorrette, sanzionando gli intestatari di due siti internet per complessivi 440mila euro. Uno dei due siti era già stato oscurato, con provvedimento cautelare assunto nel giugno scorso, perché vendeva, illegalmente, farmaci on line e, in particolare, farmaci soggetti all'obbligo di prescrizione medica e la cui assunzione al di fuori del controllo medico può esporre anche a gravi rischi per la salute.

Le due istruttorie sono le prime nel corso delle quali l'Autorità ha applicato, grazie alla collaborazione del Nucleo Speciale Tutela Mercati della Guardia di Finanza, la normativa che prevede la possibilità di richiedere agli Internet Service Providers di impedire l'accesso ai siti web. L'Antitrust intende infatti lavorare perché i cittadini possano utilizzare il commercio elettronico, che rappresenta una leva importante per la crescita economica, senza incorrere in acquisti potenzialmente pericolosi o in atteggiamenti scorretti da parte degli operatori. In quest'ottica la scorsa settimana l'Autorità, come è noto, ha accettato, rendendoli vincolanti, gli impegni presentati dal sito Groupalia.

Di seguito, i due provvedimenti appena adottati dall'Autorità

VENDITA DI FARMACI ON LINE ILLEGALE E PERICOLOSA PER LA SALUTE

L'Antitrust, già in sede cautelare, ha interdetto l'accesso a un sito internet, riconducibile ad Alex Broek, che permetteva ai consumatori italiani l'acquisto on line di farmaci e, a conclusione dell'istruttoria, il professionista è stato sanzionato con una multa di 200.000 euro.

Attraverso il sito internet oscurato il professionista consentiva ai consumatori italiani di comprare medicine sulla base del falso presupposto della liceità e completa sicurezza per la salute della compravendita on line di farmaci, benché effettuata in assenza dell'intermediazione di un farmacista e, nel caso di farmaci cd. etici, senza la necessaria visita e prescrizione medica. L'intestatario del sito oscurato faceva, in particolare, leva sul particolare disagio psicologico, sociale e relazionale in cui versano i soggetti afflitti da alcune specifiche patologie, convincendoli della non necessità di un appropriato controllo medico: persone affette da disturbi psicologi, obesità o impotenza preferivano così acquistare on line, ritenendo meglio garantita la loro privacy ma mettendo a serio rischio la salute.

L'Antitrust ricorda che la vendita on line di farmaci non solo è illegale, visto che la legge italiana vieta il commercio a distanza di medicinali, ma, soprattutto, è pericolosa.

L'istruttoria è stata avviata a seguito di una segnalazione congiunta pervenuta da parte dell'AIFA (Agenzia Italiana del Farmaco) e dei NAS (Nuclei Antisofisticazioni e Sanità dell'Arma dei Carabinieri), nel quadro di una più ampia collaborazione con i Ministeri della Salute e dello Sviluppo Economico, e degli ulteriori elementi acquisiti d'ufficio dall'Antitrust con la collaborazione investigativa del Nucleo Speciale della Guardia di Finanza, che ha, a seguito del provvedimento cautelare del giugno scorso, anche svolto gli adempimenti per procedere all'oscuramento del sito.

INFORMAZIONI CHIARE PER CHI COMPRA ON LINE

Il secondo provvedimento adottato dall'Autorità riguarda le pratiche commerciali di Private Outlet, sito francese dedicato alla vendita all'ingrosso e al dettaglio, tramite siti internet accessibili da diversi paesi dell'Unione Europea e in diverse lingue, di articoli da confezione per uomini, donne e bambini di marchi rinomati, con prezzi ridotti con sconti fino al 70% rispetto a quelli praticati nella normale distribuzione.

Secondo l'Antitrust, che ha oscurato in via cautelare il sito, e lo ha poi riattivato per consentire la gestione dei reclami da parte dei consumatori, le società che gestiscono il sito Private Outlet Srl e Private Outlet SaS, hanno:

1) fornito ai consumatori informazioni non veritiere sui tempi di consegna dei prodotti offerti in vendita attraverso Internet: molti consumatori hanno lamentato consegne di merce diversa da quella ordinata o arrivate ben oltre i tempi pattuiti;

2) opposto ostacoli all'esercizio di diritti contrattuali da parte dei consumatori: diverse segnalazioni evidenziavano la difficoltà di contattare i fornitori del servizio o la mancata sostituzione del prodotto diverso da quello ordinato;

3) invitato all'acquisto di prodotti ad un determinato prezzo, senza rivelare l'esistenza di prevedibili ragioni che avrebbero impedito la consegna degli stessi a quel prezzo. Le società infatti si riforniscono direttamente presso i produttori acquistando un numero limitato di capi: sin dall'inizio dunque sanno che potrebbero non essere in grado di fare fronte a tutte le richieste di acquisto che peraltro vengono pagate contestualmente all'invio dell'ordine.

