Corte di Cassazione: dopo due anni, diritto all’oblio sugli articoli

Il dibattito sul difficile, e a volte mal riuscito, equilibrio tra diritto all’ oblio “the right to be forgotten” e il diritto di cronaca, espressione del diritto alla libera manifestazione del pensiero riconosciuto dall’art. 21 della Costituzione, si riaccende dopo l’ultima pronuncia della Corte di Cassazione n. 13161 del 24 giugno 2016. Perché la pronuncia porta a riflettere? Semplice, perché costituisce una palese distorsione di quanto affermato fin ora rispetto al diritto all’oblio. Proviamo a fare chiarezza.

La Corte di Cassazione già in passato con un’importante pronuncia n. 5525 del 4 aprile 2012, aveva preso posizione sul diritto all’oblio. Il caso riguardava un politico che, arrestato per corruzione nel lontano 1993 per poi essere successivamente assolto, lamentava che nell’archivio online di un’importante testata giornalistica, comparisse a distanza di molti anni, la notizia del suo arresto senza però che venisse fatta alcuna menzione dell’epilogo della vicenda risoltasi con la sua assoluzione. La Suprema Corte in quella sede, richiamando la disciplina prevista dal Codice Privacy d.lgs. 196/2003, ed in particolare l’art.11, sottolineava come l’interessato avesse diritto a che le informazioni oggetto di trattamento rispondessero non solo ai criteri di pertinenza, proporzionalità e necessità, ma fossero anche esatte e coerenti con la sua identità personale. E così, se da un lato si riconosceva che l’interesse del pubblico all’informazione può a volte costituire limitazione al diritto alla riservatezza del soggetto a cui i dati si riferiscono, nondimeno il diritto all’oblio, inteso come diritto “a che non vengano ulteriormente divulgate notizie che per il trascorrere del tempo abbiano perso rilevanza per la generalità dei consociati”, deve essere riconosciuto all’interessato. Tuttavia, così come sostenuto dai giudici, ciò non esclude che per la rilevanza storica del fatto di cronaca, anche a distanza di tempo, possa comunque persistere un interesse del pubblico alla conoscenza della notizia ma di questa devono darsi necessari aggiornamenti attraverso la predisposizione di sistemi volti ad indicare, nel corpo dell’articolo pubblicato o a margine dello stesso, i successivi sviluppi della vicenda, perché una notizia non aggiornata è una notizia non vera.

La sentenza sottolinea il vero cuore del diritto all’oblio che non è quello del singolo di poter cancellare la storia censurando il diritto di cronaca, ma il diritto dello stesso a che la notizia venga contestualizzata ed aggiornata offrendo una visione coerente della propria identità personale.

Si giunge così alla nota sentenza del 2014 cd. Google Spain della Corte di giustizia C-131/12, che ha avuto certamente il merito di riconoscere il diritto all’oblio del singolo nei confronti del gestore di un motore di ricerca. In questo caso, il diritto all’oblio è stato inteso quale diritto di ogni singola persona di richiedere direttamente al gestore del motore di ricerca, o in caso di inerzia di questo alle autorità competenti, la rimozione dall’elenco dei risultati di ricerca effettuata digitando il proprio nome, di link che riportano a pagine web pubblicate da soggetti terzi e contenenti informazioni a lui relative, e ciò a prescindere dal fatto che le informazioni vengano rimosse direttamente anche dalla pagina web dell’editore o che si tratti di informazioni veritiere e pubblicate lecitamente. Il diritto del singolo alla deindicizzazione dei risultati è giustificato infatti dalla circostanza, sottolineata dagli stessi giudici, che grazie all’attività del motore di ricerca, gli utenti del web possono accedere ad una moltitudine di informazioni, spesso irreperibili in altro modo nel mare di internet, che consentono di tracciare il profilo del soggetto su cui si incentra la ricerca. È evidente l’ingerenza di tale profilazione sulla vita privata del soggetto. Ma quel che è ancora più importante sottolineare, in tale sede, è che il diritto all’oblio così inteso non può riconoscersi a prescindere proprio perché potrebbero esserci evidenti ripercussioni negative sul legittimo interesse ad essere informati e, come sostengono i giudici della Corte,

se indubbiamente i diritti della persona interessata prevalgono, anche sul citato interesse degli utenti di Internet, tale equilibrio può nondimeno dipendere, in casi particolari dalla natura dell’informazione di cui trattasi e dal suo carattere sensibile per la vita privata della persona suddetta nonché dall’interesse del pubblico a ricevere tale informazione, il quale può variare in particolare, a seconda del ruolo che tale persona riveste nella vita pubblica.”

I giudici della Corte Europea attentamente colgono l’importanza che tale diritto del singolo sia valutato nel caso di specie e riconosciuto in presenza di determinati presupposti. Ed è apprezzabile come tale principio sia stato correttamente richiamato in un recente provvedimento del Garante Privacy n. 4988654 del 31 marzo 2016 in cui si è negato il diritto all’oblio per un ex- terrorista.

Ma, proprio alla luce del quadro appena tracciato, occorre esaminare la posizione ampiamente criticata ed assunta dalla Corte di Cassazione con la pronuncia del 24 giugno 2016 n 13161/2016. I giudici infatti, andando ben oltre il diritto del singolo alla deindicizzazione dei risultati offerti da un motore di ricerca, in presenza di determinate condizioni, sembrano aver dato netta prevalenza alla riservatezza del singolo a discapito del diritto di cronaca intervenendo seppur indirettamente sugli archivi online di testate giornalistiche. Hanno affermato, sulle orme di quanto detto dal Tribunale nel procedimento in commento, che

la facile accessibilità e consultabilità dell’articolo giornalistico, superiore quelle dei quotidiani cartacei, tenuto conto dell’ampia diffusione locale del giornale online, consentiva di ritenere che dalla data di pubblicazione fino a quella della diffida stragiudiziale fosse trascorso sufficiente tempo perché le notizie divulgate potessero aver soddisfatto gli interessi pubblici sottesi al diritto di cronaca giornalistica”.

In sostanza, seppur la rimozione dell’articolo dall’archivio della testata online, nel caso di specie fosse avvenuta spontaneamente, quel che assume rilievo è che la Cassazione, a circa due anni dai fatti oggetto della notizia di un procedimento ancora in corso, appellandosi ad un presunto diritto all’oblio, e ritendendo soddisfatto l’interesse pubblico ad esser informati, ha consentito che il diritto di cronaca cedesse il passo al diritto alla reputazione del singolo.

Ma a questo punto è opportuno chiedersi se con tale pronuncia la Corte abbia o meno innescato un pericolosissimo meccanismo, non solo per la distorsione del diritto all’oblio quale possibilità del singolo di cancellare ogni traccia del passato, ma soprattutto per l’interferenza che i giudici potrebbero avere rispetto al diritto di cronaca.

Altra spinosa questione sarà poi rintracciare una coerenza tra tale pronuncia della Cassazione e l’art. 17 del Nuovo regolamento Privacy 2016/679 che sarà applicato dal 2018, e che espressamente riconosce il “diritto alla cancellazione” quale diritto all’oblio. Infatti, se da un lato l’articolo al comma 1 riconosce che in presenza di uno dei motivi elencati ,

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”, dall’altro, al comma 3, viene precisato che tale obbligo di cancellazione, trova il proprio limite qualora il trattamento dei dati del soggetto richiedente sia necessario “a) per l’esercizio del diritto alla libertà di espressione e di informazione” o “d) a fini di archiviazione nel pubblico interesse”.

Dalla breve disamina fatta è evidente come la partita dell’equilibrio tra diritto all’oblio e diritto di cronaca, si giochi su un terreno ancora fertile in cui il ruolo degli avvocati e dei giudici assume rilevanza preminente per evitare interpretazioni fallaci e pericolose di un diritto, come quello all’oblio, che in una realtà informatica come la nostra, assumerà un sempre maggior rilievo.

Il parere del Garante Privacy sulla Banca Dati dei beni culturali illecitamente sottratti.

