Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

L’Autorità garante italiana, in concomitanza con altri 28 paesi, avvierà una indagine sui siti e le app dedicate ai minori.

L’azione è promossa dal Global Privacy Enforcement Network (GPEN), la rete internazionale ideata per rafforzare la cooperazione tra le Autorità della privacy di diversi paesi.

Il 12 maggio è il giorno designato per il “Privacy Sweep 2015”, un controllo a tappeto che riguarderà i siti e le app più popolari dedicate e utilizzate in particolare dai bambini compresi tra gli 8 e i 12 anni. Sarà svolta una analisi del grado di trasparenza della raccolta e dell’uso delle informazioni sensibili riguardanti i minori, delle autorizzazioni richieste per il download delle app e del rispetto della normativa italiana sulla protezione dati.

Una relazione convoglierà i risultati delle indagini condotte in tutti i paesi coinvolti. Il suo compito sarà quello di svolgere una importante opera di sensibilizzazione, focalizzata sul valore della protezione dei dati personali, del rispetto delle norme a salvaguardia degli utenti, della formazione del pubblico sull’uso delle applicazioni mobili e della promozione di iniziative globali sulla privacy.

La relazione sarà resa pubblica nel prossimo autunno.

Pubblicato dal Garante per la protezione dei dati personali il bilancio delle attività ispettive e sanzionatorie dell’ultimo anno.

Nel 2014, l’ammontare delle sanzioni applicate dal Garante Privacy nei confronti di pubbliche amministrazioni e società private raggiunge i 5 milioni di euro. La somma, con un incremento di quasi un milione rispetto al 2013, è in larga parte dovuta a violazioni in materia di misure di sicurezza, omessa o carente informativa, uso illecito di dati personali.

Sono 385 gli accertamenti ispettivi avviati che hanno coinvolto, tra gli altri, laboratori di analisi, società farmaceutiche, gestori di nodi di interscambio internet, società che gestiscono sistemi di mobile payment, app mediche e operatori telefonici.

Registrate anche 577 sanzioni amministrative contestate, che riguardano soprattutto casi di omessa o inidonea informativa, trattamento illecito di dati, mancata comunicazione di violazioni di dati personali.

Infine il Garante ha inviato all’autorità giudiziaria 39 segnalazioni relative a casi di mancata adozione delle misure minime di sicurezza, violazioni connesse al controllo a distanza dei lavoratori, accesso abusivo a sistemi informatici o telematici, false dichiarazioni e notificazioni al Garante, inosservanza dei provvedimenti dell’Autorità

Per quanto riguarda il 2015, in aggiunta ai procedimenti avviati lo scorso anno, sono già previsti 150 accertamenti di verifica, focalizzati sul trattamento dei dati personali nei sistemi di mobile payment, del fascicolo sanitario elettronico, del telemarketing e dei call-center operanti all’estero.

Schermata 2015-01-13 alle 01.54.55Il servizio di Google che permette di esplorare virtualmente luoghi spettacolari sbarca in Italia. Su richiesta di Mountain View il Garante per la protezione dei dati personali ha emesso un permesso di parziale esonero dall’informativa, ma fissa precise regole per le riprese fotografiche.

Spiagge, musei, parchi, siti archeologici: i luoghi più belli d’Italia saranno presto visitabili a distanza, grazie a Google Special collects, una collezione di ambienti virtuali ideata per diffondere la conoscenza dei più spettacolari angoli del mondo.

Le immagini vengono catturate con strumenti analoghi a quelli utilizzati per il servizio Google Street View, con una differenza: le speciali fotocamere in grado di effettuare scatti a 360 gradi non sono installate su automobili, ma su zaini di particolari “trekker”, operatori incaricati da Google di “mappare” il luogo senza l’utilizzo di auto.

