I nostri servizi
News
Assistenza On site
Servizio di assistenza per Istanze e Ricorsi al Garante
 
Le nuove regole sulla videosorveglianza
28/04/2010 - Con provvedimento generale dell’ 8 aprile 2010 il Garante Privacy ha fissato le nuove regole per l’uso dei sistemi di videosorveglianza. Riportiamo di seguito il Comunicato del Garante e una sintesi delle linee-guida del provvedimento:
Sistemi integrati di videosorveglianza solo nel rispetto di specifiche garanzie per la libertà delle persone. Appositi cartelli per segnalare la presenza di telecamere collegate con le sale operative delle forze di polizia. Obbligo di sottoporre alla verifica del Garante privacy, prima della loro attivazione, i sistemi che presentino rischi per i diritti e le libertà fondamentali delle persone, come i sistemi tecnologicamente avanzati o "intelligenti". Conservazione a tempo delle immagini registrate. Rigorose misure di sicurezza a protezione delle immagini e contro accessi non autorizzati.
L'Autorità Garante per la protezione dei dati personali ha varato le nuove regole alle quali soggetti pubblici e privati dovranno conformarsi per installare telecamere e sistemi di videosorveglianza. Il periodo per adeguarsi è stato fissato, a seconda degli adempimenti, da un minimo di sei mesi ad un massimo di un anno.
Il provvedimento generale, che sostituisce quello del 2004 e introduce importanti novità, si è reso necessario non solo alla luce dell'aumento massiccio di sistemi di videosorveglianza per diverse finalità (prevenzione, accertamento e repressione dei reati, sicurezza pubblica, tutela della proprietà privata, controllo stradale, etc.), ma anche in considerazione dei numerosi interventi legislativi adottati in materia: tra questi, quelli più recenti che hanno attribuito ai sindaci e ai comuni specifiche competenze in materia di incolumità pubblica e di sicurezza urbana, così come le norme, anche regionali, che hanno incentivato l'uso di telecamere.
Il provvedimento, di cui è stato relatore Francesco Pizzetti, in via di pubblicazione sulla Gazzetta Ufficiale, tiene conto delle osservazioni formulate dal Ministero dell'interno e dall'Anci.
Ecco in sintesi le regole fissate dal Garante.
Principi generali
. Informativa: i cittadini che transitano nelle aree sorvegliate devono essere informati con cartelli della presenza delle telecamere, i cartelli devono essere resi visibili anche quando il sistema di videosorveglianza è attivo in orario notturno. Nel caso in cui i sistemi di videosorveglianza installati da soggetti pubblici e privati (esercizi commerciali, banche, aziende etc.) siano collegati alle forze di polizia è necessario apporre uno specifico cartello (allegato n. 2), sulla base del modello elaborato dal Garante. Le telecamere installate a fini di tutela dell'ordine e della sicurezza pubblica non devono essere segnalate, ma il Garante auspica comunque l'utilizzo di cartelli che informino i cittadini.
. Conservazione: le immagini registrate possono essere conservate per periodo limitato e fino ad un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini. Per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che non può superare comunque la settimana. Eventuali esigenze di allungamento dovranno essere sottoposte a verifica preliminare del Garante.
Settori di particolare interesse
. Sicurezza urbana: i Comuni che installano telecamere per fini di sicurezza urbana hanno l'obbligo di mettere cartelli che ne segnalino la presenza, salvo che le attività di videosorveglianza siano riconducibili a quelle di tutela specifica della sicurezza pubblica, prevenzione, accertamento o repressione dei reati. La conservazione dei dati non può superare i 7 giorni, fatte salve speciali esigenze.
. Sistemi integrati: per i sistemi che collegano telecamere tra soggetti diversi, sia pubblici che privati, o che consentono la fornitura di servizi di videosorveglianza "in remoto" da parte di società specializzate (es. società di vigilanza, Internet providers) mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza (es. contro accessi abusivi alle immagini). Per alcuni sistemi è comunque necessaria la verifica preliminare del Garante.
. Sistemi intelligenti: per i sistemi di videosorveglianza "intelligenti" dotati di software che permettono l'associazione di immagini a dati biometrici (es. "riconoscimento facciale") o in grado, ad esempio, di riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (es. "motion detection") è obbligatoria la verifica preliminare del Garante.
. Violazioni al codice della strada: obbligatori i cartelli che segnalino i sistemi elettronici di rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo (non quindi conducente, passeggeri, eventuali pedoni). Le fotografie o i video che attestano l'infrazione non devono essere inviati al domicilio dell'intestatario del veicolo.
. Deposito rifiuti: lecito l'utilizzo di telecamere per controllare discariche di sostanze pericolose ed "eco piazzole" per monitorare modalità del loro uso, tipologia dei rifiuti scaricati e orario di deposito.
Settori specifici
. Luoghi di lavoro: le telecamere possono essere installate solo nel rispetto dello norme in materia di lavoro. Vietato comunque il controllo a distanza dei lavoratori, sia all'interno degli edifici, sia in altri luoghi di prestazione del lavoro (es. cantieri, veicoli).
. Ospedali e luoghi di cura: no alla diffusione di immagini di persone malate mediante monitor quando questi sono collocati in locali accessibili al pubblico. E' ammesso, nei casi indispensabili, il monitoraggio da parte del personale sanitario dei pazienti ricoverati in particolari reparti (es.rianimazione), ma l'accesso alle immagini deve essere consentito solo al personale autorizzato e ai familiari dei ricoverati.
. Istituti scolastici: ammessa l'installazione di sistemi di videosorveglianza per la tutela contro gli atti vandalici, con riprese delimitate alle sole aree interessate e solo negli orari di chiusura.
. Taxi: le telecamere non devono riprendere in modo stabile la postazione di guida.
. Trasporto pubblico: lecita l'installazione su mezzi di trasporto pubblico e presso le fermate, ma rispettando limiti precisi (es.angolo visuale circoscritto, riprese senza l'uso di zoom).
. Webcam a scopo turistico: la ripresa delle immagini deve avvenire con modalità che non rendano identificabili le persone.
Soggetti privati.
. Tutela delle persone e della proprietà: contro possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc. si possono installare telecamere senza il consenso dei soggetti ripresi, ma sempre sulla base delle prescrizioni indicate dal Garante.
 