Con nota del 20 novembre 2015, il Ministero dei beni e delle attività culturali e del turismo (MIBACT) ha richiesto il parere del Garante privacy sullo schema di Decreto Ministeriale recante il regolamento di attuazione dell’articolo 85 del D.Lgs. 22 gennaio 2004, n. 42 riguardante l’attivazione della Banca Dati dei beni culturali illecitamente sottratti. (altro…)

Il Garante privacy sanziona la formazione di elenchi telefonici con dati presi dal web

Il Garante per la protezione dei dati personali ha sanzionato una società che “pescava” on line, per mezzo di appositi software, dati e informazioni per realizzare elenchi telefonici.

Il Garante ha ricordato la necessità di utilizzare il DBU (data base degli utenti) l’archivio elettronico che raccoglie  numeri di telefono e  altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

L’unica possibile alternativa è rappresentata dalla possibilità di raccogliere i consensi dei singoli utenti.

Ulteriori informazioni sul caso sono disponibili sul sito del Garante.

Guido Scorza relatore al convegno “La società sorvegliata. I nuovi confini della libertà”

Il prossimo 28 gennaio 2016, Guido Scorza sarà relatore al Convegno del Garante in occasione della Giornata Europea della privacy “La società sorvegliata. I nuovi confini della libertà”.
Il convegno sarà aperto da Antonello Soro, Garante per la protezione dei dati personali, e chiuso dalla Presidente della Camera dei Deputati, Laura Boldrini.
L’accesso alla Sala sarà consentito fino alle ore 9,15
Ulteriori informazioni sull’evento sono disponibili qui.

Entrano in vigore le regole del Garante privacy per l’uso dei cookie

Entro il prossimo 3 giugno i siti internet che intendono adoperare cookie dovranno adeguarsi alla misure prescritte in materia dal Garante per la protezione dei dati personali con il provvedimento dell’8 maggio 2014.

Ma quante sono le imprese (o, meglio, i siti) in regola con le indicazioni del Garante? Al momento, per la verità, regna una grandissima confusione, incentivata da soluzioni “peculiari”adottate da alcuni operatori.

Il provvedimento distingue gli adempimenti da porre in essere in relazione alla tipologia di cookie adoperati, vale a dire se si tratti di cookie “tecnici” o cookie di “profilazione”, nonché in relazione al soggetto che installa i cookie sul terminale dell’utente, vale a dire se si tratti del gestore del sito che l’utente sta visitando (c.d. editore) o un soggetto terzo che li installi tramite il primo (cc.dd. terze parti).

Sono qualificati come tecnici i cookie di navigazione (o di sessione), di funzionalità e analytics; questi ultimi sono considerati tecnici se adoperati dal gestore del sito per raccogliere dati, in forma aggregata, sul numero di utenti e su come questi visitano il sito.

Per l’installazione di tale tipologia di dispositivi il gestore del sito non dovrà acquisire uno specifico consenso da parte degli utenti, ma potrà limitarsi a fornire una specifica informativa in proposito, con le modalità che ritenga più opportune.

Continua a leggere su key4biz

In Gazzetta Ufficiale il Decreto sull’identità digitale

Adesso ci siamo davvero o, meglio, ci saremo prima che arrivi la primavera.

Il Decreto che stabilisce le regole per il rilascio, l’utilizzo e la gestione delle identità digitali delle imprese e dei cittadini italiani è stato pubblicato ieri sulla Gazzetta Ufficiale della Repubblica.

Perché SPID – acronimo del Sistema Pubblico di Identità digitale – entri in funzione, a questo punto, manca solo che, al più tardi dopo la pausa natalizia l’Agenzia per l’Italia digitale, sentito il Garante per la Privacy, definisca le regole tecniche e le modalità attuative e che, sempre sentita l’Autorità Garante per la Privacy – entro sessanta giorni dalla pubblicazione in Gazzetta del Decreto, la stessa Agenzia vari il proprio regolamento relativo alle modalità di accreditamento  dei soggetti SPID e quello relativo alle   procedure   necessarie   a consentire ai gestori dell’identità digitale, tramite l’utilizzo  di altri sistemi di identificazione informatica  conformi  ai  requisiti dello SPID, il rilascio dell’identità digitale.

Poi ci saremo davvero o, almeno, potremmo esserci se il mercato e le pubbliche amministrazioni faranno la loro parte iniziando ad utilizzare e far utilizzare l’identità digitale a cittadini ed imprese.

[Continua qui su Nova de Il Sole 24 Ore]

Garante Privacy: nuove regole in materia di biometria

Con un provvedimento generale di carattere prescrittivo del 12 novembre 2014, il Garante per la protezione dei dati personali ha fornito un quadro unitario di misure di carattere tecnico, organizzativo e procedurale per consentire ai titolari di conformare i trattamenti di dati biometrici alla disciplina vigente in materia di dati personali e per accrescerne i livelli di sicurezza.

In ragione dei particolari rischi connessi al trattamento di dati biometrici, per tale tipologia di trattamento è necessario sottoporre al Garante una richiesta di verifica preliminare ai sensi dell’art 17 del Codice Privacy.

Con il provvedimento in questione il Garante ha individuato alcune tipologie di trattamenti che presenterebbero minori rischi e che, pertanto, qualora posti in essere nel rispetto delle regole dettate, non necessiterebbero della verifica preliminare da parte dell’Autorità.

Questi i casi di esonero previsti dal provvedimento:

  1. a) Nell’autenticazione informatica, il trattamento di caratteristiche biometriche utilizzate come credenziali per l’accesso a banche dati e sistemi informatici (impronta digitale o emissione vocale), può avvenire, anche senza il consenso dell’interessato, purché sia svolto nel rispetto delle prescrizioni dettate per la raccolta, la cancellazione e la conservazione dei dati.
  2. b) Nel controllo dell’accesso fisico a luoghi “sensibili”, il trattamento di caratteristiche biometriche (impronta digitale o topografia della mano) può avvenire, anche senza il consenso dell’interessato, purché sia posto in essere nel rispetto delle prescrizione dettate dal provvedimento per l’acquisizione, la trasmissione tra dispositivi di acquisizione e postazioni di controllo e per la conservazione del riferimento biometrico.
  3. c) Al fine di regolare e semplificare l’accesso fisico di utenti ad aree fisiche pubbliche (es. biblioteche) o private o a servizi, possono utilizzarsi caratteristiche biometriche (impronta digitale o topografia della mano). In tal caso il trattamento dovrà avvenire, oltre che nel rispetto delle prescrizioni dettate, solo previa acquisizione del consenso dell’interessato. Devono comunque essere previste modalità alternative per chi rifiuta di rilasciare i propri dati biometrici.
  4. d) Per la sottoscrizione di documenti informatici, è ammesso il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware, laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal D. Lgs. 82/2005, che non prevedono la conservazione centralizzata di dati.

In ambito pubblico non è necessario il consenso dell’interessato se il trattamento di dati biometrici è necessario per il perseguimento di finalità istituzionali; al contrario, in ambito privato il presupposto di legittimità di tale trattamento è dato dal consenso libero degli interessati, che ha validità, fino alla sua revoca, per tutti i documenti da sottoscrivere. Deve sempre rendersi disponibile un sistema alternativo di sottoscrizione (cartaceo o digitale) che non comporti l’utilizzo di dati biometrici.

I dati biometrici e grafometrici non possono essere conservati, neanche temporaneamente, su dispositivi hardware utilizzati per la raccolta, ma devono essere memorizzati all’interno dei documenti informatici sottoscritti in forma cifrata tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata al ciclo di vita del documento e certificato digitale emesso da un certificatore accreditato.

L’accesso al modello grafometrico cifrato può avvenire esclusivamente tramite l’utilizzo della chiave privata e solo in caso di insorgenza di un contenzioso sull’autenticità della firma, a seguito di richiesta dell’autorità giudiziaria.

Al fine di informare i titolari del trattamento, i produttori di tecnologie biometriche e i fornitori di servizi, il Garante ha adottato delle Linee guida in materia di riconoscimento biometrico e firma grafometrica, che costituiscono parte integrante del provvedimento.

Per i titolari di trattamenti biometrici che rientrano nei casi di esonero e che abbiano già richiesto la verifica preliminare ai sensi dell’art. 17, il provvedimento dispone di comunicare la conformità del trattamento alle regole prescritte e che tale comunicazione comporterà il non luogo a provvedere sulle relative istanze.

