Garante Privacy: pubblicità e diffusione di informazioni delle PA

autore:

Allegra Bonomo

Con parere del 7 febbraio 2013, n.49, il Garante Privacy ha risposto ad un interrogazione del Ministero per la pubblica amministrazione e semplificazione, in relazione allo schema di decreto legislativo predisposto in materia di pubblicità, trasparenza e diffusione di informazioni da parte della PA. Il Ministero intende infatti operare, in attuazione della delega contenuta nella legge anticorruzione 6 novembre 2012, n.190, una total disclosure delle informazioni organizzative, amministrative ed istituzionali in possesso dei soggetti pubblici, sul modello del Freedom of Information Act statunitense.
Se da un lato questo provvedimento appare essenziale al fine di permettere un controllo diffuso contro la corruzione e l’illegalità, d’altro canto occorre bilanciare questo valore con un altro importante dato costituzionale, quello della riservatezza e protezione dei dati personali, evitando forme sproporzionate di diffusione di informazioni. Si pensi alla sensibilità di alcune informazioni che potrebbero essere rese reperibili in rete, soprattutto in materia di salute, vita sessuale e stato economico-sociale; per questo motivo il Garante Privacy, con il parere  in parola, ne ha espressamente vietata la diffusione.
Inoltre, non è stata ritenuta giustificata la diffusione di dati che non possono essere considerati utili né pertinenti, quali l’indirizzo dell’abitazione, le coordinate bancarie e il numero di telefono privato del dipendente pubblico.
Il Garante Privacy introduce anche altri limiti, non solo in merito ai requisiti di pubblicazione dei dati come sopra indicato, ma anche in merito alla loro reperibilità in rete; se da un lato, per meglio garantire l’accesso civico, il decreto impedisce l’utilizzo di filtri atti ad impedire ai comuni motori di ricerca di catalogare i dati appartenenti alla PA, dall’altro il Garante Privacy ritiene che per una maggiore protezione di queste informazioni sia necessario che i documenti pubblicati vengano rintracciati solo attraverso i motori di ricerca interni al sito del soggetto pubblico e non già mediante l’utilizzo di strumenti esterni.
Infine, se le informazioni riguardano dipendenti e dirigenti pubblici, il Garante Privacy ha ritenuto opportuno limitare ad un ambito più ristretto le informazioni personali oggetto di diffusione, che dovranno in ogni caso essere pertinenti ai curricula e ai compensi corrisposti. Diverso è invece il caso dei soggetti estranei all’incarico pubblico, ma in qualche modo connessi ai dipendenti  (si pensi ai coniugi e ai figli); occorrerà in questo caso chiedere il consenso libero e incondizionato di costoro alla pubblicazione dei dati.

Leggi tutto...

Data breach

autore:

Allegra Bonomo

È stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea del 26 giugno 2013 n. L173 il Regolamento UE n. 611/2013 sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche. Il Regolamento si applica alla notifica delle violazioni di dati personali da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico ed entrerà in vigore il 25 agosto 2013 senza necessità di alcun atto di recepimento nazionale.
La Commissione europea ha introdotto nuove regole su come gli operatori delle telecomunicazioni e i fornitori di servizi Internet debbano comportarsi in caso di violazione di dati personali con cui si intende “una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico”.

Il Legislatore comunitario ha, in questo modo, inteso fornire agli Stati Membri le misure tecniche di attuazione riguardanti le circostanze, il formato e le procedure idonee a garantire che, in caso di violazione di dati, tutti i clienti ricevano un trattamento equivalente in tutta l'Ue e le imprese possano adottare un approccio conforme a quello europeo nel caso in cui operino in diversi paesi. Il Regolamento contiene regole chiare e precise cui devono attenersi i soggetti destinatari degli obblighi ivi previsti.
In particolare le imprese devono:
• informare dell'incidente l'autorità nazionale competente entro 24 ore dalla sua rilevazione al fine di contenerne quanto più possibile le conseguenze; nel caso in cui non sia possibile fornire informazioni complete entro tale termine, comunicarne una prima serie entro 24 ore, con il resto a seguire entro tre giorni;
• indicare le informazioni compromesse e le misure che l'impresa ha attuato o intende attuare;
• nel valutare la necessità di informare gli abbonati (secondo il criterio del rischio di ripercussioni negative dell'infrazione sui dati personali o sulla vita privata) le imprese devono avere riguardo al tipo di dati compromessi, in particolare, per quanto riguarda le telecomunicazioni, a informazioni finanziarie, dati sulla localizzazione, file di connessione a internet, cronologie di navigazione in rete, dati relativi alla posta elettronica ed elenchi dettagliati delle chiamate;
• utilizzare un formato standard (ad esempio, un modulo online uguale per tutti gli Stati membri dell'Ue) per la notifica all'autorità nazionale competente.