Privacy e rinnovo dell'autocertificazione
12/03/2010 - Si avvicina la scadenza (31 marzo) per gli adempimenti privacy ed è quindi necessario tornare a parlare di autocertificazione. Come è ormai noto l’art. 29, comma 1, D.L. 25 giugno 2008, n. 112, ha modificato il Codice della protezione dei dati personali prevedendo che, per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
 
Fascicolo sanitario elettronico: approvate le Linee guida del Garante privacy
19/08/2009 - Il Garante per la protezione dei dati personali ha approvato in via definitiva le "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario". In questo modo ancora una volta il Garante svolge un ruolo di "supplenza" in attesa di una legislazione adeguata.

Le "Linee guida", adottate al termine di una consultazione pubblica con gli operatori del settore, fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone.

Il provvedimento del Garante stabilisce in particolare che il paziente deve poter scegliere, in piena libertà, se far costituire o meno un fascicolo sanitario elettronico, con tutte o solo alcune delle informazioni sanitarie che lo riguardano; deve poter manifestare un consenso autonomo e specifico, distinto da quello che si presta a fini di cura della salute; al paziente deve essere inoltre garantita la possibilità di "oscurare" la visibilità di alcuni eventi clinici.

Per poter esprimere scelte consapevoli il paziente deve essere adeguatamente informato. Con un linguaggio comprensibile e dettagliato l'informativa deve quindi indicare chi (medici di base, del reparto ove è ricoverato, farmacisti) ha accesso ai suoi dati e che tipo di operazioni può compiere.

Il fascicolo sanitario elettronico potrà essere consultato dal paziente con modalità adeguate (ad es. tramite smart card) e dal personale sanitario strettamente autorizzato, solo per finalità sanitarie. Non potranno accedervi invece periti, compagnie di assicurazione, datori di lavoro.

In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale.

Gli accessi alle informazioni infine, dovranno essere tracciabili e graduali, e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il più possibile i rischi di abusi, furti, smarrimento.

Entro il 31 dicembre Regioni e Asl dovranno comunicare al Garante privacy le iniziative già avviate sul fascicolo sanitario elettronico e d'ora in poi ogni iniziativa che riguarda l'Fse dovrà sempre essere comunicata all'Autorità prima del suo avvio.

Ampi stralci del provvedimento si trovano su www.elawconsulting.it
 
Varato il piano ispetttivo per il secondo semestre 2009
28/07/2009 - Sistema informativo del fisco, enti previdenziali e commercializzazione di banche dati per finalità di marketing. Saranno questi tre grandi settori i prossimi ad essere interessati dall'attività di accertamento del Garante per la privacy che ha varato il piano di ispezioni per il secondo semestre 2009. Il piano prevede sia nel settore pubblico che in quello privato, specifici controlli anche riguardo all'adozione delle misure di sicurezza, all'informativa da fornire ai cittadini, al consenso da richiedere nei casi previsti dalla legge. Oltre 200 gli accertamenti ispettivi previsti che verranno effettuati anche in collaborazione con le Unità Speciali della Guardia di Finanza - Nucleo Privacy. A questi accertamenti si affiancheranno, come di consueto, quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati.

