Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DIGITALMEDIA - APPROFONDIMENTO: Garante privacy presentata la relazione annuale per lanno 2014

133 views

Published on

Il 23 giugno 2015 l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha presentato
la relazione sull’operato sul diciottesimo anno di attività e sullo stato di attuazione della normativa privacy.
La relazione traccia un bilancio del lavoro svolto dall’Autorità e indica le azioni da intraprendere per
assicurare un’effettiva protezione dei dati personali, soprattutto a seguito dello sviluppo di tecnologie di
raccolta e uso dei dati personali sempre più invasive.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

DIGITALMEDIA - APPROFONDIMENTO: Garante privacy presentata la relazione annuale per lanno 2014

  1. 1. Via Rasella, 155 - 00187 Roma Via dell’Orso, 2 - 20121 Milano Tel +39 06 696661 Fax +39 06 69666544 Tel +39 02 722341 Fax +39 02 72234545 Garante Privacy: presentata la relazione annuale per l’anno 2014 Federica De Santis Il 23 giugno 2015 l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha presentato la relazione sull’operato sul diciottesimo anno di attività e sullo stato di attuazione della normativa privacy. La relazione traccia un bilancio del lavoro svolto dall’Autorità e indica le azioni da intraprendere per assicurare un’effettiva protezione dei dati personali, soprattutto a seguito dello sviluppo di tecnologie di raccolta e uso dei dati personali sempre più invasive. 1. GLI INTERVENTI PIÙ RILEVANTI  Cookies. Si è concluso il lavoro iniziato dall’Autorità nel 2013 in tema di utilizzo trasparente dei cookies: con provvedimento generale dell’8 maggio 2014, n. 229, entrato in vigore lo scorso 2 giugno 2015, il Garante Privacy ha individuato modalità semplificate per rendere agli utenti l’informativa sull’uso dei cookies e ha fornito indicazioni per acquisirne il consenso, quando richiesto (si veda al riguardo la nostra newsletter del mese di giugno 2015. Inoltre, l’Autorità ha predisposto una sezione dedicata del proprio sito web (consultabile al seguente link) che raccoglie i provvedimenti principali in materia nonché informazioni utili per gli operatori in relazione agli obblighi previsti in materia di uso di cookies.  Trattamento di dati personali attraverso internet. A fronte di informative sul trattamento dei dati personali e di form di registrazione a servizi vari disponibili su alcuni siti web non conformi al dettato del Codice Privacy, l’Ufficio del Garante Privacy ha emanato dei provvedimenti dal contenuto inibitorio e prescrittivo. In particolare, si segnala il provvedimento 25 settembre 2014 n. 427 adottato in relazione alla ricezione di messaggi promozionali via email da parte di utenti che avevano prestato il proprio consenso al solo scopo di ottenere l’iscrizione ad un servizio di newsletter online. Inoltre, il Garante Privacy, primo tra i Garanti europei, ha impartito prescrizioni a Google, Inc. volte ad assicurare la conformità alla normativa privacy italiana dei trattamenti di dati personali svolti attraversi i diversi servizi forniti dalla società (tra cui il motore di ricerca, la posta elettronica, la diffusione di filmati tramite YouTube e il proprio social network), predisponendo altresì un protocollo per verificare l’attuazione delle misure prescritte.  Mobile payment. Facendo seguito all’attività conoscitiva svolta nel 2013 in merito ai nuovi servizi di pagamento attraverso il telefono cellulare, il Garante ha adottato, dopo una preliminare fase di consultazione pubblica, un provvedimento generale in materia di trattamento di dati personali nell’ambito dei servizi di mobile remote payment (provvedimento 22 maggio 2014, n. 258), volto a delineare un primo quadro organico di regole (si veda al riguardo la nostra newsletter del mese di luglio 2014).