Nella richiesta al Garante, Google ha dichiarato che, per limitare le riprese accidentali ai visitatori e tutelare la loro privacy, nei musei e in altri luoghi ad accesso limitato le registrazioni saranno effettuate negli orari di chiusura al pubblico. Negli spazi aperti saranno invece scelti orari in cui sia meno probabile incontrare passanti. La multinazionale americana provvederà inoltre a oscurare i volti e altri particolari identificativi (ad esempio, le targhe dei veicoli), eventualmente memorizzati, prima di rendere disponibili le immagini sul servizio Google Maps.

Nell’accordare il parziale esonero all’informativa a Google, il Garante ha imposto alla società l’adozione di ulteriori cautele a tutela del pubblico e di misure semplificate per informare le persone dell’attività di ripresa in corso.

In particolare, nei tre giorni antecedenti l’inizio delle registrazioni, Google dovrà pubblicare informazioni sui luoghi di ripresa sul proprio sito web in italiano. Un ulteriore avviso dovrà essere pubblicato già sette giorni prima dell’inizio delle riprese anche sui siti web e su eventuali altre pubblicazioni informative delle strutture coinvolte. Nei luoghi fisici, gli operatori di Google dovranno provvedere a informare il pubblico, attraverso appositi avvisi o cartelli affissi all’ingresso dei siti, dell’imminente registrazione delle immagini, in modo da consentire ai visitatori di esercitare il diritto a non venire inquadrati.

Inoltre, i “trekker” che trasportano le apparecchiature fotografiche dovranno essere riconoscibili mediante adesivi o altri segni distintivi ben visibili da applicare sull’abbigliamento e sulle attrezzature, in modo da segnalare chiaramente che si stanno acquisendo immagini da pubblicare online su Google Maps mediante il servizio Google Special Collects nell’ambito di Street View.

Google dovrà inoltre garantire la formazione del personale coinvolto circa il rispetto della normativa sulla protezione dei dati personali.

I Garanti per la protezione dei dati personali della rete internazionale Global Privacy Enforcement Network (GPEN) hanno chiesto alle piattaforme di distribuzione di app di obbligare gli sviluppatori ad informare gli utenti, prima che questi scarichino le app, sugli eventuali dati personali che verranno raccolti e sul loro uso.

The Privacy Commissioner of Canada is among 23 privacy authorities from around the world
who have signed an open letter to the operators of seven app marketplaces urging them to make
links to privacy policies mandatory for apps that collect personal information. The December 9,
2014 letter was sent to Apple, Google, Samsung, Microsoft, Nokia, BlackBerry and Amazon.com,
but is intended for all companies that operate app marketplaces.

Il Garante per la protezione dei dati italiano insieme ad altre 23 Autorità internazionali ha sottoscritto una lettera aperta ai gestori di 7 app marketplaces sollecitandoli a mettere a disposizione degli utenti una informativa sull’utilizzo dei dati personali prima del download.

Il 9 dicembre 2014 la lettera è stata inviata a Apple, Google, Samsung, Microsoft, Nokia, BlackBerry e Amazon.com.

“Le app ci semplificano la vita” ha commentato il Presidente del Garante privacy Antonello Soro “ma ad esse concediamo di accedere, troppo spesso inconsapevolmente, ad un numero sempre più ampio di dati personali anche molto importanti: non solo la rubrica telefonica o le foto, ma anche la posizione geografica, oppure, come nel caso delle app a carattere medico, dati sanitari. Il rischio è un monitoraggio digitale permanente al quale ci stiamo via via assuefacendo”.

La decisione di pubblicare la lettera aperta segue l’indagine promossa dal GPEN lo scorso maggio, i cui risultati hanno evidenziato che molte delle app più scaricate richiedono l’accesso ad una gran quantità di dati ma senza spiegare adeguatamente per quali scopi.

In particolare, su un totale di oltre 1200 applicazioni analizzate in tutto il mondo, tre quarti delle app prese in esame chiedono uno o più consensi, generalmente per quanto riguarda dati di localizzazione, ID del singolo dispositivo, accesso ad altri account, alle funzioni di videoripresa ed alla rubrica.