Un primo bilancio sull'attività ispettiva relativa al primo semestre del 2009 mostra, intanto, che l'Autorità ha effettuato 231 attività ispettive ed avviato 133 procedimenti sanzionatori. Sono stati riscossi oltre 650.000 euro, dei quali oltre 37.000 relativi alla mancata adozione di misure di sicurezza da parte di aziende e pubbliche amministrazioni.

Sul fronte sanzioni è da sottolineare come, dall'inizio di quest'anno, siano già 57 i casi nei quali il Garante ha avviato il procedimento per l'applicazione delle nuove sanzioni. Le norme entrate in vigore lo scorso gennaio, oltre ad aumentare l'importo delle sanzioni già precedentemente previste, hanno introdotto nuove ipotesi di violazione. Tra queste, ad esempio, quella relativa al mancato rispetto dei provvedimenti del Garante (già contestata in un caso) o quella connessa al trattamento illecito dei dati (contestata in 8 casi).

Tra i primi casi di applicazione delle nuove sanzioni, un ospedale in Sardegna, che ha ricevuto diverse contestazioni (omessa informativa, mancata acquisizione del consenso, omessa notificazione al Garante) per una somma pari 104.000 euro. Somma che l'ospedale ha provveduto immediatamente a pagare.
 
Privacy: Prescrizioni ai fornitori di servizi di comunicazione elettronica
14/07/2009 - L’Autorità Garante per la protezione dei dati personali ha effettuato una serie di attività istruttorie, anche di carattere ispettivo, al fine di realizzare un monitoraggio sull’attività svolta dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito “fornitori”), con l’intento di acquisire informazioni relative alle modalità che ciascun fornitore adotta per svolgere attività di “profilazione” della totalità dei propri clienti (c.d. “base clienti”), anche in relazione alla possibilità di classificare gli interessati in determinate categorie omogenee (cd. cluster).
I fornitori in questione, sono quelli che mettono a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione dove per “servizi di comunicazione elettronica” devono intendersi quelli consistenti, esclusivamente o prevalentemente, “nella trasmissione di segnali su reti di comunicazioni elettroniche” (art. 4, comma 2, lett. d) ed e), del Codice). Dall’esame delle risultanze istruttorie è emerso che i fornitori effettuano attività di profilazione utilizzando dati personali che vengono anche aggregati secondo parametri predefiniti individuati da ciascun titolare di volta in volta, a seconda delle esigenze aziendali.
Tali dati possono comprendere informazioni personali di tipo variegato, tra cui dati di carattere contrattuale e dati relativi ai consumi effettuati, dai quali è possibile desumere indicazioni ulteriori riferibili a ciascun interessato (ad esempio, fascia di consumo, livello di spesa sostenuto ad intervalli regolari, servizi attivi su ciascuna utenza). La circostanza che un fornitore possa disporre e trattare, seppur su base aggregata, tali tipologie di dati, comporta la disponibilità di un patrimonio informativo che va ben al di là delle informazioni considerate singolarmente e relative a ciascun interessato. Attraverso il confronto e l’utilizzo dei dati dei propri clienti, è possibile, infatti, che il fornitore acquisisca informazioni concernenti il singolo utente o derivanti proprio dall’aggregazione dei dati e dalla loro catalogazione in cluster, al fine di monitorare l’andamento economico della società o, eventualmente, in un secondo momento, anche di progettare e realizzare campagne di marketing sulla base delle analisi effettuate.
2. Ambito oggettivo del provvedimento
La profilazione costituisce una delle attività prevalenti dei fornitori, e, dunque, rientra nell’attività strutturale e sostanziale di tali soggetti (infatti, a partire dalle risultanze degli esami di business intelligence che ad essa sono naturalmente collegate, essi sono in grado di implementare la progettazione della propria struttura e dei servizi offerti). I dati, che siano “anonimi” ai sensi dell’art. 4, comma 1, lett. n) del Codice esulano dall’ambito oggettivo del presente provvedimento.
L’attività di profilazione può concernere dati personali “individuali” o dati personali “aggregati” derivanti da dati personali individuali dettagliati (ad esempio, anagrafici e di traffico). Il presente provvedimento, pertanto, riguarda le ipotesi in cui l’attività di profilazione abbia ad oggetto dati personali individuali e dati personali aggregati derivanti da dati personali individuali dettagliati. Come si dirà di seguito, l’attività di profilazione che ha ad oggetto dati personali individuali, è consentita solo se, in base a quanto stabilito dall’art. 23 del Codice, il titolare sia in grado di documentare per iscritto un consenso informato, libero e specifico manifestato dall’interessato per tale finalità. Tale consenso ricomprende, ovviamente, anche il trattamento di dati personali aggregati.