  2. 2. 2/3  App mediche. Su input del Global Privacy Enforcement Network (GPEN), il Garante Privacy (membro del Gruppo) ha svolto il 13 e 14 maggio 2014 un’indagine (cd. sweep) su alcune applicazioni mediche scaricabili su smartphone e tablet per verificare il grado di trasparenza sull’uso delle informazioni degli utenti, le autorizzazioni loro richieste per scaricare le applicazioni e il rispetto della normativa italiana sulla protezione dei dati. I risultati dello sweep sono stati poi resi pubblici con una lettera congiunta delle Autorità che hanno partecipato all’iniziativa, indirizzata alle maggiori piattaforme e operatori del mercato delle app.  Diritto all’oblio. A seguito della sentenza della Corte di Giustizia UE nel caso Google Spain del 13 maggio 2014 in relazione al cd. diritto all’oblio (si veda, in argomento, la nostra newsletter del mese di giugno 2014, nonché il numero di dicembre 2014) il Garante ha adottato alcuni provvedimenti su segnalazioni pervenute dopo il mancato accoglimento da parte di Google di richieste di deindicizzazione di pagine presenti sul web che riportavano dati personali ritenuti non più di interesse pubblico. Le segnalazioni e i ricorsi pervenuti al Garante hanno riguardato, in particolare, la richiesta di deindicizzazione di articoli relativi a vicende processuali ancora recenti e, in alcuni casi, non concluse.  Fascicolo sanitario elettronico e dossier sanitari. L’Autorità ha confermato il suo ruolo di primario attore istituzionale nell’implementazione del Fascicolo sanitario elettronico (Fse) secondo canoni conformi ai principi che governano la protezione dei dati personali e, in particolare, alle “Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario” approvate con provvedimento del 16 luglio 2009, n. 25. Sul versante del dossier sanitario, data la vasta diffusione di tale strumento sul territorio nazionale e le diverse segnalazioni ricevute, si sono resi necessari numerosi interventi da parte dell’Autorità volti a verificare il rispetto, da parte dei sistemi in uso, delle misure indicate dal Garante Privacy nelle citate Linee guida.  Trasparenza amministrativa. Per quanto riguarda il tema della trasparenza e della pubblicazione in internet di dati personali, a seguito dell’entrata in vigore del D. Lgs. n. 33/2013 in materia di trasparenza amministrativa, e considerate le numerose istanze ricevute, il Garante ha adottato le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provvedimento 15 maggio 2014, n. 243). Il Garante ha sottolineato che rimane ferma la regola generale sancita dal Codice Privacy secondo cui i soggetti pubblici possono diffondere dati personali solo se ciò è previsto da una specifica disposizione di legge o di regolamento. In presenza di un obbligo di pubblicazione online, le pubbliche amministrazioni devono selezionare i dati personali da inserire negli atti e documenti oggetto di pubblicazione e verificare, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni nel rispetto del principio di pertinenza e non eccedenza dei dati nonché, nel caso dei dati sensibili, di indispensabilità.  Uso di nuove tecnologie sul posto di lavoro. I principali interventi del Garante nel corso del 2014 sono stati diretti a fornire indicazioni sul corretto uso di smartphone e tablet aziendali in dotazione ai lavoratori nonché ad assicurare tutele nel mercato del lavoro online. In particolare, il Garante si è pronunciato in più occasioni in relazione all’utilizzo di tecnologie di localizzazione in ambito lavorativo, come ad esempio applicazioni informatiche che consentono di localizzare geograficamente dispositivi mobili (smartphone) forniti in dotazione ai dipendenti, individuando le condizioni di liceità di tale utilizzo nel rispetto della disciplina sui controlli a distanza contenuta nello Statuto dei Lavoratori (L. 300/1970).  Trattamento di dati biometrici. A seguito di consultazione pubblica, il 12 novembre 2014 il Garante ha adottato un provvedimento generale in materia di dati biometrici (si veda al riguardo la nostra newsletter di marzo 2015, disponibile al seguente link. Il provvedimento, nel rispetto del principio