Geolocalizzazione dei dipendenti: il Garante Privacy detta le regole

Con due distinti provvedimenti (n. 3505371 3474069), il Garante per la protezione dei dati personali ha accolto le istanze di verifica preliminare ex art. 17 del Codice Privacy avanzate da due società di telefonia in merito al trattamento di dati personali di geolocalizzazione dei propri dipendenti.

Le società coinvolte – Wind Telecomunicazioni S.p.A. ed Ericsson Telecomunicazioni S.p.A. – intenzionate ad introdurre, sui dispositivi smartphone forniti in dotazione ai propri lavoratori dislocati sul territorio, una nuova app di localizzazione geografica, hanno infatti richiesto all’Autorità un parere preventivo in ragione dei rischi specifici legati al trattamento dei dati personali.

L’attivazione di tale funzionalità sarebbe volta all’ottimizzazione del livello di servizi forniti sul territorio, in quanto consentirebbe di migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici, incrementando la velocità di risposta alle richieste dei clienti, anche e soprattutto in casi di emergenza o in presenza di calamità naturali. La geo-localizzazione, inoltre, rafforzerebbe le condizioni di sicurezza dei lavoratori permettendo l’invio mirato di soccorsi in caso di incidenti o difficoltà.

Le criticità connesse all’utilizzo di applicazioni di geolocalizzazione riguardano la possibilità che le stesse siano utilizzate al fine di effettuare un controllo a distanza indiretto sull’operato dei lavoratori. Sul punto il Garante si era già pronunciato con provvedimento generale n. 370 del 2011 in merito ai sistemi di localizzazione dei veicoli, sancendo che “se sono adottate le garanzie previste dall’art. 4, comma 2, l. n. 300/1970, i datori di lavoro privati e gli enti pubblici economici possono effettuare lecitamente il trattamento dei dati personali (diversi da quelli sensibili) relativi all’ubicazione dei propri dipendenti per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro, anche in assenza del consenso degli interessati”, individuando in ciò un legittimo interesse.

È evidente che, nel caso specifico portato all’attenzione dell’Autorità da Wind ed Ericsson, le garanzie nei confronti dei diritti e delle libertà dei dipendenti dovranno essere superiori stante la peculiarità del mezzo utilizzato per la geolocalizzazione, ossia lo smartphone, per sua stessa natura destinato a seguire il lavoratore in tutti gli spostamenti, anche in orario non lavorativo.

Il Garante, ritenuto di dover svolgere degli approfondimenti, ha richiesto chiarimenti alle aziende. In conseguenza di ciò è emerso che, in entrambi i casi, l’applicazione mobile installata sul dispositivo del dipendente invierà i dati di geolocalizzazione ad intervalli regolari (10 o 15 minuti) e che, al di fuori di questo intervallo, non sarà possibile accedere ai dati di posizione in tempo reale se non in presenza di specifiche esigenze (es. situazione di pericolo o emergenza del dipendente).

Allo stesso modo, le società richiedenti hanno comunicato che l’applicazione installata non interferirà con altre applicazioni e non potrà accedere a telefonate, sms o mail, e che non sarà possibile ricostruire, mediante i dati raccolti, gli spostamenti dei lavoratori nel corso della giornata lavorativa.

Da ultimo, il dipendente potrà disattivare l’applicazione al termine dell’orario di lavoro, nei periodi di ferie o malattie e, comunque, nei momenti contrattualmente stabiliti, come la pausa pranzo.

A tali condizioni, quindi, il Garante ha accolto e istanze di verifica preliminare, imponendo adempimenti ulteriori, quali la notificazione ai sensi dell’art. 37 comma 1, lett. a) del Codice Privacy e l’attivazione delle procedure previste dall’art. 4 comma 2 dello Statuto dei lavoratori[1], nonché la predisposizione di idonee misure di sicurezza volte a preservare l’integrità dei dati raccolti.

Ovviamente, le società istanti dovranno informare in maniera chiara e completa i propri dipendenti sulla natura dei dati trattati, sulle funzionalità del dispositivo e sulle ipotesi in cui sarà possibile disattivare la localizzazione durante l’orario lavorativo. Inoltre, le applicazioni utilizzate dovranno essere configurate in modo tale da rendere ben visibile se la funzionalità di geolocalizzazione è o meno attiva.

 


[1]Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.

In vigore il provvedimento del Garante Privacy sulle ‘chiamate mute’

Lo scorso 2 ottobre è entrato in vigore il provvedimento generale sulle cosiddette “chiamante mute”, adottato dal Garante per la protezione dei dati personali il 20 febbraio 2014 allo scopo di arginare un fenomeno sempre più diffuso, conseguenza dell’utilizzo, da parte degli operatori di telemarketing, di sistemi automatizzati per la generazione di chiamate che consentono di mantenere in stato di attesa le telefonate che abbiano già ricevuto risposta da un destinatario fino al momento in cui un operatore del call center si renda disponibile.

Le misure disposte dall’Autorità hanno la duplice finalità di ridurre la frequenza delle chiamate mute, contenendole entro una soglia di tollerabilità, e di diminuire gli effetti molesti per i destinatari.

Questi i principali adempimenti imposti dal Garante:

a) I call center sono tenuti a censire le chiamate effettuate in relazione all’esito delle stesse e garantire che la percentuale di chiamate mute non superi la soglia del 3% di quelle andate a buon fine, vale a dire delle chiamate che abbiano ricevuto risposta dal destinatario.

Tale percentuale deve essere misurata in relazione ad ogni singola campagna di telemarketing per periodi temporali non superiori a 10 giorni.

b) Al fine di ridurre lo stato di disagio e di ansia provocato dalla ricezione di chiamate mute, i call center sono tenuti ad adottare accorgimenti tecnici volti a rendere facilmente individuabile la provenienza della chiamata da un call center.

Il call center deve garantire che, nell’istante in cui la chiamata generata dal sistema abbia ricevuto risposta dal destinatario, venga trasmessa all’utente chiamato una traccia audio che riproduce un rumore ambientale sintetico (ad esempio, voci di sottofondo, brusio, squilli di telefono).

c) A seguito di una chiamata muta, è esclusa la possibilità di effettuare un nuovo contatto alla medesima utenza nei 5 giorni successivi. Qualora, dopo tale intervallo, l’utenza sia ricontattata, deve garantirsi che la stessa venga contattata attraverso un sistema prioritario di instradamento della chiamata, per cui sia sempre garantita la presenza di un operatore alla risposta.

d) I call center sono tenuti a conservare i report statistici delle percentuali di telefonate mute effettuate per ciascuna campagna promozionale per un periodo non inferiore ai 2 anni, così da consentire eventuali controlli nel periodo indicato.

Qui il provvedimento integrale.

Google: nuovi obblighi dal Garante Privacy

Con un provvedimento prescrittivo dello scorso 10 luglio si è conclusa l’istruttoria – avviata il 2 aprile 2013 dal Garante per la protezione dei dati personali italiano – volta al controllo della liceità e della correttezza dei trattamenti dei dati personali operati da Google Inc. a seguito della nuova privacy policy adottata dalla società.

Nel gennaio 2012 Google aveva, infatti, annunciato che dal successivo 1° marzo avrebbe unificato in un unico documento le regole di gestione dei dati relative alla fornitura dei diversi servizi – dalla posta elettronica (Gmail) alle mappe on line (Google Street View), dalla gestione dei pagamenti (Google Wallet) al negozio virtuale per l’acquisto di applicazioni, libri, musica, riviste, giochi (Google Play), dal social network (Google Plus) alla diffusione e visualizzazione di filmati (You Tube), ecc… – procedendo, in questo modo, all’integrazione e interoperabilità dei diversi prodotti e all’incrocio dei dati degli utenti relativi all’utilizzo di una pluralità di servizi.