Alla luce dei comportamenti riscontrati, l'Antitrust ha sanzionato le due società per complessivi 240mila euro, diffidandole dalla prosecuzione di analoghi comportamenti ».

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Si segnala il seguente evento formativo gratuito, al quale l'Avv. Giuseppe Briganti parteciperà come relatore:

UTILIZZO DELLA VIDEOSORVEGLIANZA E DEI NUOVI SISTEMI DI CONTROLLO A DISTANZA IN
AZIENDA, RAPPORTI FRA STATUTO DEI LAVORATORI E privacy.
LO STATO DELL'ARTE TRA  ASPETTI NORMATIVI, APPLICATIVI E SANZIONATORI.

L'attuale interesse agli aspetti riguardanti la videosorveglianza in azienda e sistemi di geolocalizzazione
della flotta aziendale/dipendenti ci ha spinti ad organizzare questo incontro. E' importante non solo per
evitare sanzioni ma anche per avere consapevolezza della gestione e dei rischi che occorrono durante la
gestione dei dati raccolti per immagini o per georeferenza e delle azioni correttive da adottare per
rispettare le normative.

ASPETTI NORMATIVI
L'art.4 dello Statuto dei Lavoratori; le motivazioni che giustificano l'adozione di sistemi di videosorveglianza e di controllo;
Il provvedimento del Garante privacy dell'aprile 2010:
principi generali in materia di videosorveglianza
adempimenti applicabili a soggetti pubblici e privati (informativa, prescrizioni specifiche, misure di sicurezza)
durata dell'eventuale conservazione e diritti degli interessati
applicazione nel settore specifico dei rapporti di lavoro
Aspetti sanzionatori:
provvedimenti del Garante privacy
sanzioni amministrative e penali
Esame di casi pratici particolarmente interessanti:
il recente intervento del Garante privacy in materia di geolocalizzazione e controllo a distanza dei lavoratori
RELATORE : Avv. Giuseppe Briganti, avvocato e conciliatore, esperto in diritto delle nuove tecnologie e privacy

ASPETTI APPLICATIVI E SANZIONATORI
La privacy del lavoratore in rapporto al patrimonio aziendale da proteggere
Funzioni deputate alla D.P.L.
Il rilascio del nulla osta per poter utilizzare gli impianti di videosorveglianza e di controllo, documentazione da presentare e
adempimenti da rispettare
Casi pratici di accoglimento/rigetto delle richieste con applicazione delle relative sanzioni civili e penali
RELATORE : Dott. Antonio Vincenzo Alessi, Responsabile della Linea Operativa Tutela del Lavoro della Direzione Provinciale del Lavoro di Pesaro e Urbino

MODERATORE : Dr. Bruno Mongaretto, Dottore Commercialista
ORGANIZZAZIONE CORSO : DIGITRUST - Consulenza per protezione dati

CREDITI FORMATIVI
Il Seminario è gratuito ed è  accreditato dall'ODCEC di Pesaro-Urbino. La partecipazione all'intero Seminario darà diritto a ricevere n. 2,5 crediti formativi.

Maggiori informazioni sull'evento

Curriculum vitae Avv. Giuseppe Briganti

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

L'Autorità Garante per la protezione dei dati personali in data 30 giugno 2010 ha presentato la Relazione sul 13mo anno di attività e sullo stato di attuazione della normativa sulla privacy.

Per quanto riguarda Internet, la Relazione riassume come segue l'attività svolta dal Garante nel 2009:

8.5. informazioni e servizi online

Sono pervenute al Garante numerose segnalazioni allo scopo di ottenere la cancellazione di dati e di immagini personali diffusi e in vario modo reperibili su internet (ad es., su E-mule, Youtube, forum, blog) e reputati lesivi della sfera personale dei segnalanti.
Nei casi in cui ricorrevano i presupposti, e il titolare del trattamento del sito internet segnalato risultava residente in Italia, il Garante è intervenuto chiedendo e ottenendo la cancellazione dei dati personali eccedenti.
In numerosi casi, invece, da verifiche effettuate dall'Ufficio, è risultato che il titolare del trattamento del sito internet interessato non risiedeva in Italia: pertanto, non è stato possibile applicare le tutele previste dal Codice (art. 5, comma 1).
In queste situazioni, al fine di fornire comunque una tutela all'interessato, è stata fornita agli interessati l'indicazione del soggetto titolare, estratto dai registri "Whois", a cui il segnalante potesse direttamente richiedere la rimozione immediata dei contenuti ritenuti illeciti in quanto diffamatori. Ciò, in ottemperanza a una prassi nota come "notice and take down", riconosciuta sia negli Usa sia in ambito comunitario (cfr. Direttiva n. 2000/31/CE, relativa a taluni aspetti giuridici dei servizi della società dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico, recepita in Italia con il d.lgs. n. 70/2003).