Nell’eventualità in cui il fornitore intenda, invece, utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sarà necessario che presenti al Garante una richiesta di verifica preliminare, in quanto il trattamento presenta rischi specifici per l’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che il trattamento può determinare. Solo in quella sede, infatti, sarà possibile valutare, tra le altre condizioni, se sia possibile autorizzare il trattamento avente ad oggetto tali dati, anche in assenza del consenso degli interessati, ai sensi dell’art. 24, comma 1, lett. g) del Codice.
Il presente provvedimento non incide sulla disciplina, che resta immutata, di cui all’art. 123 del Codice, relativa alla conservazione dei dati per finalità di fatturazione e quella concernente la conservazione e sicurezza dei dati di traffico telefonico e telematico, per l’accertamento e repressione dei reati, prevista dall’art. 132 del Codice, dal d. lgs. n. 109 del 2008 e dal provvedimento di carattere generale adottato da questa Autorità in data 17 gennaio 2008, pubblicato in G.U. n. 30 del 5 febbraio 2008 e poi aggiornato con il provvedimento del 24 luglio 2008, pubblicato in G.U. n. 189 del 13 agosto 2008 (entrambi in www.garanteprivacy.it, docc. web nn. 1482111 e 1538224).
3. La profilazione con dati personali “individuali”: consenso
In ossequio ai principi di necessità (art. 3 del Codice) e di proporzionalità nel trattamento (art. 11 del Codice), l’attività di profilazione dovrebbe essere svolta utilizzando solo dati strettamente necessari al perseguimento della finalità e, in ogni caso, trattando solo dati per i quali, sulla base di quanto disposto dagli artt. 13 e 23 del Codice, il titolare abbia rilasciato una idonea informativa e sia in grado di documentare un consenso libero e specifico dell’interessato. Tali principi si applicano non solo se la raccolta dei dati è specificamente effettuata dai fornitori per questa finalità, ma anche se l’attività di profilazione viene realizzata mediante dati inizialmente raccolti per una diversa finalità, ivi compresa quella dell’erogazione del servizio.
4. La profilazione con dati personali “aggregati”: prior checking
Qualora la profilazione abbia ad oggetto dati personali aggregati, occorre in primo luogo osservare che il livello di aggregazione è variabile e dipende dal dettaglio dei parametri stabiliti da ciascun titolare del trattamento. Il rischio che può derivare all’interessato da tale trattamento deriva dalla profondità del livello di aggregazione impostato e dalle modalità tecniche con le quali viene effettuato il trattamento. I dati personali aggregati oggetto di profilazione derivano, infatti, da dati personali individuali dettagliati, contenuti in una pluralità di sistemi, e tali restano nella disponibilità del titolare del trattamento, il quale è tenuto a conservarli per esigenze gestionali, finalità operative e tempi diversi, tra cui anche quelli che la legge gli impone (ad esempio, per esigenze di fatturazione, art. 123 del Codice, o per finalità di accertamento e repressione di reati, art. 132 del Codice e d. lg. 109 del 2008). Pur in presenza di tale aggregazione, i dati non sono per ciò solo qualificabili anonimi e rientrano nella nozione di “dati personali”, secondo la definizione dell’art. 4, comma 1, lett b) del Codice: la norma, infatti, qualifica come “dato personale” qualunque informazione relativa ad un soggetto, identificato o identificabile, anche indirettamente, mediante il riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Pertanto, nell’eventualità in cui il fornitore intenda utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sarà necessario che presenti al Garante una richiesta di verifica preliminare. Tale richiesta dovrà essere presentata in base al disposto dell’art. 17 del Codice, elencando nel dettaglio quali trattamenti intenda effettuare, specificando ciascuna finalità e indicando, altresì, le tipologie di dati che si intendono utilizzare. A fronte di tale richiesta, il Garante con il provvedimento che renderà all’esito della procedura di verifica preliminare:
a) verificherà la sussistenza dei parametri e delle condizioni minime individuate con il presente provvedimento;
b) prescriverà le eventuali altre misure specifiche necessarie al fine di rendere il trattamento conforme alle disposizioni del Codice; c) valuterà se autorizzare i fornitori ad effettuare l’attività di profilazione, in assenza del consenso degli interessati, ai sensi dell’ art. 24, comma 1, lett. g), del Codice.
Si segnala sin d’ora che il Garante, in sede di verifiche preliminari, orienterà le proprie valutazioni anche in base ai seguenti parametri e condizioni minime:
1. i dati personali oggetto dell’attività di profilazione, ancorché possano derivare da dati originari dettagliati di cui il titolare continua a disporre per finalità gestionali ed esigenze operative previste anche per legge, siano esclusivamente dati personali aggregati, dai quali, nell’ambito dei sistemi dedicati alla profilazione, non sia possibile risalire immediatamente a informazioni dettagliate relative a singoli interessati;