Benché Google abbia adottato nel corso della predetta procedura una serie di misure e di modifiche della propria privacy policy, al fine di renderla quanto più possibile conforme alle disposizioni di legge in materia, all’esito dell’istruttoria il Garante Privacy italiano ha comunque riscontrato una serie di criticità riguardanti, in particolare: a) l’inadeguatezza dell’informativa fornita agli utenti: b) la mancata richiesta di consenso per finalità di profilazione; c) l’incertezza sui tempi di conservazione dei dati.

a) L’Autorità ha prescritto a Google di adottare – in conformità alle disposizioni di cui all’art. 13 del Codice Privacy – un sistema di informativa strutturato a più livelli che in ogni caso chiarisca all’utente che i suoi dati personali sono monitorati e utilizzati anche a fini di profilazione per pubblicità mirata e che tali dati vengono raccolti anche con tecniche più sofisticate dei semplici cookie, come il fingerprinting;

b) quanto al consenso, il Garante ha stabilito che l’utilizzazione da parte di Google dei dati personali degli utenti a fini di profilazione e pubblicità comportamentale personalizzata non potrà che avvenire previa acquisizione del consenso degli utenti stessi – secondo le modalità previste dagli artt. 23 e 24 del Codice Privacy -, non potendosi intendere il semplice utilizzo del servizio da parte dell’utente come accettazione incondizionata al trattamento dei propri dati.

A tal fine l’autorità ha indicato un meccanismo semplice e innovativo che consenta all’utente di scegliere in modo consapevole se fornire o meno il proprio consenso alla profilazione;

c) in relazione alla conservazione dei dati, Google dovrà definire tempi certi di conservazione, sulla base dell’art. 11, lettera e) del Codice Privacy, sia per quanto riguarda quelli mantenuti sui sistemi “attivi” che per quanto riguarda quelli archiviati sui sistemi di back up.

Per quanto riguarda le richieste di cancellazione di dati personali provenienti dagli utenti in possesso di un account Google, il Garante ha stabilito che tali richieste siano soddisfatte entro un termine massimo di due mesi (da intendersi come 62 giorni solari), se i dati sono conservati su sistemi “attivi”, e entro sei mesi (da intendersi come 180 giorni solari), laddove si tratti di dati archiviati su sistemi di back up.

Quanto alle richieste di cancellazione relative all’esercizio del diritto all’oblio avanzate in ordine ai risultati ottenuti attraverso l’utilizzo del motore di ricerca (Google search), l’Autorità ha ritenuto opportuno attendere gli sviluppi applicativi della recente pronuncia della Corte di Giustizia dell’Unione Europea del 13 maggio scorso (Causa C-131/12).

Si tratta, dunque, di un provvedimento – il primo in Europa – che non si limita a richiamare il rispetto delle disposizioni dettate in materia di protezione dei dati personali, ma che indica in concreto le misure da adottarsi affinché sia assicurata la conformità alla legge.

Per farlo Google avrà 18 mesi di tempo dalla notifica del provvedimento, a cui si rinvia per la lettura integrale.

SAVE THE DATE: Venezia, 9 luglio, E-Lex a Digital Venice

Digital Venice

Nell’Ambito di Digital Venice, E-Lex e l’Istituto per le politiche dell’innovazione organizzano  – in collaborazione con TechEconomy.it – l’incontro dibattito “Innovation vs. regulation. Clash or opportunity?”, che si terrà il 9 luglio a Venezia presso il Telecom Italia Future Centre.

Che si tratti di ormai maturi giganti del web come Google o delle Telecomunicazioni come Telecom o Vodafone, di ex startup cresciute in fretta come Uber e Soundreef o di nuove start up emergenti come Travel appeal, le regole – dappertutto e nel nostro Paese in modo particolare – sembrano inesorabilmente destinate a rappresentare, determinati e coriacei antagonisti di innovatori e rivoluzionari.

Eppure la storia moderna insegna che questi innovatori, crescono in fretta e producono, altrettanto in fretta, ricchezza e nuove opportunità di mercato e democrazia anche se, naturalmente, non sempre, non per tutti e non ovunque.

Possibile che il rapporto tra l’innovazione e la regolamentazione debba necessariamente essere tanto difficile e conflittuale.

Possibile che sia così complicato scrivere regole capaci di instradare l’innovazione nella direzione giusta limitando danni ed effetti collaterali – talvolta ineliminabili – e moltiplicando opportunità e benefici?

La recente decisione della Corte di Giustizia UE in materia di motori di ricerca e diritto all’oblio, il caso Tripadvisor del quale l’Autorità Antitrust italiana ha appena deciso di occuparsi, il confronto-scontro tra Uber ed i tassisti milanesi che fa parlare di sé da oltre un anno o quello, ormai atavico tra Soundreef e SIAE ed i dubbi e le perplessità con le quali deve confrontarsi chi voglia lanciare, in Italia, una startup innovativa sono li a testimoniare quanto complicato sia il rapporto tra innovazione e regolamentazione.

Forse aveva davvero ragione Macchiavelli quando nel suo Il Principe scriveva: “non è cosa più difficile a trattare né più dubbia a riuscire, né più pericolosa a maneggiare, che farsi capo a introdurre nuovi ordini; perché lo introduttore ha per nimici tutti quelli che delli ordini vecchi fanno bene ed ha tepidi difensori tutti quelli che delli ordini nuovi farebbero bene. La quale tepidezza nasce parte per paura degli avversari, che hanno le leggi dal canto loro, parte dalla incredulità degli uomini; e quali non credano in verità le cose nuove se non ne veggano nata una ferma esperienza.”. (Il Principe, N. Macchiavelli, Capitolo VI).

Ma poi la resistenza che la regolamentazione, talvolta, oppone all’innovazione ha davvero senso? Accade davvero che le regole possano frenare o anche solo arginare certe rivoluzioni innovative. Che ruolo hanno avuto le regole nella storia di giganti come Google, Facebook, Tripadvisor o Booking.com? Che ruolo avranno nel futuro di Uber? Non è che le regole riescono solo ad influenzare le startup in erba, inducendole a desistere e gettare la spugna?

Se fosse così ci sarebbe davvero di che preoccuparsi perché I più grandi continuerebbero a crescere ed I più giovani, sarebbero costretti a rinunciare.

Ne discutono giganti del web, giovani promesse ed emergenti con I regolatori. Noi come Istitituto per le politiche dell’Innovazione proviamo a fare da mediatori culturali e come E-Lex, Studio Legale a suggerire strade, strategie e soluzioni di compromesso.

Clicca qui per iscriverti!

PROGRAMMA

Ore 15:30 – 16,00 – Welcome coffee e Registrazione

Ore 16,15 – Talk Show

Modera: Guido Scorza (Istituto politiche innovazione – E-lex)

Giorgia Abeltino – Google
Benedetta Arese Lucini – Uber
Stefano Quintarelli – intergruppo Parlamentare Agenda digitale
Davide D’Atri – Soundreef
Lucio Gamba – CloudItalia
Laura Bononcini – Facebook

Ore 17,30 – In the meantime outside Italy

Giovanni Maria Riccio (E-lex)

Modera: Ernesto Belisario (E-lex)

Mirko Lalli – Travel Appeal
Franco Brescia – Telecom Italia
Maria Luisa Cesaro – Vodafone
Antonio Nicita – AGCOM
Luigi Montuori – Garante Privacy (in attesa di conferma)
Stefano Epifani – Università La Sapienza, Chief Editor TechEconomy.it

18.30 – Fine dei lavori

The New Cookies Provisions of the Italian Data Protection Authority

The new provisions on consent and privacy policy for using cookies, held by the Italian Data Protection Authority, has been published yesterday in the Official Gazette.

First of all, the long-expected provision emphasizes the distinction between the so-called technical cookies and the so-called profiling cookies. In order to process the first ones will be sufficient to provide users with a privacy policy, while, for using the latter ones a specific consent, even if through a simplified procedure, will be required.

In this regard, however, the DPA recalls that when cookies are used for profilization it is also necessary to notify to the authority this treatment before starting it.

The other essential demarcation underlined by the provision is between the so-called “first party cookies”, i.e. cookies “launched” on users’ devices directly from the editor of the website or otherwise under his control, and the so-called “third-party cookies”, which are installed on devices by third parties other than the editor of the visited website.

This distinction is essential since it draws a line between the liability of publishers, whose work is limited to the processing of personal data related to the installation of his own cookies – no matter if technical or profiling – and the liability of other subjects which use, as a part of advertising contracts, the pages of the editor of the website to install their own cookies on users’ devices.