Regolamento (UE) Commissione CE 24 giugno 2013, n. 77 (G.U.U.E. 26 giugno 2013, n. 611)
(A.B.)

Leggi tutto...

Creazione, vendita, acquisto banche dati

autore:

Allegra Bonomo

Il Garante per la protezione dei dati personali per la prima volta in Italia ha applicato sanzioni elevatissime pari a 700.000 Euro, nei confronti di due società specializzate nel settore delle banche dati e di un operatore di telecomunicazioni, per avere violato provvedimenti prescrittivi già adottati nei loro confronti nel 2008 sul corretto utilizzo dei dati per finalità di marketing.

In particolare le due imprese specializzate nella creazione di banche dati, avevano realizzato e venduto archivi di dati di milioni di persone, sfruttando le informazioni contenute, ad esempio, negli elenchi telefonici distribuiti prima del 2005 e nelle liste elettorali. Questi dati erano stati raccolti in assenza degli adempimenti preliminari ad ogni trattamento, ossia senza fornire agli interessati l’informativa ed acquisirne il consenso per finalità promozionali o per la cessione delle loro informazioni ad altre società. Con riferimento invece, alla società operante nel settore delle telecomunicazioni, il Garante ha accertato che questa, nonostante fosse a conoscenza dell’origine irregolare dei dati, li aveva non soltanto acquistati, ma utilizzati per proprie finalità promozionali.

Nei tre provvedimenti di ingiunzione emanati dall’Autorità emergono alcuni spunti interessanti sulla vendita e l’acquisto di banche dati per effettuare attività promozionali e sui ruoli dei soggetti coinvolti in tali operazioni.

In primo luogo viene ribadito il principio che la individuazione dei ruoli privacy e l’attribuzione dei relativi poteri, doveri e responsabilità devono basarsi su elementi sostanziali, mentre sono del tutto irrilevanti le qualificazioni formali. In tali ultimi casi, l’eventuale nomina a responsabile del trattamento “fittizia” o “strumentale” al superamento di eventuali criticità, è nulla.

In secondo luogo viene confermato che, nel caso di una comunicazione di dati da un titolare ad un altro ed in presenza di un’informativa che considera espressamente “la comunicazione dei dati a terzi per finalità di marketing”, il titolare destinatario di tali dati deve rendere, a sua volta, la propria informativa preventiva e completa. Secondo il Garante, infatti, tale onere consente agli interessati cui i dati riferiscono “di mantenere un effettivo controllo sui propri dati personali e di poter esercitare i diritti previsti dall’art. 7 del Codice direttamente presso ciascun titolare, senza intermediazioni non previste dalla normativa”.

Inoltre viene espressamente precisato il principio della necessità di un consenso distinto e specifico per le attività di profilazione e marketing. La società destinataria del provvedimento aveva motivato la scelta dell’unico consenso in virtù della “correlazione fra la finalità di marketing diretto e la finalità di profilazione (tesa ad escludere la necessità di acquisire distinti consensi per le due finalità)”; tuttavia il Garante ha ritenuto del tutto infondata tale eccezione e si è limitato a dichiarare che “i trattamenti di dati personali finalizzati all'effettuazione di attività di marketing, profilazione e comunicazione di dati a terzi, necessitano di consensi distinti ….”

(A.B.)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2438949

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2368171

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2428316

Leggi tutto...
Sottoscrivi questo feed RSS