L'Avv.
Giuseppe Briganti è Avvocato in Urbino dal 2001 e mediatore
professionista e formatore nei corsi per mediatori dal 2011. Dal 2001
cura il sito www.iusreporter.it dedicato alla ricerca giuridica sul
Web e al diritto delle nuove tecnologie. Svolge attività di
docenza, è autore di pubblicazioni giuridiche e collabora con
riviste giuridiche
(Copyright Immagine
Maksym Yemelyanov - Fotolia.com)
�
�
Il Garante privacy ha elaborato una serie di riflessioni e indicazioni per il corretto e consapevole trattamento dei dati personali con riferimento all'erogazione di servizi informatici che comportano l'esternalizzazione di dati, documenti e procedure (cloud computing).
Le indicazioni del Garante:
. Ponderare prioritariamente rischi e benefici dei servizi offerti
. Effettuare una verifica in ordine all'affidabilità del fornitore
. Privilegiare i servizi che favoriscono la portabilità dei dati
. Assicurarsi la disponibilità dei dati in caso di necessità
. Selezionare i dati da inserire nella cloud
. Non perdere di vista i dati
. Informarsi su dove risiederanno, concretamente, i dati
. Attenzione alle clausole contrattuali
. Verificare le politiche di persistenza dei dati legate alla loro conservazione
. Esigere e adottare opportune cautele per tutelare la confidenzialità dei dati
. Formare adeguatamente il personale
Approfondisci su www.garanteprivacy.it
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
(p)Link
Storico
Stampa
Il Garante privacy rende noto di aver autorizzato una società che opera nel settore della componentistica elettronica a conservare per novanta giorni le immagini registrate mediante l'impianto di videosorveglianza
« Lo ha stabilito l'Autorità Garante per la protezione dei dati personali che ha accolto l'istanza di verifica preliminare, presentata dalla medesima società al fine di rafforzare i propri standard di sicurezza.
Il proposito di raggiungere un maggiore livello di tutela della proprietà aziendale risponde all'esigenza, da parte della società, di potersi uniformare ai criteri dettati da un protocollo di sicurezza più severo, dal rispetto del quale dipende l'ammissione alla qualifica di "fornitore" in favore di una multinazionale tedesca.
La società richiedente si avvale di un sistema di videosorveglianza costituito da 18 telecamere, debitamente segnalate prima del raggio di azione dei dispositivi, ed era stata autorizzata dalla Direzione provinciale del lavoro a conservare le immagini registrate per un tempo non superiore ai due giorni.
L'ubicazione isolata del sito, il delicato settore produttivo in cui l'azienda opera e la peculiare attenzione posta a livello sia nazionale che internazionale rispetto alla fissazione comune di elevati parametri di sicurezza nel settore elettronico e informatico, giustificano - a parere del Garante - il prolungamento fino a novanta giorni della conservazione delle sole immagini relative a eventi che generano allarme (incidenti, porte di uscita emergenza aperte, porte e finestre forzate, allarme sensori sui vetri ecc.).
I filmati registrati su postazioni dedicate e conservati nei locali server con sistema a doppia password, saranno consultabili solo su specifica richiesta delle autorità inquirenti ».
Fonte: www.garanteprivacy.it, newsletter 351 del 20 settembre 2011
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
L'Autorità Garante per la protezione dei dati personali ha dichiarato illecito il trattamento di dati effettuato da un ente con il questionario somministrato, nei mesi scorsi, ai candidati che partecipavano alla selezione per il reclutamento di un dirigente tecnico. Parimenti illecito è stato definito il trattamento dei dati operato dalla società che ha curato la selezione e dalla psicologa incaricata della raccolta dei profili.
Il provvedimento dell'Autorità (relatore Mauro Paissan) del 21 luglio 2011 ha vietato con effetto immediato l'uso dei dati personali ricavati dalla somministrazione dei test.
Nel corso dell'istruttoria, avviata nel maggio scorso sulla base di notizie di stampa, il Garante ha accertato che numerose domande contenute nel questionario riguardavano aspetti anche intimi della sfera personale dei candidati, relativi ai rapporti affettivi, al grado di stabilità degli stessi, alla vita sessuale (con richieste su eventuali problemi o disturbi), condizioni di salute psico-fisica, eventuali interruzioni di gravidanza, tentativi di suicidio etc..
Tale trattamento dei dati è illecito, rileva il Garante, innanzitutto perché in contrasto con l'art.8 dello Statuto dei lavoratori, che vieta al datore di lavoro di fare indagini ai fini dell'assunzione sulle opinioni religiose, politiche e sindacali del lavoratore nonché su fatti non rilevanti per la valutazione dell'attitudine professionale, e perché in contrasto con l'art.10 del decreto legislativo n.276 del 2003 che vieta alle agenzie di lavoro o ai soggetti che si occupano di preselezione di lavoratori di effettuare indagini relative alle convinzioni personali, al credo religioso, all'orientamento sessuale, allo stato di gravidanza, allo stato di salute etc..