On this point the DPA is clear: as for the to third parties cookies, the editor acts as a mere technical intermediary and does not have any responsibility for privacy infringements.

From a practical point of view, the editor is expected to provide a privacy policy, to be published through a special banner shown on the homepage of the website. The banner should be articulated on two distinct levels. The first one advising users that cookies are installed through the website, from first and third parties, allowing users to provide their consent without examining the terms of such data processing. The second one – accessible through a link to be posted on same banner – through which the editor should provide further information, especially for third parties cookies, concerning the different treatments, allowing user  to provide their consent in a selective way, even for each single cookie .

Taking into account the difficult technical implementation of the new rules, the DPA has postponed for 12 months the deadline to comply with the new measures.

The full text is available here.

In Gazzetta Ufficiale le indicazioni del Garante Privacy sui Cookie

È stato pubblicato ieri sulla Gazzetta Ufficiale il provvedimento con il quale il Garante per il trattamento dei dati personali ha dettato regole e modalità relative alla prestazione dell’informativa ed all’acquisizione del consenso sull’uso dei cookie.

Atteso ormai da tempo il provvedimento ribadisce, innanzitutto, la netta distinzione tra i cookie c.d. tecnici e quelli di profilazione, chiarendo che per i primi sarà sufficiente dare un’informativa ai visitatori del sito mentre per i secondi sarà necessario chiedere ed ottenere apposito consenso, benché attraverso la procedura, decisamente semplificata, delineata nel provvedimento.

Al riguardo, peraltro, il Garante ricorda che allorché i cookie siano utilizzati con finalità di profilazione è necessario procedere alla notificazione del relativo trattamento prima di iniziarlo.

L’altra linea di demarcazione essenziale delineata dal Garante nell’universo dei cookie è quella tra i “biscottini” c.d. “di prima parte” ovvero “lanciati” sui dispositivi degli utenti direttamente dal gestore del sito visitato o, comunque, sotto il suo controllo e i cookie c.d. di “terze parti”, ovvero installati sui dispositivi da soggetti diversi dal gestore del sito visitato.

Si tratta di una distinzione di fondamentale rilievo giacché essa consente di tracciare una linea di demarcazione netta tra la responsabilità degli editori che si ferma ai trattamenti di dati personali connessi all’installazione dei propri cookie – tecnici e di profilazione c.d. “di prima parte” – e quella della miriade di piccoli, grandi e grandissimi soggetti che utilizzano, nell’ambito dei contratti pubblicitari, le pagine degli editori per installare, sui dispositivi degli utenti, i propri cookie.

Sul punto il Garante è chiaro e inequivoco: l’editore, in relazione ai cookie c.d. “di terza parte” si trova in una posizione di semplice intermediario tecnico e non può avere alcuna responsabilità sotto il profilo della privacy.

Da un punto di vista pratico, la soluzione proposta nel provvedimento prevede un’informativa, da fornirsi attraverso un apposito banner in evidenzia sulla pagina web di accesso al sito da parte del visitatore – che si tratti della home page o di una pagina diversa – articolata su due distinti livelli: un primo contenente un’indicazione sintetica della circostanza che attraverso il sito sono installati cookie di prime e di terze parti e viene offerta al visitatore la possibilità di prestare il consenso senza approfondire i termini di tali trattamenti ed una seconda – accessibile attraverso un link da pubblicare sul medesimo banner – attraverso la quale occorrerà, invece, specie per i cookie di “terze parti” fornire agli interessati una dettagliata informazione circa i soggetti titolari dei diversi trattamenti, garantendo la possibilità di prestare il consenso in modo selettivo per ogni singolo cookie.

Consapevole della non facile implementazione tecnica delle nuove regole, il Garante ha posticipato di 12 mesi – a partire da ieri 3 giugno – il termine per adeguarsi al provvedimento.

Il testo integrale è disponibile qui.

Garante Privacy: aggiornate le regole per i fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione

Il Garante per la protezione dei dati personali, con provvedimento pubblicato in Gazzetta Ufficiale lo scorso 13 marzo, ha aggiornato le regole dettate ai fornitori di servizi di comunicazione elettronica accessibili al pubblico per lo svolgimento di attività di profilazione della clientela.

Il provvedimento generale del 25 giugno 2009 aveva prescritto ai fornitori di servizi di comunicazione elettronica che intendessero svolgere attività di profilazione attraverso l’utilizzo di dati aggregati, senza acquisire uno specifico consenso dall’interessato, di formulare un’istanza di verifica preliminare nella quale individuare la tipologia di trattamenti, le relative finalità e la natura dei dati da trattare.

In sede di verifica delle istanze proposte dagli operatori di telefonia, il Garante ha ritenuto che il periodo di osservazione dei dati aggregati per finalità di profilazione non potesse essere inferiore ai 30 giorni, in quanto detto periodo poteva ritenersi, da un lato, idoneo ad ottenere una adeguata rappresentazione dei comportamenti dell’utenza e, allo stesso tempo, sufficientemente ampio da evitare una ricostruzione dettagliata delle comunicazioni elettroniche del singolo interessato.

Tuttavia, di recente, un operatore di telecomunicazioni ha prospettato all’Autorità l’esigenza di effettuare una aggregazione dei dati su una base temporale più ridotta in ragione delle attuali dinamiche del mercato delle telecomunicazioni, caratterizzato da un aumento della pressione competitiva tra gli operatori e dalla tendenza degli utenti a mutare con tempistiche molto rapide il fornitore del servizio. I comportamenti dell’utenza, pertanto, necessitano di un’osservazione condotta su una base temporale più ridotta per consentire agli operatori di rispondere con tempismo alle esigenze che ne emergono.

In tale scenario e ferme restando le garanzie prescritte con il provvedimento generale del 2009, il Garante ha ritenuto di poter individuare una nuova scala di misurazione dei fenomeni che delineano il comportamento dell’utente, anche se con esclusivo riferimento ad alcune categorie di dati.

L’Autorità ha ritenuto che il periodo minimo di riferimento per la misurazione dei fenomeni relativi a dati quali il volume di traffico originato o terminato (in minuti o byte), il numero di eventi di ricarica, distinto per canale di ricarica, nonché il totale delle ricariche effettuate, possa essere individuato in un arco temporale di due giorni.

Le società dovranno comunque escludere dall’osservazione i periodi cui corrisponda un solo evento di comunicazione riferibile ad un singolo utente.

Resta invece invariata la base temporale minima di riferimento per l’osservazione di dati aggregati che riguardano altri eventi che sono monitorati dagli operatori per finalità di profilazione.

Inaugurato dall’Italia il Laboratorio nazionale del DNA, in attuazione del Trattato UE sulla sicurezza del 2005

È stato inaugurato a fine gennaio 2014, presso il carcere romano di Rebibbia, il Laboratorio nazionale del DNA, struttura d’avanguardia costata 16 milioni di euro e realizzata in attuazione del Trattato europeo di Prṻm, sottoscritto dall’Italia il 27 maggio 2005.

Tale Trattato ha previsto l’istituzione, negli stati membri, di una banca dati nazionale del DNA nonché di un laboratorio centrale, allo scopo di contrastare il terrorismo, la criminalità transfrontaliera e la migrazione illegale. Costituisce quindi un supporto nello svolgimento dell’attività di polizia, sulla base dell’acquisizione di una minima prova biologica, che possa permettere, unitamente alla procedura di cd. “foto segnalamento” (costituito dalla foto segnaletica e dalle impronte digitali), di tracciare geneticamente un soggetto schedato.

La disciplina del trattato è stata recepita dall’Italia con la legge n. 85 del 2009. Elemento più interessante – anche per ovvi motivi di tutela della privacy – è costituito dall’elenco di soggetti i cui codici genetici dovranno essere inseriti nella banca dati nazionale; l’art. 9 della legge di attuazione prevede infatti un obbligo di inserimento dei profili dei detenuti per delitti non colposi, di coloro che sono stati arrestati in flagranza di reato, oppure ancora che siano stati sottoposti a misure alternative alla detenzione. La legge specifica inoltre che in caso di assoluzione per tutti i casi previsti dall’art. 530 c.p.p., sarà disposta di ufficio la cancellazione dei codici genetici degli imputati dal database nazionale.