In misura superiore rispetto all'anno precedente, nel 2009 sono pervenute segnalazioni con le quali si è lamentato il trattamento illecito dei dati personali su Facebook.
Al riguardo si è ritenuto in via preliminare che, ove le immagini e le informazioni restino all'interno di un profilo o di un gruppo chiuso, il trattamento rientra tra quelli per fini esclusivamente personali, non destinati ad una comunicazione sistematica o alla diffusione, indicati all'art. 5, comma 3, del Codice, e perciò esclusi dall'applicazione della disciplina codicistica; qualora, invece, le informazioni siano visibili in rete in modo libero, e rinvenibili anche tramite i comuni motori di ricerca, poiché si tratta di diffusione, è da ritenersi applicabile integralmente il Codice.
In questo quadro l'Autorità, in un'ottica di collaborazione, in un caso ha contattato il titolare del trattamento (Facebook), chiedendo e ottenendo la rimozione dell'indirizzo dell'abitazione della protagonista di uno spot televisivo, indirizzo che era liberamente rinvenibile all'interno di un gruppo aperto.
Inoltre sono state ritenute fondate due segnalazioni con cui veniva lamentato che alcuni giornali ed emittenti televisive, a corredo della notizia del decesso di due persone, avevano pubblicato fotografie acquisite direttamente da Facebook, attribuendole erroneamente, per pura omonimia, ai deceduti. L'Autorità ha riscontrato in siffatte pubblicazioni una violazione delle disposizioni a tutela del diritto alla protezione dei dati personali e dell'identità personale, essendo state raccolte informazioni non adeguatamente verificate e diffusi dati personali errati (Provvedimenti 6 maggio 2009 [doc. web nn. 1615317 e 1615339]).
In seguito a queste due segnalazioni, il Garante ha inviato una lettera all'Ordine nazionale dei giornalisti e alla Federazione italiana editori giornali richiamando l'attenzione sui rischi dell'uso della rete internet come fonte di informazioni e di dati personali.
Nel quadro delle medesime problematiche è stata esaminata anche la segnalazione di un professore universitario che ha lamentato un trattamento illecito di dati personali in relazione alla diffusione, nel corso di alcune edizioni di un telegiornale, di una sua fotografia associata al nome di uno sconosciuto, proclamatosi su Facebook vincitore al concorso Superenalotto.
L'Ufficio, in considerazione del fatto che l'emittente televisiva ha assicurato di non diffondere  in futuro la fotografia, non ha ritenuto di intervenire con un provvedimento inibitorio (Nota 24 settembre 2009).
Infine, in seguito alla creazione di un gruppo choc contro i bambini down apparso su Facebook in cui appariva anche la foto di un neonato con una scritta ingiuriosa sulla fronte il Garante è intervenuto con un comunicato stampa (22 febbraio 2010), invitando i mezzi di informazione che avevano ripreso la foto a non rendere in alcun modo riconoscibile il bambino oggetto dello sfregio.