2. i dati personali aggregati oggetto di profilazione siano contenuti in uno o più sistemi appositamente dedicati alla profilazione, funzionalmente separati dai sistemi originari che costituiscono la fonte del dato aggregato e da ulteriori eventuali sistemi utilizzati dal titolare per altre finalità (ad esempio marketing);
3. i dati personali aggregati oggetto dell’attività di profilazione, sia quando si riferiscano ad un interessato, sia quando si riferiscano ad una pluralità di interessati, siano sottoposti ad un processo in grado di impedire l’immediata identificabilità dei singoli interessati;
4. gli incaricati che svolgono l’attività di profilazione dispongano di un profilo di autenticazione limitato e diverso da quello di coloro che svolgono eventuali ulteriori attività, anche successive alla profilazione;
5. i dati personali oggetto dell’attività di profilazione siano conservati per un periodo di tempo limitato, decorso il quale devono essere cancellati.
5. Ulteriori obblighi
Tranne che per gli aspetti disciplinati dal presente provvedimento, restano fermi, in capo ai fornitori, taluni obblighi. In particolare, il fornitore che intenda procedere al trattamento di dati personali (”individuali” o “aggregati”) per finalità di profilazione è tenuto, ai sensi dell’art. 37, comma 1, lett. d) del Codice a notificare, in ogni caso, al Garante tale trattamento, con le modalità indicate all’art. 38 del Codice. Inoltre il titolare è in ogni caso tenuto a rendere, ai sensi dell’art. 13 del Codice, l’informativa agli interessati in relazione alle finalità perseguite e ai diritti riconosciuti agli interessati dall’art. 7 del Codice.
6. Sanzioni
È utile rammentare che la mancata osservanza delle disposizioni richiamate nonché delle prescrizioni impartite può comportare l’applicazione delle sanzioni previste dagli artt. 161, 162, commi 2 bis e 2 ter, 163 e 164 bis, commi 2, 3 e 4 del Codice (disposizioni introdotte o modificate dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge n. 207 del 30 dicembre 2008). L’art. 161 sanziona la mancata o inidonea informativa, stabilendo che la violazione delle disposizioni di cui all’art. 13, nel quale è indicato che le informazioni da rendere all’interessato devono includere anche le finalità per cui i dati sono trattati, ivi inclusa la profilazione, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
L’art. 163 sanziona l’omessa o incompleta notificazione prevedendo che chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli artt. 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro. L’art. 162, comma 2 bis prevede che in caso di trattamento di dati personali effettuato in violazione delle disposizioni indicate nell’art. 167, il quale, al comma 2, comprende anche l’art. 17 è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro.
Inoltre, il comma 2 ter del medesimo articolo stabilisce che in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie di cui all’art. 154, comma 1, lettera c), è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.
L’art. 164 bis, comma 2, stabilisce, infine, che in caso di più violazioni di un’unica o di più disposizioni relative a violazioni amministrative, commesse anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro: nei casi di maggiore gravità o considerando le condizioni economiche del contravventore, tale sanzione può essere aumentata (commi 3 e 4 del medesimo articolo).
TUTTO CIÒ PREMESSO IL GARANTE
fermo restando, per i fornitori che intendano effettuare un trattamento di dati personali, anche in forma “aggregata”, per finalità di profilazione, l’obbligo di rendere, ai sensi dell’art. 13 del Codice, l’informativa agli interessati in relazione alle finalità perseguite e ai diritti riconosciuti agli interessati dall’art. 7 del Codice, nonché l’obbligo di notificare, ai sensi dell’art. 37, comma 1, lett. d) del Codice, al Garante tale trattamento, con le modalità indicate all’art. 38 del Codice,
PRESCRIVE
ai sensi degli artt. 143, comma 1, lett. b), 154, comma 1, lett. c) del Codice,
A) ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che intendano svolgere attività di profilazione (anche in assenza di uno specifico consenso) utilizzando dati personali “aggregati”, di formulare all’Autorità, mediante la procedura prevista dall’art. 17 del Codice, una richiesta di verifica preliminare con la quale siano specificati in maniera dettagliata i trattamenti che si intendono effettuare, indicando ciascuna finalità e le tipologie di dati che si intendono utilizzare;
B) ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che, allo stato, svolgono attività di profilazione, in assenza di uno specifico consenso, utilizzando dati personali “aggregati”, di formulare la richiesta di verifica preliminare di cui alla lettera A) entro il 30 settembre 2009.
Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 25 giugno 2009
 