È evidente come tale tematica possa essere suscettibile di aspetti problematici e controversi: sia in materia di protezione di dati personali, sia in senso più lato con riferimento ai diritti fondamentali dell’individuo: sarà quindi compito del Garante per la protezione dei dati personali – organo individuato dalla legge n. 85 del 2009 quale istituzione di garanzia – attuare un controllo scrupoloso nei confronti della banca dati, che dovrebbe entrare a regime dal gennaio 2015.

Firma biometrica: arriva l’ok del Garante Privacy

Il Garante per la protezione dei dati personali ha reso noto di aver approvato, al termine della verifica preliminare ex art. 17 del Codice Privacy, due sistemi per la raccolta della firma grafometrica dei cliente da parte dei promotori finanziari, tramite l’utilizzo di tablet.

Le due richieste sono state avanzate da Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A da un lato, e Fineco Bank S.p.A. dall’altro, per servizi che avrebbero come beneficio anche quella di ridurre il rischio di frodi e diminuire i casi di contenzioso conseguente al disconoscimento di firma.

In estrema sintesi, Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A  vorrebbero dotarsi di un sistema di raccolta dei dati biometrici delle sottoscrizioni dei clienti che consterebbe di due fasi distinte: in un primo momento Telecom Italia Trust Technologies S.r.l., nella sua qualità di società di certificazione, acquisirebbe, mediante l’apposizione della firma su un tablet, le “caratteristiche” biometriche della sottoscrizione, da associare ai dati anagrafici del cliente.

Raccolti in un data base,  questi “esemplari” sarebbero comunicati a Banca Generali S.p.A. in modo da servire come raffronto per autenticare, sempre mediante firma su tablet, i clienti nel momento in cui decidono di sottoscrivere un contratto.

Con il provvedimento n. 2938921 il Garante, dopo aver precisato che il trattamento dei dati risulta essere lecito, prescrive l’adozione di alcuni accorgimenti soprattutto volti a garantire un adeguato livello di sicurezza.  Precisa, a differenza di quanto richiesto dalle parti, che i soggetti coinvolti devono essere considerati come co-titolari del trattamento dei dati personali in quanto unica è la finalità.

Il secondo provvedimento segnalato dal Garante, il n. 2683533, riguarda una richiesta avanzata da parte di Fineco Bank S.p.A. la quale utilizzerebbe il servizio di firma grafometrica non come autenticazione del cliente, bensì come vera e propria sottoscrizione valida per la conclusione di contratti, i quali verrebbero conservati in modalità cifrata. L’adesione al servizio sarebbe comunque su base volontaria e facoltativa.

Anche in questo caso il Garante, dopo aver validato la modalità di trattamento dei dati, sottolinea però l’importanza di salvaguardare la sicurezza dei dispositivi mobile e di predisporre adeguate policy in ipotesi di incidenti.

Privacy e mobile payment: il Garante avvia la consultazione pubblica

Il 3 dicembre scorso è stato pubblicato in Gazzetta Ufficiale l’avviso pubblico di avvio della consultazione sullo «schema di provvedimento generale in materia di trattamento di dati personali nell’ambito dei servizi di mobile remote payment».

A decorrere dalla pubblicazione, e per i 60 giorni successivi, i soggetti coinvolti – in particolare i fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico, gli hub-tecnologici e i merchant – nonché quelli qualificati, come Università e centri di ricerca, sono stati chiamati a trasmettere al Garante osservazioni, commenti e proposte sulle prescrizioni finalizzate a prevenire i rischi connessi all’utilizzo improprio dei dati personali degli utenti.

Negli ultimi due anni in Italia sono state incrementate le iniziative volte a sviluppare servizi di pagamento tramite smartphone e tablet , in particolare in modalità contactless sfruttando la tecnologia NFC. Preso atto delle possibili implicazioni in merito al trattamento dei dati personali degli utenti e annunciando l’adozione di successivi e più specifici provvedimenti, il Garante ha ritenuto necessario  redigere questo primo schema generale che obbligherà fornitori di reti, aggregatori e merchant ad adeguare il proprio operato alle nuove regole in tema di privacy.

Considerando i servizi attualmente offerti in Italia, lo schema di provvedimento si riferisce ai micro pagamenti effettuati mediante telefono mobile con addebito sul credito residuo o sul conto telefonico.

Il Garante, analizzate le attività svolte dai singoli soggetti coinvolti, sofferma la propria attenzione in particolare sulla tipologia dei dati personali trattati e sulle informazioni che possono essere da essi desunte, sulle modalità e sui tempi di conservazione, che non devono superare i 6 mesi, nonché sulla sicurezza.

Ciò che emerge è una particolare attenzione a che i dati raccolti nel corso della fornitura del servizio di mobile payment siano tenuti ben separati da tutti gli altri già in possesso dei medesimi operatori , così da evitare il possibile incrocio, utile alla profilazione degli utenti per finalità di marketing.

Non resta che attendere la conclusione della consultazione pubblica per sapere se e quali modifiche saranno apportare al provvedimento prima della sua pubblicazione, momento in cui tutti i soggetti coinvolti dovranno essere pronti ad aggiornare o predisporre la documentazione privacy secondo le nuove disposizioni del Garante.

Privacy e Apps: i Garanti mondiali decidono di darsi da fare

Nell’ambito della 35ma Conferenza internazionale sulla privacy, i Garanti di tutto il mondo si sono riuniti per affrontare il tema dell’educazione digitale. Dall’incontro sono scaturite ben otto risoluzioni legate ai temi della trasparenza sul controllo dei dati degli utenti, della profilazione, del tracciamento della navigazione sul web, dell’alfabetizzazione digitale e della necessita di adottare un piano strategico finalizzato alla creazione di una rete globale di regolatori.

Fra gli atti adottati spicca sicuramente la Risoluzione di Varsavia sulla “applificazione” della società. Il documento affronta le problematiche legate all’importante aumento dell’uso delle app e dei dati personali da esse trattati e sancisce un impegno da parte di tutti i Garanti per la protezione dei dati personali di promuovere nei prossimi 12 mesi tutte le azioni necessarie per intervenire sulle problematiche emerse nel corso della conferenza.

Un primo intervento – si legge nel documento – sarà rivolto agli sviluppatori di app che molto spesso non conoscono le implicazioni associate alla loro attività in termini di privacy e, pertanto, non offrono agli utenti il pieno controllo dei propri dati e, di conseguenza, la possibilità di verificare quali informazioni siano raccolte e per quale finalità. Sul punto, l’obiettivo dei garanti sarà quello di rivolgersi a vari soggetti pubblici e privati per richiamarli alle funzioni ed alle rispettive responsabilità.

Si parla poi dei fornitori di sistemi operativi ai quali compete, riguardo alle rispettive piattaforme, la responsabilità di tutelare gli utenti. I Garanti ritengono che, nonostante i crescenti miglioramenti, il controllo della privacy consentito agli interessati – sia sulle piattaforme che sui dispositivi mobili – non offre ancora la granularità sufficiente a permettere il pieno controllo dell’utente su tutti gli aspetti significativi della raccolta di dati personali.

Le Autorità per la privacy e la protezione dei dati di tutti i Paesi del mondo si sono dunque dati appuntamento alla 36ma Conferenza internazionale di Mauritius, dove saranno esaminati i risultati ottenuti dalle azioni messe in atto sulla base delle linee guida concordate a Varsavia.

Informativa sui cookies: il Garante privacy avvia una consultazione

Il 19 dicembre è partita la consultazione pubblica del Garante privacy sull’informativa da dare agli utenti di un sito prima dell’installazione dei cookies sui loro dispositivi.

Tutti i soggetti interessati, a partire dai gestori dei siti internet sino alle associazioni dei consumatori, potranno far pervenire i loro contributi al Garante privacy, scrivendo a: consultazionecookie@gpdp.it

Una volta terminata la consultazione, il Garante elaborerà un modello di informativa che potrà essere adottato dai titolari dei siti internet che facciano uso di cookies.