Anche nel 2009 il Garante ha ricevuto diverse segnalazioni e ricorsi concernenti la libera disponibilità degli archivi storici online.
Il Garante ha al riguardo rilevato che la diffusione, sul sito internet di un quotidiano online, di un articolo contenente informazioni su fatti anche molto delicati e piuttosto risalenti nel tempo, parte integrante dell'archivio storico della testata, non integrava un illecito trattamento di dati personali.
L'articolo infatti era riferito a notizie relative a fatti veri e di interesse pubblico, sia con riferimento al tempo della pubblicazione, sia attualmente per ricerche relative alla vicenda in questione.
In altri casi invece il Garante, tenendo conto delle peculiarità del funzionamento della rete, che può comportare la diffusione di un gran numero di dati personali riferiti a un medesimo interessato e relativi a vicende anche risalenti, e in considerazione del tempo trascorso, ha ritenuto che una perenne associazione all'interessato della vicenda stessa può comportare  un sacrificio sproporzionato dei suoi diritti.
L'Autorità in alcuni provvedimenti ha indicato pertanto, quale misura a tutela dei diritti dell'interessato, che la pagina web contenente i dati personali del ricorrente (qual è il suo nominativo) sia sottratta alla diretta individuabilità all'atto della ricerca sui comuni motori di ricerca, pur restando tale pagina inalterata nel contesto dell'archivio e consultabile telematicamente accedendo all'indirizzo web dell'editore (Provv. 25 giugno 2009 [doc. web. n. 1635966], Provv. 8 aprile 2009 [doc. web n. 1617673], Provv. 19 novembre 2009 [doc. web n. 1689109], Provv. 22 dicembre 2009 [doc. web n. 1695208]).
In altri casi, invece, il Garante ha ritenuto legittimo il trattamento di dati personali effettuato mediante la riproposizione online dell'articolo, in quanto riferito a fatti di persistente interesse pubblico, non ravvisando, pertanto, ragioni per sottrarre l'articolo stesso alla disponibilità dei motori di ricerca.
In particolare, il Garante (Provv. 22 maggio 2009 [doc. web n. 1635938]) ha dichiarato infondato il ricorso di un politico candidato alle elezioni europee, volto ad ottenere il blocco dei dati personali, pubblicati sul sito di un quotidiano online, e relativi alla sua passata attività politica a livello locale e nazionale. Il Garante, infatti, ha ricordato che "rispetto a persone note, i mezzi di informazione beneficiano (...) di margini più ampi nella pubblicazione di dati e notizie, in particolare nella misura in cui la loro conoscenza assuma un rilievo sul loro ruolo e sulla loro vita pubblica" (art. 6 del codice di deontologia).

Nel 2009 si è constatata una maggiore sensibilità degli utenti del web, nel vigilare e segnalare all'Autorità la non conformità di siti internet alla normativa in materia di protezione dei dati personali.
Sono infatti pervenute diverse segnalazioni relative sia alle informazioni rese agli interessati, sia alle modalità di acquisizione del consenso mediante l'utilizzo di form online. Spesso, infatti, le informative pubblicate sui siti sono risultate non sufficientemente chiare  e in diversi casi si è riscontrato che la modulistica da compilare per il rilascio del consenso al trattamento dei propri dati è stata predisposta con formulazioni generiche tese a ricomprendere più finalità, tra loro diverse e spesso incompatibili.
L'Autorità ha quindi proceduto alla verifica della conformità dei trattamenti effettuati e talvolta, d'ufficio, delle modulistiche pubblicate sul web. Le risultanze di tali accertamenti hanno determinato, per l'anno di riferimento, l'emanazione di due provvedimenti contenenti divieto di ulteriore trattamento dei dati e prescrizioni dirette ai titolari del trattamento.
In particolare, a seguito di una segnalazione e al successivo accertamento ispettivo svolto dal Nucleo speciale funzione pubblica e privacy della Guardia di finanza in ordine al servizio di biglietteria messo a disposizione su un sito web, è risultato che veniva effettuata la raccolta, la conservazione e l'elaborazione dei dati personali dei clienti in relazione a diverse finalità e veniva richiesto un unico consenso indicato come obbligatorio ai fini della registrazione. Il medesimo consenso veniva inoltre richiesto anche con riguardo ai trattamenti effettuati per adempiere  alle obbligazioni contrattuali.
Al riguardo con provvedimento del 5 marzo 2009 [doc. web n. 1615731], l'Autorità ha essenzialmente ribadito che il titolare del trattamento può prescindere dal consenso per i trattamenti effettuati per eseguire contratti di cui è parte l'interessato (art. 24, comma 1, lett. b ), del Codice); il consenso, invece, deve essere specificamente acquisito relativamente ai trattamenti per finalità di profilazione e marketing (art. 23, comma 3 del Codice).
Il Garante, nel suddetto provvedimento, in particolare ha prescritto l'adozione di alcune modifiche al modello per la manifestazione del consenso del trattamento dei dati, affinché quest'ultimo possa essere prestato dagli interessati distintamente per ciascuna diversa finalità perseguita.
Inoltre, si segnala che da accertamenti di carattere ispettivo, è risultato che una società fornitrice di energia raccoglieva, conservava e elaborava dati personali dei clienti in relazione a diverse finalità, tra le quali la realizzazione di attività di vendita o di collocamento di prodotti/servizi, l'analisi delle abitudini e scelte di consumo, nonché l'invio di materiale pubblicitario, anche da parte di terzi, richiedendo, però, un unico consenso.
Quindi con provvedimento del 16 dicembre 2009 [doc. web n. 1688999], accertati l'illiceità e il carattere sistematico del trattamento dei dati personali effettuato dalla società, i l Garante ha vietato l'ulteriore trattamento risultato illecito, e stabilito un termine per documentare l'avvenuta modifica del modello di raccolta del consenso.