La relazione del Garante sull'attività 2008
02/07/2009 - La messa in sicurezza delle grandi banche dati pubbliche e private; la protezione dei dati giudiziari; le banche dati del Dna; il settore della sanità; il sistema delle telecomunicazioni; il corretto rapporto tra diritto di cronaca e dignità delle persone; le esigenze di semplificazione per imprese e P.a.; i trasferimenti dei dati all'estero. E ancora: le telefonate pubblicitarie indesiderate; la videosorveglianza sempre più estesa; la tutela dei minori; Internet e il fenomeno dei social network; il controllo dei lavoratori.

Sono solo alcuni dei principali e complessi settori nei quali il Garante ha assicurato il suo intervento nel corso del 2008 a difesa dei diritti fondamentali dei cittadini. Intervento oggi potenziato dai maggiori poteri sanzionatori di recente attribuiti all'Autorità.

Numerose sono state le Audizioni parlamentari: tra le più rilevanti, quelle sulle problematiche del settore assicurativo, quelle sulla Anagrafe tributaria e quella sulle frodi e furti di identità.

Le cifre

I provvedimenti collegiali adottati nel 2008 sono stati 524.
Rilevante incremento si è registrato nelle risposte a segnalazioni e reclami, passate dalle 3.078 del 2007 alle 5.252 del 2008 (in particolare, riguardo a telefonia, sanità, credito al consumo, Internet, giornalismo, videosorveglianza, pubblicità indesiderata).

I ricorsi presentati al Garante sono stati 321 (in maggioranza relativi a banche e finanziarie, datori di lavoro pubblici e privati, amministrazioni pubbliche), mantenendosi stabili rispetto al 2007.

Si è data risposta a 1.058 quesiti posti da soggetti pubblici e privati (in maggioranza riguardanti sanità, trasparenza amministrativa, videosorveglianza, fascicoli personali dei dipendenti).

Il Collegio ha reso 21 pareri al Governo e al Parlamento (in materia di banche dati e di informatizzazione della Pubblica Amministrazione, attività di polizia, giustizia, banche e imprese).

Le ispezioni effettuate sono state 500 registrando una progressione costante. I controlli hanno riguardato numerosi settori, con particolare riguardo ai sistemi di videosorveglianza, agli istituti di credito, all'amministrazione finanziaria, agli operatori telefonici, alle cliniche private.

Le violazioni amministrative contestate sono aumentate del 30% raggiungendo le 338 del 2008. Una parte consistente ha riguardato le attività promozionali indesiderate o attivazione di servizi non richiesti tramite call center.

I proventi riscossi a titolo di pagamento delle sanzioni sono passati da 814.625 euro del 2007 a 1 milione e 62mila euro. Oltre 335mila euro sono stati pagati per estinguere il reato in materia di misure di sicurezza.

L'attività di relazione con il pubblico ha fatto registrare quest'anno circa 40.000 contatti all'Urp, quasi 20.000 e-mail trattate nell'anno.

Sono state approvate importanti Linee guida: in particolare, riguardo all'attività dei periti e dei consulenti dei magistrati, all'attività degli amministratori di sistema, alle sperimentazioni cliniche dei farmaci, al fascicolo sanitario elettronico.

Il Garante ha adottato anche alcuni provvedimenti generali per specifici settori: in particolare, la messa in sicurezza dei dati di traffico telefonico e telematico conservati a fini di giustizia; la "rottamazione" sicura di pc e cellulari; la semplificazione per imprese e P.a. delle procedure per l'adozione delle misure di sicurezza; la semplificazione degli adempimenti in caso di fusioni e scissioni societarie.