La raccolta di questi dati personali risulta inoltre illecita perché effettuata in violazione dei principi di indispensabilità, pertinenza e non eccedenza fissati dal Codice privacy.
Il trattamento di questo tipo di dati, infine, non è tra quelli contemplati nell'autorizzazione generale del Garante sull'uso dei dati sensibili e giudiziari.
Il Garante ha disposto la trasmissione del provvedimento al Ministero del lavoro e delle politiche sociali nonché all'autorità giudiziaria per le valutazioni di competenza, riservandosi anche di valutare l'apertura di un procedimento per l'applicazione di sanzioni amministrative.
Fonte: www.garanteprivacy.it
A cura dell'Avvocato Giuseppe Briganti,
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Come si legge nella Relazione 2010 del Garante privacy, in misura superiore rispetto all'anno precedente, nel 2010 sono pervenute all'Autorità segnalazioni con le quali si è lamentato il trattamento illecito dei dati personali su Facebook.
Il Garante privacy, pur nella consapevolezza dei limiti territoriali dell'applicazione della normativa italiana, ha contattato Facebook in un'ottica di collaborazione, sollevando alcune problematiche.
L'Autorità ha richiesto in particolare informazioni relative all'avvenuta disattivazione di tre profili, lamentata dagli interessanti.
Nel primo caso Facebook ha risposto elencando le ipotesi in cui provvede a disattivare i profili e ha sostenuto di non potere riattivare l'account del segnalante, non riuscendo a individuarlo (Nota 11 ottobre 2010).
Nel secondo caso ha risposto che il segnalante aveva commesso una violazione delle condizioni contrattuali di Facebook (Nota 15 ottobre 2010).
Nell'ultimo caso, invece, il profilo Facebook è stato riattivato (Nota 30 novembre 2010).
Il Garante, si legge ancora nella Relazione, ha inoltre esaminato diverse segnalazioni con le quali alcuni utenti italiani non iscritti a Facebook hanno lamentato la ricezione di e-mail indesiderate da parte del social network (Nota 11 ottobre 2010).
Dagli accertamenti effettuati, illustra il Garante, è risultato che Facebook mette a disposizione degli utenti iscritti la possibilità di usare uno strumento, denominato "friend-finder", attraverso il quale, in modo automatico, questi possono inserire tutti i contatti presenti nella propria casella di posta elettronica o nelle rubriche appartenenti ad altri servizi di messaggistica istantanea. A seguito di questo inserimento, Facebook provvede ad inviare a questi indirizzi e-mail messaggi di invito per l'iscrizione al social network, elaborando, automaticamente, un unico elenco, contenente tutti i nominativi degli utenti già iscritti al social network e che hanno inserito un medesimo indirizzo di posta elettronica. Pertanto, i contatti suggeriti agli utenti non iscritti, mediante l'e-mail inviata a costoro da Facebook, corrispondono a tali persone, già iscritte al social network, che hanno inserito l'indirizzo di posta elettronica dell'utente non iscritto nei database di Facebook.
Periodicamente, il social network invia una nuova e-mail per ricordare di iscriversi, aggiornando anche l'elenco dei "potenziali amici" individuati da Facebook.
Il Garante ha rilevato che si verifica in tal modo non soltanto un'attività di spam da parte del social network, ma anche un'attività di profilazione dell'utente non iscritto, cui sono infatti associati periodicamente una serie di "potenziali amici" tra gli utenti della piattaforma.
In un altro caso, il Garante privacy ha rigettato un ricorso nel quale una persona iscritta a Facebook aveva lamentato di essere stata "taggata" da un'altra, in particolare mediante una foto utilizzata per una campagna di sensibilizzazione sul tema dell'AIDS e dell'omosessualità, così svelando l'orientamento sessuale di tutti i soggetti "taggati", compreso il proprio.
Il Garante ha osservato in proposito che, poiché la pagina web in cui risultava la segnalante non era stata oggetto di diffusione o di comunicazione sistematica, tale utilizzo della foto doveva considerarsi effettuato per fini esclusivamente personali (art. 5, c. 3, del Codice della privacy) e non era pertanto soggetto all'applicazione delle norme del Codice della privacy (Provv. 18 febbraio 2010 [doc. web n. 1712776]).
Il Garante è intervenuto anche riguardo alla segnalazione di un lavoratore licenziato dalla propria società a causa dell'utilizzo che il medesimo aveva fatto di Facebook.
In particolare, si legge nella Relazione, il lavoratore aveva lamentato l'utilizzo da parte della società di alcune fotografie, scattate sul luogo di lavoro e sul cui sfondo erano visibili disegni, a detta dell'azienda, coperti da segreto industriale, tratte dal proprio profilo Facebook.
Il lavoratore segnalante aveva affermato la illiceità del trattamento dei dati in questione, sulla base del carattere "chiuso" del suo profilo, riservato a una cerchia ristretta di utenti, tra i quali non rientrava il datore di lavoro, e dell'assenza del consenso dell'interessato ai sensi dell'art. 23 del Codice della privacy.