Fonte: www.garanteprivacy.it

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la protezione dei dati personali comunica di aver fissato le regole alle quali dovranno attenersi gli organismi sanitari pubblici e privati che svolgono indagini sulla qualità dei servizi sanitari offerti ai cittadini.

Dal comunicato diffuso dal Garante privacy:

« I sondaggi per verificare la customer satisfaction degli assistititi - effettuati per telefono, per posta, per email, tramite questionari cartacei o form su siti istituzionali - possono riguardare esclusivamente informazioni sulla qualità del servizio (accoglienza, tempi di attesa, informazioni ricevute, comfort della struttura), senza entrare nella valutazione degli aspetti sanitari delle prestazioni e delle cure erogate.

Poiché nel corso di queste attività possono essere raccolti una gran quantità di dati personali il Garante ha individuato in apposite Linee guida (domani in Gazzetta ufficiale) un quadro unitario di misure e accorgimenti.

Prima di iniziare il sondaggio gli organismi sanitari dovranno valutare se vi sia la reale necessità di raccogliere dati personali o se non sia invece possibile raggiungere gli stessi obiettivi utilizzando dati anonimi. In questo secondo caso non si applicano le Linee guida. Qualora invece si ritenga necessario acquisire dati personali, questi vanno comunque distrutti o resi  anonimi subito dopo la registrazione.

La partecipazione al sondaggio deve essere sempre facoltativa.

Non potranno essere utilizzati dati sulla vita sessuale e le informazioni raccolte nel corso delle attività di customer satisfaction non potranno essere utilizzate per profilare gli utenti o inviare  materiale pubblicitario.

La comunicazione o la diffusione dei risultati dei sondaggi dovrà avvenire sempre in forma anonima o aggregata.

Potrebbe anche accadere che alcune risposte possano rivelare informazioni sulla salute dell'utente, desumibili anche dal tipo di reparto che ha erogato il servizio (ad es. ginecologia, neurologia, oncologia), dalla prestazione fruita (ad es. tipo di intervento chirurgico), persino dalla  fornitura di particolari ausili (ad es. pannoloni, protesi, plantari). In questo caso gli organismi privati che svolgono direttamente un'indagine di gradimento sui servizi sanitari devono chiedere il consenso scritto degli utenti coinvolti. Consenso che non deve essere richiesto dagli organismi sanitari pubblici anche quando conducono sondaggi attraverso le strutture convenzionate.

Agli utenti, infine, dovrà essere sempre assicurata, sia dagli operatori privati che pubblici, una dettagliata informativa in cui risultino chiari tutti gli aspetti e le modalità del sondaggio.

Gli organismi sanitari potranno anche avvalersi di un modello semplificato di informativa predisposto dall'Autorità, allegato alle Linee guida ».

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Prescrizioni del Garante privacy 22/04/2010:

« Come già affermato da questa Autorità nel provvedimento del 25 giugno 2002 (doc. web n. 29864), anche l'indirizzo e-mail di una persona fisica è da considerarsi un dato personale. Difatti, gli indirizzi e-mail [...] e [...], pur rappresentando un mezzo utilizzato dall'impresa per raccogliere gli ordini della clientela, contengono il nome e cognome delle signore [...] e sono ad esse comunque riferibili da oltre un decennio. L'indirizzo e-mail attribuito al singolo lavoratore per lo svolgimento delle sue mansioni determina quindi una legittima aspettativa di riservatezza sulla corrispondenza, ma non garantisce la confidenzialità dei messaggi inviati e ricevuti tramite lo stesso, poiché l'account ad esso riferibile può essere eccezionalmente nella disponibilità di accesso da parte del datore di lavoro qualora ciò si renda necessario per improrogabili esigenze aziendali, come emerge anche nella deliberazione del 1 marzo 2007 (doc. web n. 1387522), con la quale questa Autorità ha indicato le linee guida per un corretto uso della posta elettronica e di Internet nell'ambito dei rapporti lavorativi.

Come è risultato dalla documentazione acquisita, lo stesso regolamento interno relativo all'uso degli strumenti elettronici messi a disposizione dalla [...] s.r.l., chiarisce che l'indirizzo di posta elettronica è fornito dall'azienda al dipendente per realizzare "le sole finalità istituzionali dell'azienda", tuttavia la presenza di un disciplinare aziendale relativo all'uso della posta elettronica e di Internet da parte dei dipendenti, non esclude che all'interno della corrispondenza scambiata tramite gli account aziendali possano essere anche presenti contenuti di natura strettamente personale e quindi anche dati riferibili a terzi.