E' stato inoltre varato il Codice di deontologia per le investigazioni difensive, che fissa le tutele per il trattamento dei dati personali dei clienti da parte di avvocati e investigatori privati

Gli interventi più rilevanti

Gli interventi più rilevanti hanno riguardato molteplici e delicati ambiti:

*
telecomunicazioni (conservazione dei dati di traffico telefonico e telematico, misure di sicurezza per le intercettazioni, bollette telefoniche con ultime tre cifre in chiaro);
*
giornalismo e informazione (cronache giudiziarie, tutela dei minori e delle vittime di violenza, notizie sui minori adottati, dati sullo stato di salute e sulla vita sessuale, archivi giornalistici on line);
*
marketing (telefonate indesiderate e call center, attivazione di servizi non richiesti, "profilazione" a fini commerciali di utenti e clienti, "carte di fedeltà" della grande distribuzione);
*
pubblica amministrazione (misure di sicurezza per l'Anagrafe tributaria, accertamenti fiscali, trasparenza degli emolumenti pubblici, interconnessione e sicurezza delle banche dati, redditi on line);
*
sanità (sperimentazioni dei farmaci, fascicolo sanitario elettronico, "scontrino fiscale parlante", dati sulla salute on line, uso dei dati genetici, riservatezza nelle strutture sanitarie, uso delle reti telematiche);
*
lavoro (sistemi di rilevazione biometrica, navigazione in Internet e controllo dei lavoratori, sistemi di videosorveglianza, dati on line , cedolini dello stipendio);
*
giustizia e polizia (misure di sicurezza per gli uffici giudiziari, banche dati Dna, Ced del Dipartimento di P.s., periti e consulenti dei giudici, censimento nomadi);
*
nuove tecnologie (geolocalizzazione, Google street view e servizi satellitari, software spia applicabili ai cellulari);
*
Internet (Facebook e social network, motori di ricerca, illegittima conservazione dei dati sulla navigazione in Internet, condivisione files musicali,);
*
scuola e università (pubblicità scrutini e voti scolastici, preiscrizioni universitarie);
*
vita sociale (sistemi di videosorveglianza nei condomini, telecamere negli spogliatoi, propaganda elettorale);
*
sistema impresa (semplificazione adempimenti, trasferimento di dati all'estero, azionisti e accesso al libro soci);
*
sistema bancario, finanziario e assicurativo (semplificazione adempimenti per sistemi di informazione commerciale, accesso e utilizzo ai dati dei clienti delle banche, misure di protezione, sistema antifrodi).

L'attività internazionale

Importante l'attività del Garante nel Gruppo di lavoro comune delle Autorità di protezione europee (WP29) in particolare riguardo ai sistemi Rfid, agli standard anti doping, alla tutela dei minori, alle comunicazioni elettroniche, alle regole vincolanti di impresa, ai dati dei passeggeri aerei.

Intenso il lavoro nell' ambito delle Autorità di controllo Schengen, Europol, Eurodac e soprattutto nel WPPJ, il Gruppo di lavoro appositamente istituito dalle Autorità garanti europee per la tutela dei cittadini nel settore della polizia, della sicurezza e della giustizia, che ha visto riconfermato per altri due anni il ruolo di Presidenza al Garante italiano.

Nel 2008 il Garante italiano ha organizzato a Roma la annuale Conferenza dei Garanti europei dedicata alle nuove tecnologie, al fenomeno dei social network e a come garantire un effettiva tutela della privacy in un mondo globalizzato
 
Privacy: Banca dati dna, conclusi gli adempimenti per la messa in sicurezza dell'archivio dei Ris
28/05/2009 - Si sono concluse positivamente le procedure tecniche e organizzative per la messa in sicurezza della banca dati del Ris di Parma. L'archivio raccoglie migliaia di profili genetici e campioni biologici acquisiti negli anni nel corso di indagini penali e conservati su disposizione della magistratura.
Le misure, prescritte dal Garante privacy a partire dal 2007, sono volte a rafforzare il livello di protezione di dati personali particolarmente delicati come quelli genetici.
Presso il Ris sono detenuti in un archivio informatico profili genetici (costituiti da sequenze alfanumeriche) estratti da reperti rinvenuti in luoghi dove risultavano commessi reati o appartenenti a persone identificate nel corso di indagini (persone sospettate, vittime di reato, operatori di polizia), ma anche campioni biologici, in forma di “estratti di Dna”, che residuano dalle analisi effettuate.
Profili e campioni biologici, se non disposto diversamente dall'autorità giudiziaria, sono conservati a tempo indeterminato per eventuali, ulteriori esigenze investigative.
Le misure prescritte dal Garante e adottate dal Ris per la messa in sicurezza dei dati sono particolarmente rigorose. Tra le principali figurano l'obbligo di conservare traccia di ogni accesso al database e delle operazioni effettuate dal personale autorizzato che ha accesso ai campioni; l'adozione di sistemi di autenticazione per il personale che accede al database nonché sistemi elettronici (almeno con riconoscimento biometrico) per controllare l'ingresso ai locali dove sono conservati i campioni biologici; l'individuazione preventiva del personale autorizzato alla loro consultazione; l'adozione di soluzioni tali da non rendere i campioni conservati direttamente riconducibili a persone identificate.
Al Ris è stato infine prescritto che l'eventuale ulteriore uso dei profili e dei campioni biologici, compresa l'attività di comparazione tra i profili genetici, deve essere effettuato attenendosi alle disposizioni delle competenti autorità giudiziarie.
Il Comando generale dell'Arma dei Carabinieri ha comunicato, infine al Garante, che le stesse misure sono state applicate, oltre che al Reparto di Parma, anche agli altri Ris di Roma, Messina e Cagliari.
 