Nel 59% dei casi è stato difficile per le autorità reperire un’informativa privacy prima dell’installazione. In molti casi sono ben poche le informazioni disponibili prima del download sulle finalità della raccolta o sull’utilizzo successivo dei dati, oppure si fornisce un link ad una pagina web contenente un’informativa privacy che non corrisponde alle specifiche dell’app.

Solo il 15% delle app sono dotate di un’informativa privacy realmente chiara. Nei casi migliori le app offrono spiegazioni succinte ma comprensibili di ciò che l’app farà o non farà con i dati raccolti sulla base dei singoli consensi.

Il testo della lettera aperta è stato pubblicato, in inglese, sulla pagina web del Garante Privacy.

Il Garante per la privacy, con un provvedimento generale pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, ha imposto ai siti internet il divieto di istallazione di cookie a fini di marketing senza consenso esplicito da parte degli utenti.

I cookie sono stringhe di testo che i siti inviano ai terminali degli utenti per essere memorizzati e ritrasmessi ad ogni nuovo accesso, agendo da vere e proprie “spie” che raccolgono dati sulle azioni dei navigatori allo scopo di costruire profili utili al futuro riconoscimento degli utenti e alla promozione mirata di prodotti e servizi.

Per proteggere la privacy degli utenti e consentirne un consenso più libero e consapevole, nel rispetto degli obblighi previsti dalla normativa europea, il Garante ha disposto che al momento dell’accesso ad un sito web debba comparire un banner informativo che comunichi immediatamente agli utenti:

1) se il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

2) se il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

3) un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;

4) l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

Spetterà a chi naviga online, dunque, decidere se permettere che i siti visitati raccolgano informazioni sul proprio conto a fine pubblicitario. Quando il “monitoraggio” dei cookie fosse permesso, l’utente dovrà essere libero di poter modificare le proprie scelte attraverso l’informativa estesa, che dovrà essere linkabile da ogni pagina del sito.

Comunicati i dati relativi alle attività investigativa e sanzionatoria dell’anno trascorso, e il piano ispettivo del primo semestre 2014.

Aziende e Pubblica Amministrazione non informano adeguatamente utenti e cittadini dell’uso che fanno dei loro dati personali, e sono ancora molti i casi in cui le informazioni personali risultano utilizzate senza il consenso degli interessati. Il resoconto del 2013 delle attività investigative e sanzionatorie svolte dal Garante fa emergere le carenze di trasparenza e messa in sicurezza dei dati personali da parte di chi li usa, li gestisce e controlla.

Le ispezioni effettuate, focalizzate in particolare sull’attività di telefonate promozionali e banche dati pubbliche, ma anche su novità come l’uso dei sistemi di localizzazione satellitare e sui nuovi strumenti di mobile payment, sono state 411 (+4% in più rispetto al 2012), per un un totale riscosso dall’erario da parte di soggetti pubblici e privati di oltre 4 milioni di euro.

Gli 850 procedimenti sanzionatori avviati (578 nel 2012, con un aumento del 47%) hanno riguardato la omessa o inidonea informativa (476 casi), il trattamento illecito dei dati (277), l’utilizzo senza consenso dei dati personali, la mancata adozione di misure di sicurezza e le violazioni connesse alla conservazione dei dati di traffico telefonico, all’omessa notificazione al Garante e all’inosservanza dei provvedimenti dell’Autorità.

Si registra inoltre una crescita delle segnalazioni all’Autorità giudiziaria (71, 27% in più rispetto al 2012), in particolare per mancata adozione delle misure minime di sicurezza a protezione dei dati personali, per violazioni riguardanti il controllo a distanza dei lavoratori, per trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell’Authority.

Oltre alla prosecuzione dei controlli già avviati e degli accertamenti conseguenti a segnalazioni e reclami, il Garante annuncia per il primo semestre 2014 l’avvio di nuove ispezioni in ambiti significativi e la pianificazione di circa 200 accertamenti rispetto ai nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazioni dei database causate da attacchi informatici o eventi avversi.