Conseguentemente, l'esigenza di tutela si estende anche nei confronti di coloro che inviano i messaggi (di qualunque contenuto, privato o lavorativo) che possono ritenere che il destinatario degli stessi sia esclusivamente una determinata persona.

L'interesse alla tutela dei dati personali delle persone coinvolte (ex dipendenti della [...] s.r.l. e terzi mittenti di e-mail) deve, in una corretta ottica di bilanciamento, essere contemperato con l'interesse della [...] s.r.l. a gestire le informazioni indispensabili all'efficiente attività aziendale, soprattutto in considerazione del fatto che gli indirizzi e-mail delle segnalanti erano utilizzati anche per raccogliere gli ordini della clientela.

Da quanto sopra evidenziato discende dunque la necessità che la [...] s.r.l. proceda alla disattivazione di tutti gli account di posta elettronica appartenenti al dominio [...].it, attribuiti a soggetti che non fanno parte dell'attuale organizzazione imprenditoriale della società, nel termine di 30 giorni dalla notifica del provvedimento. In detto periodo la società dovrà inoltre predisporre un sistema idoneo ad informare i terzi mittenti delle comunicazioni che tutti gli account del dominio [...].it, riferibili ad ex dipendenti dell'[...] s.r.l. che non svolgano attività lavorativa per conto della [...] S.r.l., saranno disattivati, con l'invito, quindi, ad inoltrare la corrispondenza di lavoro ad un indirizzo di posta elettronica alternativo ».

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Con il provvedimento a carattere generale del 4 ottobre 2011, il Garante privacy detta le regole in materia di sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro.

Il Garante privacy prescrive in particolare ai datori di lavoro pubblici e privati che si avvalgono di sistemi di localizzazione e di comunicazione della posizione rilevata installati a bordo dei veicoli ed impiegati per soddisfare esigenze organizzative, produttive ovvero per la sicurezza sul lavoro:

a. quale misura necessaria, nel rispetto del principio di necessità, che la posizione del veicolo non sia di regola monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite;

b. quale misura necessaria, in base al principio di pertinenza e non eccedenza, che i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati siano commisurati tenendo conto di ciascuna delle finalità in concreto perseguite;

c. quale misura necessaria, la designazione quali responsabili del trattamento ai sensi dell'art. 29 del Codice degli operatori economici che forniscono i servizi di localizzazione del veicolo e di trasmissione della posizione del medesimo, impartendo loro le necessarie istruzioni in ordine all'utilizzo legittimo dei dati raccolti per le sole finalità previste dall'accordo che regola la fornitura del servizio di localizzazione, con la determinazione delle tipologie di dati da trattare nonché delle modalità e dei tempi della loro eventuale conservazione;

d. quale misura opportuna, un modello semplificato di informativa, quale quello individuato nell'allegato 1 del provvedimento, utilizzabile alle condizioni indicate, al fine di rendere noto agli interessati il trattamento effettuato mediante il sistema di localizzazione del veicolo.




Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

No alla "dichiarazione dei redditi" in farmacia

Il Garante privacy ha recentemente precisato che non ci sarà bisogno di dichiarare il proprio reddito al farmacista per individuare l'importo del ticket da pagare.

Basterà infatti che i medici appongano un codice sulle ricette per l'acquisto dei farmaci e per le altre prestazioni sanitarie. In questi termini il Garante privacy ha dato via libera allo schema di linee di indirizzo in materia di misure regionali di compartecipazione alla spesa sanitaria per fasce di reddito, predisposte dal Ministero dell'economia e delle finanze.

Le nuove misure, che avranno valore su tutto il territorio nazionale, traggono origine dalle segnalazioni di pazienti che, per usufruire delle esenzioni sul ticket, erano stati costretti a comunicare il loro livello di reddito al farmacista, magari in presenza di altri clienti, o alle persone che eventualmente acquistavano medicinali per loro conto. Alcune Regioni, infatti, in seguito alla manovra economica 2011, avevano deciso di non introdurre il pagamento di 10 euro sulle ricette per le prestazioni specialistiche ambulatoriali, differenziando invece il ticket richiesto in base alla fascia di reddito familiare. Le modalità adottate, però, non garantivano un'adeguata protezione dei dati personali dei pazienti.

Lo schema di linee di indirizzo, che tiene conto delle indicazioni fornite dal Garante al Ministero dell'economia e delle finanze e al Ministero della salute, prevede che, a tutela della privacy, sia il medico stesso ad apporre sulla ricetta un codice teso a identificare, non in chiaro, la fascia di reddito di appartenenza dell'assistito, e quindi a definire l'entità del contributo da pagare. All'atto della prescrizione, il medico dovrà verificare il codice da inserire per ogni persona collegandosi al Sistema tessera sanitaria oppure utilizzando l'apposita documentazione cartacea o digitale predisposta dalla azienda sanitaria locale.