Dall'istruttoria svolta dal Garante è emersa invece la possibilità per il datore di lavoro di utilizzare lecitamente le foto in questione, in quanto la consultazione era consentita non solo ai contatti scelti dal dipendente (i cd. "amici"), ma a una comunità più vasta, i cd. "amici degli amici", cioè ai contatti scelti dagli amici dell'interessato, quindi a una cerchia di utenti sostanzialmente indeterminabile (Nota 26 agosto 2010).
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Il Garante privacy ha recentemente precisato che le società che si avvalgono di agenzie o altre imprese per la promozione o la commercializzazione della loro attività senza che queste operino come autonomi titolari rispondono sempre in prima persona dei trattamenti dei dati e degli eventuali illeciti compiuti.
Inoltre, in questi casi le società devono provvedere a nominare formalmente le agenzie o le imprese di cui si avvalgono in outsourcing quali responsabili dei trattamenti stessi.
« E' quanto ha stabilito il Garante per la protezione dei dati personali nel provvedimento generale (pubblicato sulla G.U. n. 153 del 4 luglio) adottato per assicurare ai cittadini maggiori tutele contro i contatti commerciali indesiderati (telefonate, fax, posta etc.), fenomeno che ha registrato un forte incremento anche a seguito della modifica delle norme che regolano il telemarketing.
Dalle verifiche compiute dall'Autorità è infatti emerso che molte aziende, anche di grandi dimensioni, si avvalgono di società in outsourcing per le attività promozionali, ma definiscono esse stesse gli obiettivi, le strategie commerciali, le istruzioni operative e la modulistica necessaria.
Di conseguenza, in questi casi, i soggetti che operano in outsourcing non possono in alcun modo essere considerati autonomi titolari del trattamento, rimanendo tale titolarità in capo alle società committenti che rispondono di ogni illecito eventualmente commesso, nonché della mancata nomina quali responsabili delle aziende affidatarie dei servizi.
Nel suo provvedimento, il Garante ha dunque prescritto alle società che commissionano all'esterno l'attività di promozione ma ne mantengono di fatto il controllo operativo e quindi si configurano come titolari, anche l'obbligo di designare formalmente responsabili del trattamento i promoter di cui si avvalgono.
Le prescrizioni imposte dal Garante consentiranno di identificare con certezza gli autori di eventuali illeciti, garantendo maggiore tutela ai cittadini. Le società avranno 60 giorni di tempo per adempiere ».
Fonte: www.garanteprivacy.it
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Come si legge nella Relazione 2010 del Garante privacy, il Garante nel corso del 2010 si è occupato anche di segnalazioni riguardanti la diffusione su forum e blog di dati personali, anche con riferimento a commenti sull'attività professionale o commerciale di determinati soggetti.
L'Autorità ha evidenziato in proposito che l'indicazione di alcuni dati personali (come per esempio la denominazione della società, il relativo indirizzo e la formulazione di commenti sulla sua attività e sui servizi resi dalla medesima), sia a mezzo stampa, sia all'interno di un sito web, costituisce una libera manifestazione del pensiero (Nota 4 febbraio 2011).
In tal caso dunque la raccolta e la diffusione di dati personali pubblici, per esempio nelle note relative al nome della società, così come nei commenti, possono avvenire anche senza il consenso dell'interessato, in quanto rientrano nell'ambito della manifestazione del pensiero.
Il Garante ha comunque precisato che resta fermo il divieto di diffondere dati personali altrui ledendone la dignità o l'onorabilità (Nota 4 febbraio 2011).
Qualora peraltro il trattamento dei dati risulti illecito, per il mancato rispetto della normativa vigente (per esempio per eventuali profili diffamatori), precisa il Garante, è ovviamente possibile ricorrere alle forme di tutela previste dal codice civile e dal codice penale (risarcimento danni, querela, ecc.) da far valere dinanzi all'autorità giudiziaria.
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
L'Autorità Garante per la protezione dei dati personali ha presentato la Relazione sul quattordicesimo anno di attività e sullo stato di attuazione della normativa sulla privacy.
La Relazione sull'attività 2010 traccia il bilancio del lavoro svolto dall'Autorità e indica le prospettive di azione verso le quali occorre muoversi nell'obiettivo di costruire una autentica ed effettiva protezione dei dati personali, in particolare riguardo all'uso delle nuove forme di comunicazione e dei nuovi sistemi tecnologici.
L'attività del Garante privacy nel 2010
Le telefonate pubblicitarie indesiderate; Internet e le nuove tecnologie cloud computing; i sistemi di videosorveglianza; il fenomeno sempre più esteso dei social network; la trasparenza on line della Pubblica amministrazione; il servizio di Google Street View; i nuovi servizi in farmacia. E ancora: il delicato settore della sanità; il corretto rapporto tra diritto di cronaca e dignità delle persone; la protezione dei dati giudiziari; la tutela dei minori; la ricerca scientifica e farmacologica; le esigenze di semplificazione per le imprese.
Sono solo alcuni dei principali e complessi ambiti nei quali il Garante ha assicurato il suo intervento nel corso del 2010 a difesa di singoli individui e collettività. Intervento rafforzato dai maggiori poteri sanzionatori ora a disposizione dell'Autorità.