  3. 3. 3/3 di minimizzazione e con l’individuazione di numerose misure di sicurezza, ha identificato alcune tipologie di trattamento che, per le finalità perseguite, presentano un livello ridotto di rischio e non necessitano della verifica preliminare da parte dell’Autorità (è il caso, ad esempio, di forme di autenticazione informatica, per il controllo di accesso fisico ad aree “sensibili”, per la sottoscrizione di documenti informatici nonché per scopi cd. facilitativi).  Call center e telefonate mute. Il Garante ha continuato ad occuparsi del fenomeno delle chiamate ‘mute’, ossia telefonate promozionali nelle quali, a causa dell’arbitraria e non corretta impostazione dei sistemi automatizzati di chiamata utilizzati dai call center, il destinatario, dopo aver risposto, non trova dall’altro capo del filo alcun operatore. A fronte di tale fenomeno, il Garante ha adottato il provvedimento 20 febbraio 2014 n. 83, il quale prevede, tra l’altro, l’obbligo per i call center di censire correttamente e secondo criteri uniformi le chiamate mute effettuate, da interrompersi entro un massimo di 3 secondi dalla risposta dell’utente. Inoltre, il numero di chiamate mute considerate tollerabili non può essere superiore al 3% di tutte le chiamate andate a buon fine, percentuale misurata in ogni singola campagna di telemarketing; a seguito di una chiamata muta, l’utente non potrà essere ricontattato prima di cinque giorni e comunque al contatto successivo dovrà essere prevista una modalità di instradamento automatico della chiamata in modo da assicurare la presenza di un operatore.  Riforma della normativa privacy UE. Il Garante ha svolto un ruolo attivo nel dibattito sulla revisione del quadro normativo europeo sulla protezione dei dati personali (in particolare, in vista dell’adozione di un Regolamento che sostituirà la Direttiva del 1995 e di una Direttiva che dovrà disciplinare il trattamento di dati per finalità di giustizia e di polizia), partecipando quale esperto tecnico alle riunioni del competente Gruppo di lavoro (DAPIX) del Consiglio dell’Unione europea. 2. I NUMERI DEL 2014 Nel 2014 il Garante Privacy ha adottato 628 provvedimenti collegiali, un numero leggermente in aumento rispetto all’anno precedente (si parla di circa il 3% in più). Il 2014 è stato caratterizzato per un calo sia nel numero di ispezioni effettuate, 385,il 6% in meno rispetto all’anno precedente, ma anche per le violazioni amministrative contestate, registrando una diminuzione di circa il 33%. Le ispezioni, condotte con la collaborazione del Nucleo privacy della Guardia di Finanza, hanno riguardato principalmente i seguenti settori: laboratori analisi, società farmaceutiche, app mediche, sistema informativo della fiscalità, gestori dei nodi di scambio di dati internet, sim card illecitamente intestate, banche, call center. Nell’ambito delle 577 violazioni amministrative contestate è da segnalare l’elevata presenza di casi di trattamento illecito di dati, legati soprattutto al marketing telefonico e all’uso di dati personali senza consenso; all’omessa comunicazione, agli interessati e al Garante, di violazioni subite dalle banche dati di gestori di telefonia e comunicazione elettronica (data breach); all’omessa o inidonea informativa agli utenti sul trattamento dei loro dati; al trattamento dei dati in violazione delle misure minime di sicurezza. In aumento rispetto al 2013 l’ammontare delle sanzioni amministrative irrogate dal Garante, con cifre che sfiorano i cinque milioni di euro (quasi un milione in più rispetto al 2013). Solo in 39 casi il Garante ha dovuto procedere alla comunicazione di notizia di reato all’autorità giudiziaria, essenzialmente per omessa adozione delle misure di sicurezza o per violazioni del codice penale o delle condizioni previste nell’ambiente di lavoro. Il testo completo della Relazione del 2014 è disponibile al seguente link

×