Fonte: www.garanteprivacy.it

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante privacy rende noto di aver - a seguito di segnalazioni di imprese, enti e singoli cittadini - vietato l'ulteriore trattamento di dati personali a quattro società che inviavano pubblicità tramite fax o e-mail senza aver acquisito il consenso preventivo e specifico dei destinatari.

Tre di esse spedivano sistematicamente fax promozionali credendo di poter disporre liberamente dei dati, estratti da elenchi categorici (Pagine Gialle, Pagine Utili, ecc.) o pubblici (ad es. banche dati delle Camere di commercio, albi professionali, ecc.).

Nel quarto caso, un messaggio via mail era stato inviato da una società che aveva rintracciato il recapito del destinatario sul web. La società che aveva effettuato lo spamming si era considerata libera di poter disporre dei dati di un'altra azienda che si era registrata su un sito fieristico.

Con quattro distinti provvedimenti [doc. web n. 1719901, 1719891, 1727662 e 1729175] il Garante per la protezione dei dati personali ha riaffermato il principio che, a prescindere da dove vengano estratti i recapiti, chiunque invii messaggi promozionali mediante sistemi automatizzati (fax, e-mail, sms, mms), è sempre obbligato a raccogliere preventivamente il consenso specifico ed informato dei destinatari.

Il mancato rispetto del divieto, ha ricordato inoltre il Garante, comporta le sanzioni amministrative e penali previste dal Codice privacy. Per il risarcimento di eventuali profili di danno le vittime dello spam possono comunque far valere i propri diritti in sede civile.

Fonte: www.garanteprivacy.it, newsletter n. 339 del 24 giugno 2010

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Come si legge nel comunicato del Garante privacy dell'11 marzo 2011, le società telefoniche dovranno informare i nuovi e i vecchi abbonati sulle nuove modalità da utilizzare per non ricevere telefonate pubblicitarie.

Il Garante per la privacy lo ha stabilito con un provvedimento, in corso di pubblicazione sulla Gazzetta Ufficiale.

La nuova normativa sul telemarketing prevede, infatti, che gli abbonati che non desiderano ricevere telefonate promozionali debbano iscrivere la loro utenza telefonica nel Registro delle opposizioni, entrato in funzione il 1 febbraio scorso e gestito dalla Fondazione Bordoni.

E' dunque necessario che gli operatori informino gli utenti della nuova modalità da attivare per non essere disturbati.

A tale scopo il Garante ha messo a punto i due modelli di informativa che le società dovranno utilizzare e nei quali vengono specificati i cinque modi per potersi iscrivere al Registro (per posta, tramite numero verde, via mail, via fax, direttamente sul sito web della Fondazione Bordoni).

Il primo modello riguarda i nuovi abbonati alla telefonia, fissa e mobile, e coloro che cambiano operatore richiedendo la cosiddetta "portabilità del numero". Il modulo dovrà essere fornito al momento della stipula del contratto, oltre che inserito nei siti web degli operatori telefonici. Consentirà, anche di decidere se comparire negli elenchi telefonici ed eventualmente con quali dati (ad. es. solo con il cognome e l'iniziale del nome).

Il secondo modello è relativo ai vecchi abbonati e dovrà essere inviato alla prima occasione utile di contatto (rendiconti, fatture, altre comunicazioni di servizio) oltre che essere inserito nei siti web degli operatori. Il modello dovrà specificare che l'abbonato ha sempre diritto di cancellarsi in ogni momento dagli elenchi telefonici.

Rispetto a quelli attuali, i prossimi elenchi telefonici dunque non recheranno più il simbolo grafico della cornetta con il quale venivano individuati gli abbonati che avevano acconsentito a far utilizzare la loro utenza per chiamate commerciali. D'ora in poi, infatti, non dipenderà dal simbolo la possibilità per le aziende di usare i numeri telefonici per fare marketing telefonico, ma dalla iscrizione o meno delle utenze al Registro delle opposizioni.

Il mancato rispetto delle prescrizioni del Garante, ricorda l'Autorità nel suo comunicato, comporta sanzioni da un minimo di 30mila ad un massimo di 180mila euro, che potranno raggiungere, nei casi piú gravi, i 300mila euro.