Numerose sono state le Audizioni parlamentari: tra le più rilevanti, quelle sulle problematiche legate alle politiche di immigrazione, all'anagrafe tributaria, alla semplificazione dei rapporti tra Pa e cittadini.
Le cifre
I provvedimenti collegiali adottati nel 2010 sono stati circa 600.
Si è dato risposta a circa 4000 tra quesiti, reclami e segnalazioni (in particolare, riguardo a telefonia, credito, centrali rischi, marketing, videosorveglianza, Internet, assicurazioni).
I ricorsi decisi dal Garante sono stati 350 (in maggioranza relativi a banche e finanziarie, attività di marketing, datori di lavoro pubblici e privati, sistemi di informazioni creditizie, operatori telefonici e telematici), confermando il trend dello scorso anno.
Il Collegio ha reso 16 pareri al Governo e al Parlamento (in particolare in materia di attività di polizia e sicurezza, giustizia, Codice dell'amministrazione digitale, informatizzazione e banche dati della Pa, formazione).
Le ispezioni effettuate nel 2010 sono state circa 500. I controlli hanno riguardato numerosi settori: in particolare, gli operatori telefonici, le strutture sanitarie pubbliche e private, i sistemi di videosorveglianza, il sistema della fiscalità, le società di marketing, gli istituti di credito.
Le violazioni amministrative contestate, compreso il primo semestre 2011, sono state oltre 500: una parte consistente ha riguardato le attività promozionali indesiderate, l'attivazione di servizi non richiesti e le strutture sanitarie pubbliche e private.
55 le violazioni segnalate all'autorità giudiziaria nel 2010.Tenendo conto anche del primo semestre 2011 ammontano a più di 4 milioni di euro le sanzioni amministrative già riscosse.
L'attività di relazione con il pubblico ha fatto registrare nel 2010 oltre 26.000 tra contatti telefonici ed e-mail esaminate, in particolare riguardo al telemarketing, alle e-mail e i fax indesiderati, alla videosorveglianza, a Internet, al lavoro pubblico e privato.
Linee guida e provvedimenti generali
Sono state approvate importanti linee guida in materia di informazione giuridica. Più di recente sono state approvate le linee guida in materia di pubblicazione e diffusione on line di atti e documenti della Pa e quelle sulla customer satisfaction in sanità.
Il Garante ha adottato anche alcuni provvedimenti generali per specifici settori: videosorveglianza; propaganda elettorale; tessera del tifoso; telemarketing; number portabilty; sistemi di informazione creditizia; "ricerca inversa" (la possibilità di risalire all'abbonato sulla base del numero telefonico); corretto uso dei dati del Pubblico registro automobilistico. Più recente è il provvedimento sulle nuove misure a protezione dei dati dei clienti nell'attività bancaria.
Gli interventi più rilevanti
Gli interventi più rilevanti hanno riguardato molteplici e delicati ambiti:
sanità (Fascicolo sanitario elettronico, referti medici via mail, prenotazione e ritiro analisi in farmacia, ricerca scientifica e farmacologica, progetto di sorveglianza epidemiologia sui militari in Bosnia, raccolta di dati sull' Hiv negli studi medici, riservatezza nelle strutture sanitarie, tenuta delle cartelle cliniche);
pubblica amministrazione (diffusione di dati su immobili di proprietà di enti pubblici, trasparenza degli emolumenti pubblici, pubblicazione e diffusione dei dati personali on line, banca dati sulla pedofilia, registri delle persone senza fissa dimora, misure di sicurezza per l'Anagrafe tributaria, interconnessione e sicurezza delle banche dati);
marketing (telefonate indesiderate e "Registro delle opposizioni", spam, fax e mail indesiderate);
telecomunicazioni (smartphone e tablet, conservazione dei dati di traffico telefonico e telematico a fini di giustizia, "ricerca inversa", misure di sicurezza, "profilazione" dei clienti);
giornalismo e informazione (cronache giudiziarie, tutela dei minori e delle vittime di violenza, dati sullo stato di salute e sulla vita sessuale, adozioni, foto di persone arrestate, archivi storici on line);
lavoro (sistemi di rilevazione biometrica, localizzazione dei dipendenti, navigazione in Internet e controllo dei lavoratori, sistemi di videosorveglianza);
giustizia e polizia (mediazione civile; processo civile telematico, misure di sicurezza per gli uffici giudiziari, Nuovo sistema informativo della giustizia amministrativa, Ced del Dipartimento di P.s., dati dei passeggeri aerei, misure di sicurezza per l'Archivio Schengen);
Internet (motori di ricerca, Google Street View, Google Buzz, Facebook e social network, illegittima conservazione dei dati sulla navigazione in rete, forum e blog, semplificazioni per piccoli Internet provider, profilazione on line);
nuove tecnologie (geolocalizzazione, tecnologie a radiofrequenza - Rfid);
scuola e università (graduatorie scolastiche, anagrafe nazionale degli studenti, uso di telecamere, pubblicità scrutini e voti scolastici, preiscrizioni universitarie);
società (tessera del tifoso, agenzie matrimoniali, ski pass, condominio);
impresa (trasferimento di dati all'estero, previdenza, agenzie di rating e controlli sui conflitti di interesse, semplificazione degli adempimenti, informazioni commerciali);
banche, finanziarie e assicurazioni (accesso ai dati dei clienti delle banche, misure di protezione, sistemi di informazioni creditizie, accesso ai dati sul credito al consumo da parte di finanziatori Ue).