Sono state pubblicate le “Linee guida in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario”.

Sempre più spesso, infatti, gli organismi sanitari pubblici e privati effettuano indagini sulla qualità dei servizi offerti e sul grado di soddisfazione degli utenti: tale attività implica il trattamento dei dati personali degli assistiti, che deve ispirarsi alle regole dettate dal Garante.

In sintesi, gli aspetti principali.

È previsto che l’utilizzo dei dati personali e, soprattutto, identificativi degli utenti sia ridotto al minimo e solo se necessario a realizzare l’obiettivo dell’indagine.

In ogni caso, è vietato l’utilizzo di informazioni idonee a rivelare la vita sessuale degli intervistati, ed è negata la possibilità di un impiego dei dati raccolti per fini diversi, ad esempio per la profilazione degli utenti.

Mentre le strutture pubbliche possono effettuare le indagini prescindendo dal consenso degli interessati, per le strutture private permane l’obbligo di acquisirlo. Gli organismi sanitari, tanto pubblici quanto privati, sono comunque tenuti a fornire un’idonea informativa agli interessati (il Garante ha reso pubblico un modello di informativa allegato alle linee guida), anche in forma verbale, impartendo opportune istruzioni al personale incaricato, soprattutto nel caso di indagini effettuate per via telefonica.

Il decreto legge recante “Prime disposizioni urgenti per l’economia”, c.d. “decreto sviluppo”, esaminato dal Consiglio dei ministri il 5 maggio scorso e ancora suscettibile di modificazioni, che molto ha fatto discutere per le disposizioni concernenti le concessioni sulle spiagge, contiene anche alcune rilevanti modifiche al Codice per la protezione dei dati personali.

Di seguito, una breve sintesi delle principali.


Dati di persone giuridiche, enti o associazioni

Nel nuovo art. 3-bis si prevederebbe (il condizionale è d’obbligo) che il trattamento dei dati personali di persone giuridiche, enti o associazioni nell’ambito di comunicazioni fra questi soggetti e per finalità amministrativo-contabili, non sia più soggetto all’applicazione del Codice. Non verrebbe, dunque, sottratto all’ambito di applicazione del Codice qualunque dato concernente persone giuridiche, pubbliche o private, ma solo i dati:

1) concernenti persone giuridiche, enti, pubblici o privati, associazioni

2) trattati per comunicazioni fra questi soggetti

3) per finalità amministrativo-contabili.

Quindi, per esempio, i dati relativi alla fatturazione comunicati fra imprese per finalità amministrative.

Si tenga presente che la direttiva europea 46/95/CE si applica solo ai dati relativi a persone fisiche, e che una scelta diversa era stata effettuata dal legislatore italiano nel 1996.


Curricula di chi cerca lavoro

I curricula spontaneamente inviati da chi cerca lavoro non richiederebbero l’informativa del titolare, se non al primo contatto successivo all’invio del curriculum, anche in forma orale. Non sarebbe più necessario, in questi casi, il consenso di chi ha inviato il cv, anche se questo contenesse dati sensibili.


Consenso nei rapporti fra imprese

Non sarebbe più necessario il consenso alla comunicazione di dati fra imprese (in ambiti specificati) per finalità amministrativo – contabili.


Misure di sicurezza

I titolari che trattano come unici dati sensibili o giudiziari quelli relativi ai propri dipendenti e collaboratori, nonché ai coniugi e ai parenti di questi ultimi, non sarebbero tenuti alla compilazione del documento programmatico per la sicurezza, ma potrebbero ricorrere ad un’autocertificazione.

Il d.p.s., se i dati trattati non sono sensibili, non è dovuto neanche oggi e quindi è pleonastica la menzione che ne fa il decreto in questo caso.

L’autocertificazione, si ricorda, comporta comunque rilevanti conseguenze sul piano della responsabilità, anche penale.

Il Garante potrebbe semplificare ulteriormente in materia di sicurezza.