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Consulenza e formazione in materia di privacy

Studio Legale Avvocato Giuseppe Briganti

Pesaro - Urbino

Con provvedimento del 2 marzo 2011, il Garante privacy ha emanato le linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web

Con riguardo all'ambito di applicazione del provvedimento, il Garante, in particolare, afferma:

« L'attuale processo di innovazione e digitalizzazione della pubblica amministrazione è caratterizzato da numerose iniziative, anche legislative, volte a migliorare l'efficienza, l'efficacia e la qualità delle prestazioni e dei servizi erogati dai soggetti pubblici mediante l'incremento dell'utilizzo delle tecnologie informatiche e telematiche.

Le recenti disposizioni in materia di trasparenza e pubblicità dell'azione amministrativa e quelle sulla consultabilità degli atti prevedono in capo ai soggetti pubblici diversi obblighi di messa a disposizione delle relative informazioni da realizzare con modalità di divulgazione e ambiti di conoscenza di tipo differente, comportando, a seconda dei casi, operazioni di comunicazione oppure di diffusione di dati personali.

La disciplina sulla protezione dei dati personali regola la comunicazione e la diffusione delle informazioni personali in maniera tendenzialmente uniforme, indipendentemente dalle modalità tecniche utilizzate; ciò, sia nei casi in cui i dati personali siano resi noti mediante una pubblicazione cartacea, sia laddove tali informazioni siano messe a disposizione on line tramite una pagina web.

Le presenti "Linee guida" hanno, pertanto, lo scopo di definire un primo quadro unitario di misure e accorgimenti finalizzati a individuare opportune cautele che i soggetti pubblici sono tenuti ad applicare in relazione alle ipotesi in cui effettuano, in attuazione alle disposizioni normative vigenti, attività di comunicazione o diffusione di dati personali sui propri siti istituzionali per finalità di trasparenza, pubblicità dell'azione amministrativa, nonché di consultazione di atti su iniziativa di singoli soggetti ».

Il sommario del provvedimento:

1. Ambito di applicazione

1.1. Riscontro all'interessato in caso di accesso ai propri dati personali: non applicabilità delle presenti Linee guida

2. Premessa

2.1.Pubblicazione di dati personali sulla base di espresse previsioni normative

2.2.Pubblicazione di informazioni personali strettamente necessaria al perseguimento di finalità istituzionali

2.3.Pubblicazione di informazioni alla luce della recente riforma normativa in materia di trasparenza delle pubbliche amministrazioni

2.4.Pubblicazione di informazioni personali su richiesta dell'interessato

2.5.Sindacabilità delle scelte in ordine alla pubblicazione di dati personali

3. Trasparenza, pubblicità e consultabilità di atti e documenti: definizioni

3. 1. Trasparenza

3. 2. Pubblicità

3. 3. Consultabilità

4. Trasparenza, pubblicità e consultabilità di atti e documenti: valutazione delle tre grandi finalità perseguibili mediante la pubblicazione on line

5. Accorgimenti tecnici in relazione alle finalità perseguite

5. 1. Motori di ricerca

5. 2. Tempi proporzionati di mantenimento della diffusione dei dati

5. 3. Duplicazione massiva dei file contenenti dati personali

5. 4. Dati esatti e aggiornati

6. Fattispecie esemplificative correlate a talune specifiche ipotesi normative

A. Trasparenza

A. 1. Informazioni riferite agli addetti ad una funzione pubblica

A. 1.1. Trasparenza dell'attività delle pubbliche amministrazioni senza dati personali

A. 2. Situazione patrimoniale di titolari di cariche e incarichi pubblici

A. 3. Ruoli del personale e bollettini ufficiali

A. 4. Albo dei beneficiari di provvidenze di natura economica

B. Pubblicità degli atti amministrativi e albo pretorio on line

B. 1. Concorsi e selezioni pubbliche

B. 2. Graduatorie, elenchi professionali ed altri atti riguardanti il personale

C. Consultabilità di atti e documenti

C. 1. Elenchi del collocamento obbligatorio dei disabili

Leggi il provvedimento su IRDoc

Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook

Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità

Il Garante per la protezione dei dati personali ha realizzato un vademecum sul tema della privacy a scuola.

Come si legge sul sito del Garante, oltre a chiarimenti sulla corretta applicazione della normativa in materia di protezione dei dati personali, la guida fornisce indicazioni generali tratte da provvedimenti, pareri e note dell'Autorità.

Per facilitarne la consultazione, la guida è organizzata in cinque brevi capitoli:

Regole generali

Voti ed esami

Informazioni sugli studenti

Foto audio e video

Sicurezza e controllo

che riportano regole ed esempi, e in due sezioni "di servizio" (Parole chiave, Per approfondire) utili per comprendere meglio la specifica terminologia utilizzata nella normativa sulla privacy e per avere un sintetico quadro giuridico di riferimento.

Per maggiori informazioni e per scaricare la Guida: Garante privacy