L'attività internazionale
Non meno rilevante l'attività del Garante a livello internazionale, a partire da quella svolta nel Gruppo delle Autorità per la privacy europee ("Gruppo Articolo 29"). I Garanti europei si sono occupati, in particolare, dei nuovi servizi offerti da Google; delle direttive del "Pacchetto Telecom" che introducono nuove regole relative anche all'uso dei cookies ed al tracciamento degli utenti; delle tecniche di profilazione legate alla "pubblicità comportamentale" (behavioural advertising); della riforma della direttiva Ue sulla privacy; delle "regole vincolanti di impresa" per i trasferimenti di dati all'interno delle multinazionali; dell'utilizzo negli Usa, a fini di lotta al terrorismo, della banca dati europea del sistema Swift sulle transazioni finanziarie; dello stato di attuazione della direttiva sulla conservazione dei dati di traffico (attraverso un'attività congiunta di indagine coordinata dall'Autorità italiana). Il Garante ha contribuito, inoltre, ai lavori dei gruppi che, in sede OCSE e presso il Consiglio d'Europa, si occupano di protezione dei dati, ed ha proseguito l'attività iniziata dalla Conferenza internazionale delle autorità di protezione dati tesa alla definizione di standard internazionali in questo ambito.
Intenso il lavoro nell' ambito delle Autorità di controllo Schengen, Europol, Eurodac e soprattutto nel WPPJ, il Gruppo di lavoro appositamente istituito dalle Autorità garanti europee per la tutela dei cittadini nel settore della cooperazione giudiziaria e di polizia, che ha visto riconfermata per il quinto anno consecutivo la Presidenza al Garante italiano.
RELAZIONE 2010
Evoluzione tecnologica e protezione dei dati
I. STATO DI ATTUAZIONE DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1. Principali interventi dell'Autorità nel 2010
1.1. Provvedimenti più significativi
1.1.1. Trattamenti collegati allo svolgimento di funzioni di giustizia
1.1.2. Pubblicazione di atti sul web da aprte di amministrazioni pubbliche
1.1.3. Trattamenti di dati sensibili, in particolare relativi allo stato di salute
1.1.4. Giornalismo e informazione online
1.1.5. Comunicazioni elettroniche e acquisizioni su larga scala di imagini per la pubblicazione online
1.1.6. Protezione dei dati dei lavoratori dipendenti
1.1.7. Iniziativa economica: telemarketing e profilazione di agenzie di rating
1.1.8. Trattamento di dati per la "tessera del tifoso"
1.2. Rapporti con il Parlamento e altre istituzioni
1.2.1. Le audizioni del Garante in Parlamento
1.2.2. L'Autorità e le attività di sindacato ispettivo e di indirizzo e controllo del Parlamento
1.2.3. L'attività consultiva del Garante sugli atti del Governo
1.2.3. Altri pareri
1.3. Leggi regionali
2. Quadro normativo in materia di protezione dei dati personali
2.1. Le garanzie previste nel Codice e alcuni recenti interventi modificativi
2.1.1. Le modifiche in materia di conoscibilità di notizie relative all'attività del personale addetto a una funzione pubblica
2.1.2. Le modifiche in materia di contrassegni di veicoli di persone invalide
2.2. Novità normative con riflessi in materia di protezione di dati personali
II. L'ATTIVITÀ SVOLTA DAL GARANTE
3. Il Garante e le pubbliche amministrazioni
3.1. I regolamenti sui trattamenti di dati sensibili e giudiziari
3.1.1. I regolamenti delle autorità indipendenti
3.2. La trasparenza dell'attività amministrativa e l'accesso ai documenti amministrativi
3.3. La documentazione anagrafica e la materia elettorale
3.4. L'istruzione
3.4.1. La scuola
3.4.2. L'università
3.5. Attività fiscale, tributaria e doganale
3.6. Trattamenti effettuati presso regioni ed enti locali
3.7. Comunicazioni di dati personali tra soggetti pubblici
3.8. L'attività giudiziaria
3.8.1. L'informazione giudiziaria
3.8.2. Trattamento di dati negli uffici giudiziari
3.8.3. Noticazioni di atti e comunicazioni
4. La sanità
4.1. Il trattamento di dati idonei a rivelare lo stato di salute
4.1.1. I trattamenti per fini di cura della salute
4.1.1.1. Le linee-guida in tema di fascicolo sanitario elettronico (FSE) e di dossier sanitario
4.1.1.2. Consultazione online dei referti medici
4.1.2. I trattamenti per fini amministrativi
4.1.3. I trattamenti di dati personali in occasione dell'accertamento dell'infezione da Hiv
4.1.4. Le strutture sanitarie e la tutela della dignità delle persone
4.1.5. La ricerca scientifica
5. I dati genetici
6. La ricerca statistica e storica
7. Attività di polizia
7.1. Il controllo sul Ced del Dipartimento di pubblica sicurezza
7.2. Altri interventi in relazione ad ulteriori attività di forze di polizia
7.3. Il controllo sul Sistema di informazione Schengen
8. Attività giornalistica e tecnologie della comunicazione
8.1. Minori
8.2. Cronache giudiziarie
8.3. Dati sulla salute
8.4. Espressione artistica e letteraria