Il Garante ha già reso noti quelli che dovranno essere i punti fermi dell’informativa da dare agli utenti; nonostante la semplificazione, infatti, l’informativa dovrà descrivere in modo chiaro le modalità e le finalità del trattamento, consentendo agli utenti di manifestare, se necessario, un consenso libero, specifico ed espresso in relazione a ciascuna singola finalità che si intende perseguire mediante l’installazione dei cookies.

Al riguardo ricordiamo che in base all’articolo 122 del Codice privacy occorre distinguere tra cookies tecnici e altre tipologie di cookies.

I primi sono quelli strumentali all’esecuzione di un’operazione o alla fornitura di un servizio richiesti dallo stesso utente; rientrano in questa categoria i cookies di sessione, i cookies di autenticazione, i cookies utilizzati per ricordare le preferenze degli utenti, etc… Prima di installare un cookie tecnico, il gestore del sito deve informare l’utente ma non ha bisogno del suo consenso.

Per tutti gli altri cookies, invece, oltre all’informativa, è necessario acquisire il consenso preventivo dell’utente. Tra i cookies diversi da quelli tecnici spiccano quelli utilizzati per attività di profilazione e marketing (il cosiddetto “marketing comportamentale”) mediante il rilevamento dei siti visitati dall’utente o, più in generale, delle sue abitudini di navigazione. In proposito il Garante ha già precisato che l’informativa per l’acquisizione del consenso potrà dirsi corretta solo nella misura in cui specifichi che l’installazione dei cookies è strumentale non solo all’invio di comunicazioni di natura commerciale/promozionale, ma anche alla creazione di un profilo dell’utente a partire dall’analisi delle sue abitudini di navigazione.

La consultazione sarà infine l’occasione per chiarire a quali condizioni l’utente potrà esprimere il consenso per l’installazione dei cookies attraverso le impostazioni del browser o del dispositivo elettronico in uso.

Il Garante privacy interviene sul trattamento illecito dei dati nell’attività di telemarketing

Con provvedimento dell’11 ottobre 2012 il Garante per la privacy ha sanzionato un’azienda che svolgeva attività di telemarketing per non aver fornito correttamente l’informativa agli interessati e per non averne raccolto il consenso in modo specifico per ciascuna distinta finalità del trattamento.

Il provvedimento rappresenta una buona occasione per fare il punto su alcune regole a cui è necessario adeguarsi se si vuole contattare i potenziali clienti a mezzo telefono, posta elettronica, etc… per fare proposte di natura commerciale.

Innanzitutto la società sanzionata aveva ottenuto il database dei clienti, acquistando nell’ambito di una procedura fallimentare un’altra azienda che a suo tempo aveva già raccolto il consenso degli interessati dopo aver fornito l’informativa; sul punto il Garante ha però chiarito che la vecchia informativa non è sufficiente in quanto il soggetto che subentra rappresenta un nuovo titolare del trattamento e come tale è tenuto a rinnovare l’informativa ex articolo 13, comma 4 del Codice privacy, trattandosi di dati raccolti non direttamente presso l’interessato.

Perché l’attività di telemarketing sia svolta correttamente è inoltre necessario che il titolare del trattamento specifichi le differenti modalità attraverso cui l’interessato potrà essere contattato per ricevere proposte di natura commerciale; non è quindi sufficiente indicare nell’informativa che i dati potranno essere trattati per finalità di natura promozionale, se tale informazione non è accompagnata dall’indicazione specifica degli strumenti (telefono, posta elettronica, etc…) di cui il titolare intende servirsi per contattare l’interessato.

Il Garante, infine, ribadisce un principio già più volte affermato in altre sedi ma spesso dimenticato dalle aziende al momento della redazione delle informative: non è possibile acquisire un unico consenso con riferimento a tutte le finalità per il cui perseguimento i dati vengono raccolti in quanto l’interessato deve essere messo nella condizione di poter manifestare ovvero negare il proprio consenso avuto riguardo a ciascuna distinta finalità.

Job Vacancies: il Garante privacy passa sotto la lente di ingrandimento il settore alberghiero

Il 20 novembre 2012 la Guardia di Finanza – Nucleo Speciale Privacy, nell’ambito dell’operazione denominata “Job Vacancies”, ha condotto in tutta Italia ispezioni per verificare il regolare trattamento dei dati personali nelle procedure di selezione del personale all’interno del settore alberghiero.

In particolare le indagini svolte dalla Guardia di Finanza su delega del Garante hanno avuto come obiettivo quello di accertare se i cittadini che rispondevano ad annunci di lavoro su riviste o siti specializzati ricevessero o meno una corretta informativa ex art. 13 del Codice privacy.

Come noto, infatti, l’esonero dall’obbligo di fornire l’informativa privacy sussiste solo nel caso in cui l’invio dei curriculum alle imprese avvenga spontaneamente, senza alcuna sollecitazione da parte di queste ultime. Diversamente le società sono tenute ad informare correttamente i cittadini sul trattamento dei dati forniti con il curriculum, anche con modalità semplificate qualora la pubblicazione dell’annuncio per la selezione del personale avvenga su giornali o riviste.

In molti casi, peraltro, la Guardia di Finanza, allargando l’oggetto delle proprie indagini, ha contestato alle società alberghiere anche l’omessa indicazione con appositi cartelli della presenza di telecamere di sicurezza all’interno degli alberghi, così come l’installazione abusiva di sistemi di videosorveglianza in violazione delle garanzie previste dall’art. 4 dello Statuto dei lavoratori.

Il Garante privacy dice sì al “fast boarding” con impronte digitali

Sempre più spesso le aziende utilizzano i dati biometrici per identificare in modo più veloce e sicuro i propri clienti.

È il caso di Alitalia che per i propri clienti aderenti al programma “Millemiglia ha deciso di mettere a punto un sistema in grado di velocizzare le procedure di imbarco attraverso il riconoscimento sicuro dei passeggeri per mezzo delle loro impronte digitali.

In particolare Alitalia rilascia ai propri clienti una smart card sulla quale è salvato il template della loro impronta digitale. In seguito, al momento dell’imbarco, il sistema confronta il template precedentemente memorizzato con l’impronta digitale del passeggero, accertando in questo modo l’effettiva identità del viaggiatore.

L’utilizzo dei dati biometrici per il riconoscimento dei proprio clienti può considerarsi in linea di massima consentito, a condizione che vengano adottati una serie di accorgimenti a tutela della privacy degli interessati, come quelli prescritti in questo caso dal Garante.

Innanzitutto l’utilizzo della biometria per l’identificazione dell’interessato deve avvenire sempre su base volontaria e con il consenso scritto di quest’ultimo.

In altri termini, il titolare del trattamento deve lasciare all’interessato la possibilità di scelta tra un sistema di identificazione tradizionale attraverso l’esibizione di un documento di identità ed uno basato invece su sistemi di tipo biometrico.

Una volta effettuata tale scelta, i dati biometrici salvati sotto forma di template sulla smart card vanno protetti mediante idonee misure di sicurezza in grado di prevenire eventuali accessi abusivi.

Il Garante è inoltre particolarmente attento all’informativa da fornire all’interessato, che, oltre a comprendere le finalità del trattamento, dovrà sempre ricevere adeguate istruzioni sulla custodia della smart card.

Per evitare infine possibili frodi legate ad un uso abusivo dei dati biometrici, in caso di furto o smarrimento della smart card è fondamentale che i clienti possano inibire con facilità ed immediatamente tutte le funzioni della carta elettronica.

Pubblicate le Linee Guida del Garante privacy in caso di “data breaches”

Il 2 agosto 2012 il Garante per la privacy ha pubblicato le Linee Guida che gli internet service provider e le società di telecomunicazioni dovranno seguire per comunicare al Garante, e nei casi più gravi, anche agli utenti, la violazione dei loro database verificatasi a seguito di attacchi informatici ovvero di altri eventi come calamità, incendi, etc…

Il Garante ha opportunamente precisato che tale obbligo di comunicazione incombe esclusivamente sui fornitori di servizi telefonici e di accesso a Internet, con la conseguente esclusione delle reti aziendali, degli internet point, dei motori di ricerca nonché dei siti internet che forniscono contenuti.