Novità in arrivo per gli Amministratori di Sistema?
19/05/2009 - Il Garante Privacy, tenuto conto delle numerose richieste di informazioni e osservazioni pervenute all'Autorità in merito alle nuove regole sugli Amministratori di sistema, ha avviato una pubblica consultazione, volta ad "acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge" che definiscano in maniera più compiuta le modalità applicative delle nuove disposizioni
 
Stop allo "scontrino parlante"
18/05/2009 - Lo scontrino fiscale, rilasciato dalle farmacie per poter dedurre e detrarre la spesa sanitaria nella dichiarazione dei redditi, non riporterà più in dettaglio lo specifico nome del farmaco acquistato. A partire dal prossimo anno basterà l'indicazione del codice alfanumerico posto sulla confezione di ogni medicinale. I cittadini italiani potranno continuare a dedurre o detrarre i medicinali acquistati, ma saranno più tutelati. Il controllo sul farmaco venduto può essere infatti effettuato anche attraverso l'utilizzo del "numero di autorizzazione all'immissione in commercio" (AIC) presente sulla confezione del farmaco. Il codice alfanumerico, rilevabile anche mediante lettura ottica, consente infatti di identificare in modo univoco ogni singola confezione farmaceutica venduta (dosaggio, somministrazione, presentazione etc.), al pari della specificazione in chiaro del nome del farmaco.
Entro tre mesi l'Agenzia delle entrate dovrà dunque fornire indicazioni per la modifica dello scontrino fiscale rilasciato per l'acquisto di farmaci, indicazioni alle quali le farmacie dovranno adeguarsi al massimo entro il 1° gennaio 2010.

Fonte: Garante Privacy - Comunicato stampa
 
Iscrizione nel registro degli indagati per chi non aggiorna l'antivirus
05/05/2009 - La Procura di Milano ha notificato un avviso di garanzia al Responsabile dei sistemi informatici del Comune di Milano nel periodo compreso tra il 31 gennaio e il 7 febbraio 2006 (quando il virus Kamasutra infettò i pc di Palazzo Marino) contestando ben due reati: omissione di controllo delle misure di sicurezza dei sistemi informativi, l'altro e false attestazioni rese al Garante in relazione all'adeguamento alle misure stesse

L’art. 169 del D.Lgs. 196/03 prevede infatti che “Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato”. Proprio in relazione al secondo comma dell’articolo citato, il Garante Privacy, a fine 2008, ha promosso una verifica presso il Comune, considerata la precedente gravità dei fatti: dall'accertamento è emersa la presenza di antivirus su circa 7000 client, rispetto ai 10.500 client presenti realmente presso gli uffici del Comune.
 
Privacy e condominio
12/02/2009 - Nelle bacheche del palazzo o in altri luoghi aperti al pubblico non si possono apporre avvisi contenenti dati personali che rendano identificabile, anche indirettamente, un condomino. Lo ha ribadito il Garante, con un recente provvedimento, nell'accogliere la segnalazione di un affittuario il quale lamentava una indebita diffusione di dati personali dovuta all'affissione di un avviso nella bacheca condominiale, in cui si dava notizia della prossima scadenza del suo contratto di locazione e della contestuale intimazione a lasciare l'immobile.
 
Proroga al 31/03/2006
23/12/2005 - Alcuni adempimenti in materia di Tutela dei dati personali, tra i quali la redazione del Documento Programmatico per la Sicurezza, sono stati prorogati al 31/03/2006.
Scarica il testo del decreto in formato PDF.
 
Area Clienti
 
 
Il tuo DPS Web by Oemme Informatica   Tel 0185.456420 Fax 0185.482488 - info@iltuodps.it P. IVA 01091720993