8.5. Informazioni relative a persone e fatti di interesse pubblico
8.6. Archivi storici e informazioni online
9. Trattamento di dati personali attraverso Internet e tecnologie della comunicazione
9.1. Diffusione di dati sensibili su Internet
9.2. Forum e blog
9.3. Facebook
9.4. Informativa e consenso nella compilazione di form di registrazione online
9.5. Google street view: la tutela dei "payload data", l'utilizzo delle Google car e l'obbligo informativo
9.6. Dati personali utilizzati a fini di profilazione e marketing
9.7. Uso della tecnologia RFID nelle tessere ski-pass
9.8. Trattamento di dati personali nel settore delle telecomunicazioni
9.9. "Nuove frontiere" del diritto alla protezione dei dati personali: approfondimento sull'utilizzo delle applicazioni per smartphone e tablet
10. Propaganda elettorale e associazioni
11. Le attività economiche e i rapporti di lavoro
11.1. Settore bancario
11.2. Trattamento di dati personali nell'ambito della centrale dei rischi gestita dalla Banca d'Italia e dei sistemi di informazione creditizia (SIC)
11.3. Settore assicurativo
11.4. Rapporti di lavoro e previdenza
11.4.1. Rapporto di lavoro in ambito pubblico
11.4.2. Rapporto di lavoro in ambito privato
11.4.3. Previdenza
11.5. Altre attività imprenditoriali
11.6. Trattamento di dati per "tessera del tifoso"
12. Trasferimento di dati personali all'estero
13. Libere professioni
13.1. Ordini professionali
14. Trattamento dei dati personali in ambito condominiale
15. La videosorveglianza e la biometria
15.1. Videosorveglianza in ambito pubblico
15.2. Videosorveglianza in ambito privato
15.3. Biometria
16. Il registro dei trattamenti
17. La trattazione dei ricorsi
17.1. Considerazioni generali
17.2. Diritti esercitati, tipologia dei ricorsi, tipi di decisioni adottate
17.3. I profili procedurali
17.4. La casistica più significativa
17.2.1. Rapporto di lavoro
17.2.2. Trattamento di dati in ambito giornalistico
17.2.3. Trattamento di dati in ambito bancario e informazioni commerciali
18. Il contenzioso giurisdizionale
18.1. Considerazioni generali
18.2. Profili procedurali
18.3. Profili di merito
18.4. Le opposizioni ai provvedimenti del Garante
18.5. L'intervento del Garante nei giudizi relativi all'applicazione del Codice
19. L'attività ispettiva e le sanzioni
19.1. La programmazione dell'attività ispettiva
19.2. La collaborazione con la Guardia di finanza
19.3. I settori oggetto dei controlli e i casi più rilevanti
19.4. L'attività sanzionatoria del Garante
19.4.1. Violazioni penali e procedimenti relative alle misure minime di sicurezza
19.4.2. Sanzioni amministrative
20. Le relazioni internazionali
20.1. Le conferenze delle autorità su scala internazionale
20.2. La cooperazione delle autorità garanti nell'UE: il gruppo art. 29
20.3. La cooperazione delle autorità di protezione dei dati nel settore libertà, giustizia e affari interni
20.4. La partecipazione ad altri comitati e gruppi di lavoro
21. Le attività di comunicazione, studio e ricerca
21.1. La comunicazione del Garante: profili generali
21.2. I prodotti informativi
21.3. Gli incontri internazionali
21.4. Le manifestazioni e le conferenze
21.5. Le relazioni con il pubblico
21.6. Il Servizio studi e documentazione
21.7. La Biblioteca
21.8. Le altre iniziative di comunicazione e ricerca
21.9.1. Il Laboratorio Privacy Sviluppo
III - L'UFFICIO DEL GARANTE
22. La gestione amministrativa dell'Ufficio
22.1. Il bilancio, gli impegni di spesa e l'attività contrattuale
22.2. Le novità legislative e regolamentari e l'organizzazione dell'Ufficio
22.3. Il personale e i collaboratori esterni
22.4. Il settore informatico e tecnologico
22.5. Il monitoraggio dell'efficacia e dell'efficienza e il supporto al controllo interno
23. Dati statistici
IV - DOCUMENTAZIONE
24. Provvedimenti del Garante
25. Principali attività internazionali
25.1. Unione europea
25.2. Corte di giustizia delle Comunità europee
25.3. Il Gruppo Art. 29
25.4. Europol
25.5. Sistema informativo doganale
25.6. Schengen
25.7. 32esima conferenza delle autorità su scala internazionale
25.8. Spring conference
25.9. Gruppo di lavoro in materia di attività giudiziarie e di polizia - WPPJ
25.10. Gruppo di lavoro internazionale sulla protezione dei dati nel settore delle telecomunicazioni - IWGDPT
25.11 Consiglio d'Europa
Fonte: www.garanteprivacy.it
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Il Garante privacy ha fissato con un provvedimento del 12/05/2011 rigorose misure a protezione dei dati dei correntisti
« Dati dei clienti più sicuri e al riparo da accessi non autorizzati e intrusioni indebite negli istituti bancari. Il Garante privacy ha fissato le regole alle quali dovranno attenersi banche e Poste Italiane spa (relativamente all'attività bancaria e finanziaria) per "blindare" il sistema informativo e garantire un corretto trattamento dei dati dei correntisti.