I tempi per la comunicazione sono piuttosto stretti: dal momento in cui si è verificata la violazione la società di TLC o l’Internet Provider ha a disposizione 24 ore per trasmettere al Garante le informazioni necessarie per una prima valutazione dell’accaduto, rappresentando il tipo di dati coinvolti, i sistemi di elaborazione e il luogo dove è avvenuta la violazione. Entro tre giorni, invece, potranno essere trasmesse informazioni più dettagliate. Per agevolare l’adempimento degli oneri comunicativi il Garante ha comunque messo a disposizione sul proprio sito un modello di comunicazione. Una volta, poi, esaurite tutte le verifiche del caso, i soggetti obbligati sono tenuti ad indicare al Garante tutte le misure adottate, da un lato, per porre rimedio alle violazioni già commesse, e dall’altro, per prevenirne di nuove in futuro.

Nei casi più gravi, l’obbligo informativo si estende anche agli utenti i cui dati sono stati coinvolti nella violazione. Per distinguere i casi più gravi da quelli in cui tale comunicazione non è dovuta, il Garante ha dettato alcuni criteri che fanno leva sui rischi connessi con la violazione (per esempio, furto di identità, danno alla reputazione, etc…), sulla attualità dei dati nonché sulla qualità (dati sensibili, giudiziari, etc…) e quantità de dati interessati. In questi casi la comunicazione all’utente è dovuta entro tre giorni, salvo che il soggetto obbligato non dimostri di aver cifrato o comunque anonimizzato i dati violati con conseguente esclusione di qualsiasi rischio per la privacy dell’utente.

Al fine di agevolare le attività di accertamento del Garante, i provider devono inoltre tenere un inventario avente ad oggetto tutte le violazioni subite con la descrizione delle circostanze in cui si sono verificate e dei rimedi approntati per porvi rimedio.

Tutti gli obblighi in questione sono assistiti da sanzioni pecuniarie di rilevante importo nel caso di una loro violazione; ad esempio, per l’omessa o ritardata comunicazione al Garante, può essere applicata una sanzione da € 25.000 a € 150.000; nel caso invece in cui la comunicazione omessa riguardi l’interessato, la sanzione amministrativa prevista va da € 150 a € 1.000 per ciascun soggetto che non ha ricevuto la comunicazione cui aveva diritto.

Il Garante Privacy e la scuola al tempo di Internet

Il 6 agosto 2012, a pochi giorni dalla riapertura delle scuole, il Garante per la privacy ha ritenuto opportuno fornire ad alunni, genitori ed insegnanti alcune indicazioni in tema di tutela della privacy in applicazione di regole e principi già affermati nei propri precedenti provvedimenti e pareri.

L’ingresso in classe di telefonini e smartphone dipenderà dalla scelta discrezionale dei singoli istituti scolastici; in caso positivo, però, i filmini realizzati o le foto scattate potranno essere pubblicati in rete, per esempio postate su un social network, solo con il consenso di tutte le persone riprese. Diversamente lo studente rischia di incorrere in sanzioni disciplinari, amministrative, e, nei casi più gravi, anche penali, laddove con il proprio comportamento abbia leso la riservatezza o la dignità altrui.

Analogo discorso vale per i tablet che possono rappresentare validi strumenti di studio per prendere appunti, fare ricerche ovvero leggere un libro in formato digitale; quando però il tablet è utilizzato anche per scattare foto o girare video valgono le stesse regole stabilite per i telefonini.

Durante le gite o le recite scolastiche sono consentite le riprese video e le fotografie nella misura in cui le immagini vengano raccolte, per esempio dai genitori, a fini personali e non siano destinate ad essere diffuse oltre un ambito strettamente familiare o amicale. Anche in questo caso, invece, la possibilità di pubblicare online il materiale video rimane subordinata al consenso delle persone riprese.

Molta cautela è richiesta da parte degli istituti scolastici per la diffusione in rete di informazioni personali riguardanti i propri studenti.

Se per i voti, i risultati di scrutini e interrogazioni e gli esami di Stato non sussistono particolari problemi in quanto si tratta di informazioni pubbliche soggette a un regime di trasparenza stabilito dal Ministero dell’istruzione, lo stesso non può valere per i dati sensibili degli studenti connessi, per esempio, al superamento di prove  separate dedicate ai soli portatori di handicap. Il riferimento a tali prove dovrà pertanto essere contenuto in una attestazione da rilasciare a parte a ogni singolo studente interessato.

Analoga cautela deve essere usata quando il trattamento riguarda dati idonei a rilevare l’appartenenza dello studente a una famiglia a basso reddito o comunque a una fascia debole della popolazione; divieto assoluto quindi di pubblicare sul sito della scuola i nominativi degli studenti ammessi a fruire gratuitamente del servizio di mensa ovvero i cui genitori siano in ritardo con il pagamento della retta scolastica.

Per favorire l’inserimento professionale, gli alunni potranno infine chiedere alla scuola di comunicare i propri dati a imprese e amministrazioni pubbliche; anche in questo caso, quindi, il trattamento è subordinato al previo consenso della persona interessata.

L’opuscolo contenente queste regole – di fatto – non introduce nuovi precetti, ma si limita a riepilogare quanto già sancito in precedenti provvedimenti assunti dal Garante.

Per questo motivo, per tutti coloro che volessero approfondire il tema della “Privacy a scuola“, segnaliamo i principali provvedimenti assunti dal Garante Privacy, aggregati per materia.

TEMI IN CLASSE

–  Comunicato stampa 10.3.1999 http://www.garanteprivacy.it/garante/doc.jsp?ID=48456

CELLULARI E TABLET

–  Parere 29.11.2007 http://www.garanteprivacy.it/garante/doc.jsp?ID=1466996

–  Provvedimento a carattere generale 20.1.2005 http://www.garanteprivacy.it/garante/doc.jsp?ID=1089812

–  Provvedimento 12.3.2003 http://www.garanteprivacy.it/garante/doc.jsp?ID=29816

RECITE E GITE SCOLASTICHE

Comunicato stampa 6.6.2007 http://www.garanteprivacy.it/garante/doc.jsp?ID=1410643

–  Newsletter del 8-21.12.2003 http://www.garanteprivacy.it/garante/doc.jsp?ID=476650

RETTA E SERVIZIO MENSA

–  Autorizzazione 16.12.2009 http://www.garanteprivacy.it/garante/doc.jsp?ID=1682956

–  Autorizzazione 16.12.2009 http://www.garanteprivacy.it/garante/doc.jsp?ID=1682967

–  Newsletter 12.5.2006 http://www.garanteprivacy.it/garante/doc.jsp?ID=1278310

–  Parere 16.3.2006 http://www.garanteprivacy.it/garante/doc.jsp?ID=1259641

–  Newsletter 15-21.4.2002 http://www.garanteprivacy.it/garante/doc.jsp?ID=43899

–  Provvedimento 10.4.2002 http://www.garanteprivacy.it/garante/doc.jsp?ID=1065249

TELECAMERE

–  Provvedimento generale 8.4.2010 http://www.garanteprivacy.it/garante/doc.jsp?ID=1712680

–  Newsletter 22.9.2009 http://www.garanteprivacy.it/garante/doc.jsp?ID=1651564

–  Verifica preliminare 4.9.2009 http://www.garanteprivacy.it/garante/doc.jsp?ID=1651744

QUESTIONARI PER ATTIVITÀ DI RICERCA

–  Newsletter 11-24.4.2005 http://www.garanteprivacy.it/garante/doc.jsp?ID=1120077

–  Provvedimento 23.12.2004 http://www.garanteprivacy.it/garante/doc.jsp?ID=1121429

VOLANTINI, SCRUTINI, ESAMI DI STATO

–  Comunicato stampa 28.8.2008 http://www.garanteprivacy.it/garante/doc.jsp?ID=1543188

–  Provvedimento 17.7.2008 http://www.garanteprivacy.it/garante/doc.jsp?ID=1541699

–  Newsletter 14.6.2005 http://www.garanteprivacy.it/garante/doc.jsp?ID=1136703

–  Comunicato stampa 3.12.2004 http://www.garanteprivacy.it/garante/doc.jsp?ID=1069385