Sono precisate le finalità amministrativo-contabili nel nuovo art. 34-comma 1 ter.


Comunicazioni commerciali indesiderate

Come già per le comunicazioni telefoniche, il consenso non sarebbe più necessario e si estenderebbe il sistema dell’opt-out, con relativo registro delle opposizioni, anche alle comunicazioni postali.

Le motivazioni non convincono.

Si nega la responsabilità di Google come provider, ma si costruisce una nuova (e impropria) responsabilità di Google Italia come titolare di trattamento dei dati, fondata sull’assunto che Google Italia dovesse fornire l’informativa sul trattamento dei dati o controllare che l’informativa fosse fornita alla persona ripresa nel filmato, soggetto con cui Google non ha alcun rapporto diretto. Quest’ obbligo non è previsto nel Codice.

Esclusa la responsabilità del provider e del preventivo obbligo di sorveglianza ai sensi del d. lgs. 70/2003 , il provider, in questa decisione, diviene responsabile in quanto titolare del trattamento, ai sensi di una non fondata interpretazione del Codice per la protezione dei dati personali.

Più in generale, ciò che preoccupa è che sembra volersi costruire un’obliqua responsabilità indiretta del provider, non prevista dalla legge.

Questa sentenza si inserisce in un movimento giurisprudenziale altalenante (in senso contrario la recentissima decisione del Tribunale di Roma nel caso FAPAV-Telecom), volto a delineare la responsabilità del provider, anche oltre la previsione normativa.

Si ripropone il dibattito di oltre dieci anni fa, antecedente alla direttiva sul commercio elettronico, sulla responsabilità del provider.

La novità della decisione è che il tema viene affrontato indirettamente, attraverso la normativa sulla protezione dei dati personali, forzando la norma. Bisogna riportare il dibattito al vero tema, quello della responsabilità del provider, e quanto al profilo della protezione dei dati personali, semmai, chiarire il criterio di applicabilità delle leggi nazionali, in caso di più legislazioni concorrenti. è tempo di ridiscutere l’esclusione della responsabilità del provider? Facciamolo apertamente, magari rafforzando la responsabilità degli autori dei reati.

Alcune riflessioni sulla nota decisione Google-Vividown.

Le motivazioni non convincono.

Si nega la responsabilità di Google come provider, ma si costruisce una nuova (e impropria) responsabilità di Google Italia come titolare di trattamento dei dati, fondata sull’assunto che Google Italia dovesse fornire l’informativa sul trattamento dei dati o controllare che l’informativa fosse fornita alla persona ripresa nel filmato, soggetto con cui Google non ha alcun rapporto diretto. Quest’ obbligo non è previsto nel Codice.

Esclusa la responsabilità del provider e del preventivo obbligo di sorveglianza ai sensi del d. lgs. 70/2003 , il provider, in questa decisione, diviene responsabile in quanto titolare del trattamento, ai sensi di una non fondata interpretazione del Codice per la protezione dei dati personali.

Più in generale, ciò che preoccupa è che sembra volersi costruire un’obliqua responsabilità indiretta del provider, non prevista dalla legge.

Questa sentenza si inserisce in un movimento giurisprudenziale altalenante (in senso contrario la recentissima decisione del Tribunale di Roma nel caso FAPAV-Telecom), volto a delineare la responsabilità del provider, anche oltre la previsione normativa.

Si ripropone il dibattito di oltre dieci anni fa, antecedente alla direttiva sul commercio elettronico, sulla responsabilità del provider.

La novità della decisione è che il tema viene affrontato indirettamente, attraverso la normativa sulla protezione dei dati personali, forzando la norma. Bisogna riportare il dibattito al vero tema, quello della responsabilità del provider, e quanto al profilo della protezione dei dati personali, semmai, chiarire il criterio di applicabilità delle leggi nazionali, in caso di più legislazioni concorrenti. è tempo di ridiscutere l’esclusione della responsabilità del provider? Facciamolo apertamente, magari rafforzando la responsabilità degli autori dei reati.