Il provvedimento generale tiene conto di numerose istanze pervenute al Garante, di accertamenti ispettivi effettuati tra il 2008 e il 2010 presso le maggiori banche o gruppi bancari e degli esiti di una ulteriore attività di rilevazione svolta in collaborazione con Abi che ha coinvolto 441 banche. Alcuni clienti, in particolare, avevano segnalato che i loro dati erano stati oggetto di accessi indebiti, presumibilmente da parte di dipendenti, e comunicati a terzi che li avevano poi utilizzati per scopi personali, in genere, in cause di separazioni giudiziali e in procedure esecutive (ad es. pignoramenti presso terzi).
In assenza di una normativa che obblighi le banche a tracciare tutte le operazioni l'Autorità ha ritenuto di prescrivere agli istituti bancari l'adozione di rigorose misure.
Ogni operazione di accesso ai dati dei clienti (sia che comporti movimentazione di denaro o sia di semplice consultazione), effettuata da qualunque figura all'interno della banca, dovrà essere tracciata attraverso una serie di elementi: il codice identificativo del dipendente; la data e l'ora di esecuzione; il codice della postazione di lavoro utilizzata; il codice del cliente ed il tipo di rapporto contrattuale "consultato" (numero del conto corrente, fido, mutuo, deposito titoli). In questo modo la banca saprà sempre chi e quando ha avuto accesso ad un determinato conto corrente o ha effettuato operazioni. I file di log di tracciamento delle operazioni, comprese quelle di semplice consultazione, dovranno essere conservati per un periodo di almeno 24 mesi.
Le banche, inoltre, dovranno prevedere l'attivazione di alert che individuino comportamenti anomali o a rischio (es. consultazioni massive, accessi ripetuti su uno stesso nominativo).
Almeno una volta l'anno la gestione dei dati bancari dovrà essere oggetto di un'attività di controllo interno da parte degli istituti, per verificare la rispondenza alle misure organizzative, tecniche e di sicurezza previste dalla normativa vigente. Il controllo, adeguatamente documentato, dovrà essere eseguito da personale diverso da quello che ha accesso ai dati dei clienti. E verifiche sulla legittimità e liceità degli accessi, sull'integrità dei dati e delle procedure informatiche dovranno essere effettuate anche a posteriori, sia a campione sia a seguito di allarme.
Alle banche è stato infine raccomandato di comunicare al cliente eventuali accessi non autorizzati al proprio conto e di rendere note al Garante eventuali violazioni di particolare rilevanza (per quantità, qualità dei dati, numero dei clienti) ».
Fonte: www.garanteprivacy.it
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Provvedimento Garante privacy 7 aprile 2011
Registro dei provvedimenti n. 139 del 7 aprile 2011
« [...] Ciò nonostante, si deve rilevare che il trattamento operato dalla società in relazione ai dati personali dell'interessata non sia comunque lecito per le ragioni che seguono.
4.3. In primo luogo, sul piano sistematico, occorre evidenziare che questa Autorità, pur avendo rammentato più volte che il datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l'effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti (artt. 2086, 2087 e 2104 cod. civ.) (cfr., da ultimo, Provv. 10 giugno 2010, doc. web n. 1736780; Provv. 24 febbraio 2010, doc. webn. 1712856; Provv. 23 dicembre 2010, doc. web n. 1786116), ha comunque chiarito che, nell'esercizio di tale prerogativa, debbono essere salvaguardati la libertà e la dignità dei lavoratori, nonché i principi fissati dall'art. 11 del Codice sul trattamento dei dati personali, che impongono, tra l'altro, di rendere note ai lavoratori le caratteristiche essenziali dei trattamenti, soprattutto se effettuati per finalità di controllo (cfr. p. 5.2 e 6.1 delle citate Linee guida).
Nel caso di specie, dalle risultanze istruttorie è emerso che la società ha trattato dati personali riferiti alla reclamante acquisendoli in occasione di una verifica effettuata sui propri sistemi informativi; tale attività, però, risulta compiuta senza che fosse stata fornita ai dipendenti -e quindi neanche all'odierna reclamante- un'idonea e preventiva informativa sul punto (art. 13 del Codice), non potendo a tal fine ritenersi sufficienti le scarne indicazioni contenute nel regolamento del 9 giugno 2008, unico documento avente contenuto informativo posto a conoscenza dell'interessata (l'altro regolamento richiamato dalla società, infatti, risulta predisposto ed entrato in vigore in data successiva al licenziamento della predetta). Difatti, benché il regolamento del giugno 2008 rechi un riferimento all'obbligo di utilizzare gli strumenti elettronici affidati ai lavoratori per esclusive finalità professionali, esso non riporta alcuna indicazione circa la possibilità per la società di acquisire e conservare dati personali dei dipendenti anche per effetto di copie di backup (cfr. punto 3.2 delle Linee guida del 1° marzo 2007, cit.; cfr. altresì Provv. 2 febbraio 2006, doc. web n. 1229854), né sull'eventualità di trattare tali dati in vista di possibili controlli (anche occasionali), le cui modalità di effettuazione, peraltro, non risultano neanche adombrate.
Ne consegue che il trattamento operato dalla società, alla luce dei principi di correttezza e finalità posti dal Codice (art. 11, comma 1, lett. a) e b)) e richiamati nelle citate Linee guida, non può essere reputato conforme a legge.
Inoltre, il trattamento risulta essere anche eccedente rispetto alla finalità perseguita (art. 11, comma 1, lett. d) del Codice).
Infatti, fermo restando il diritto della società di verificare l'eventuale violazione, da parte della reclamante, degli obblighi cui la stessa era tenuta in qualità di prestatrice di lavoro (stante anche l'esplicito divieto contenuto nel regolamento del 9 giugno 2008 di utilizzare per motivi personali "tutta l'attrezzatura e strumentazione aziendale"), non può non rilevarsi che ai fini di tale accertamento, anziché prendere conoscenza degli specifici contenuti nella directory denominata "XY_personali" (circostanza, questa, non smentita dalla società), sarebbe stato sufficiente constatare l'esistenza della "cartella" stessa, la quale, già in ragione della sua denominazione, lasciava intuire la presenza di informazioni di carattere privato (cfr., in proposito, anche Provv. 10 giugno 2010, doc. web n. 1736780 e Provv. 18 maggio 2006, doc. web n. 1299082) [...] »
Leggi il testo integrale del provvedimento sul sito del Garante privacy
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Il Garante per la protezione dei dati personali comunica di aver fissato le regole alle quali dovranno attenersi gli organismi sanitari pubblici e privati che svolgono indagini sulla qualità dei servizi sanitari offerti ai cittadini.
Dal comunicato diffuso dal Garante privacy:
« I sondaggi per verificare la customer satisfaction degli assistititi - effettuati per telefono, per posta, per email, tramite questionari cartacei o form su siti istituzionali - possono riguardare esclusivamente informazioni sulla qualità del servizio (accoglienza, tempi di attesa, informazioni ricevute, comfort della struttura), senza entrare nella valutazione degli aspetti sanitari delle prestazioni e delle cure erogate.
Poiché nel corso di queste attività possono essere raccolti una gran quantità di dati personali il Garante ha individuato in apposite Linee guida (domani in Gazzetta ufficiale) un quadro unitario di misure e accorgimenti.
Prima di iniziare il sondaggio gli organismi sanitari dovranno valutare se vi sia la reale necessità di raccogliere dati personali o se non sia invece possibile raggiungere gli stessi obiettivi utilizzando dati anonimi. In questo secondo caso non si applicano le Linee guida. Qualora invece si ritenga necessario acquisire dati personali, questi vanno comunque distrutti o resi anonimi subito dopo la registrazione.
La partecipazione al sondaggio deve essere sempre facoltativa.
Non potranno essere utilizzati dati sulla vita sessuale e le informazioni raccolte nel corso delle attività di customer satisfaction non potranno essere utilizzate per profilare gli utenti o inviare materiale pubblicitario.
La comunicazione o la diffusione dei risultati dei sondaggi dovrà avvenire sempre in forma anonima o aggregata.
Potrebbe anche accadere che alcune risposte possano rivelare informazioni sulla salute dell'utente, desumibili anche dal tipo di reparto che ha erogato il servizio (ad es. ginecologia, neurologia, oncologia), dalla prestazione fruita (ad es. tipo di intervento chirurgico), persino dalla fornitura di particolari ausili (ad es. pannoloni, protesi, plantari). In questo caso gli organismi privati che svolgono direttamente un'indagine di gradimento sui servizi sanitari devono chiedere il consenso scritto degli utenti coinvolti. Consenso che non deve essere richiesto dagli organismi sanitari pubblici anche quando conducono sondaggi attraverso le strutture convenzionate.
Agli utenti, infine, dovrà essere sempre assicurata, sia dagli operatori privati che pubblici, una dettagliata informativa in cui risultino chiari tutti gli aspetti e le modalità del sondaggio.
Gli organismi sanitari potranno anche avvalersi di un modello semplificato di informativa predisposto dall'Autorità, allegato alle Linee guida ».
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
