Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

RELAZIONE 2007 - PARTE II - L'ATTIVTÀ SVOLTA DAL GARANTE - PAR. 19 L'attività ispettiva e le sanzioni

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1549907

DOCUMENTI CITATI


[doc. web n. 1549907]

Relazione 2007 

Relazione 2007 - 16 luglio 2008
Parte II - L'attività solta dal Garante

 

Indice generale 

Paragrafo precedente

Paragrafo successivo

19. L'attività ispettiva e le sanzioni
19.1. La programmazione dell'attività ispettiva
L'Autorità ha proseguito, anche nell'anno 2007, il processo di sviluppo dell'attività ispettiva, già avviato nell'anno 2006. L'attività di controllo è stata essenzialmente volta a:

  • incrementare il numero delle verifiche;
  • sviluppare nuove metodologie di controllo attraverso l'integrazione, nei team ispettivi, di competenze tecniche specialistiche per l'esecuzione di accessi ai sistemi informatici e alle banche dati elettroniche;
  • sperimentare controlli per categorie omogenee di titolari del trattamento secondo una metodologia predefinita denominata "a progetto".

Sotto il primo profilo, nell'anno 2007 si è registrato un ulteriore importante incremento delle attività (+30% rispetto al 2006) in linea con la tendenza generale di aumento dell'attività di controllo, già evidenziata negli anni precedenti.

Anno

2002

2003

2004

2005

2006

2007

Ispezioni

40

69

100

230

350

452

Delle quattrocentocinquantadue attività ispettive effettuate, trecentosettanta riguardano l'attuazione di programmi ispettivi semestrali disposti dall'Autorità e ottantadue esigenze istruttorie connesse a reclami, segnalazioni e ricorsi presentati dai cittadini.

Grande importanza riveste l'attività di prevenzione effettuata attraverso accertamenti cd. "di iniziativa", avviati d'ufficio dall'Autorità (anche in assenza di specifici atti di impulso da parte dei cittadini quali segnalazioni, reclami o ricorsi), che ha costituito la parte più consistente dell'attività di controllo (oltre l'80%).

Il Collegio determina, con cadenza semestrale, le linee di indirizzo dell'attività ispettiva di iniziativa dell'Ufficio attraverso deliberazioni di programmazione che indicano gli ambiti del controllo e gli obiettivi numerici da conseguire per il semestre e, sulla base di tali indirizzi, l'Ufficio individua i titolari dei trattamenti da sottoporre a controllo. Le linee generali della programmazione dell'attività ispettiva vengono rese pubbliche.

Questa impostazione consente, attraverso verifiche nei confronti di più soggetti operanti nello stesso settore o che effettuano tipologie omogenee di trattamento, di acquisire importanti elementi di valutazione in ordine:

  • al grado di adeguamento alla legge da parte degli operatori appartenenti a un determinato settore o che utilizzano i dati personali per particolari finalità;
  • a fenomeni di ampia portata che possono costituire presupposto per l'adozione di provvedimenti generali (diretti, cioè, ad un insieme indeterminato di operatori);
  • alla verifica dell'impatto dei provvedimenti adottati.

Ne deriva così una valorizzazione dell'attività di controllo come strumento di governo del sistema in un'ottica non solo repressiva, ma anche conoscitiva e di indirizzo.

Nell'anno 2007 il programma relativo al primo semestre (gennaio-giugno) ha previsto che l'attività ispettiva curata dall'Ufficio del Garante, anche per mezzo della Guardia di finanza, fosse indirizzata ad accertamenti su profili di interesse generale per categorie di interessati nell'ambito di:

  • trattamenti di dati personali effettuati da call center per conto di operatori telefonici;
  • trattamenti di dati personali effettuati da società farmaceutiche, in relazione alla somministrazione di farmaci e prestazioni sanitarie e alla sponsorizzazione di attività di cura o di ricerca, con particolare riguardo all'informativa agli interessati e al consenso eventualmente necessario;
  • trattamenti di dati personali effettuati da compagnie telefoniche con riferimento ai cd. "dati di traffico".

Con riferimento, invece, al periodo luglio-dicembre 2007, l'attività ispettiva di iniziativa è stata finalizzata ad accertamenti nell'ambito di:

  • soggetti pubblici che utilizzano i sistemi informativi della fiscalità mediante "anagrafe tributaria";
  • istituti di credito, con riferimento alla gestione dei servizi di e-banking;
  • trattamenti di dati personali effettuati da strutture sanitarie, in relazione alla somministrazione di farmaci e prestazioni sanitarie e alla sponsorizzazione di attività di cura o di ricerca.

Oltre ai temi di controllo sopra delineati, nei due semestri, sono state anche effettuate:

  • verifiche sull'adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili;
  • altre verifiche di iniziativa concernenti, in particolare, l'adempimento dell'obbligo di notificazione nei confronti di soggetti, pubblici e privati, individuati mediante raffronto con il registro generale dei trattamenti;
  • verifiche sulla liceità e correttezza dei trattamenti di dati personali con particolare riferimento al rispetto dell'obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, nei casi in cui questo è necessario, nonché alla durata della conservazione dei dati nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sulle persone da esso interessate.

19.2. La collaborazione con la Guardia di finanza
Anche nel 2007 è risultato determinante, nel settore ispettivo, il rapporto con la Guardia di finanza che ha consentito all'Autorità di poter disporre di altre risorse qualificate per espletare l'attività di controllo prevista dalla legge.

Il Protocollo di intesa siglato nel 2005 consente al Garante di avvalersi del Corpo attraverso:

  • la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;
  • l'assistenza nei rapporti con l'autorità giudiziaria;
  • lo sviluppo di attività ispettive delegate o sub-delegate per l'accertamento delle violazioni;
  • la contestazione delle sanzioni amministrative rilevate nell'ambito delle attività delegate;
  • l'esecuzione di indagini conoscitive sullo stato di attuazione della legge in determinati settori;
  • la segnalazione all'Autorità di situazioni rilevanti, ai fini dell'applicazione della legge, acquisite anche nell'esecuzione di altri compiti di istituto.

L'Autorià, quando ritiene necessario avvalersi della collaborazione del Corpo, attiva il Nucleo speciale funzione pubblica e privacy con sede a Roma che, disponendo di personale specializzato, provvede direttamente ad effettuare gli accertamenti, utilizzando anche, ove necessario, reparti del Corpo territorialmente competenti.

Le informazioni e i documenti acquisiti nell'ambito degli accertamenti vengono trasmessi all'Autorità per le successive verifiche in ordine alla liceità del trattamento e al rispetto dei princìpi previsti dalla legge. Quando nell'ambito dell'ispezione emergono violazioni penali o amministrative la Guardia di finanza procede direttamente alla segnalazione della notizia di reato all'autorità giudiziaria e alla contestazione della sanzione amministrativa.

Sono proseguite, anche nel 2007, le attività tese a realizzare un maggior coinvolgimento nell'attività di controllo della componente territoriale della Guardia di finanza (nuclei di polizia tributaria, compagnie e tenenze).

L'obiettivo è fruire di un dispositivo di controllo flessibile e articolato che consenta, in funzione della complessità degli accertamenti, di effettuarli direttamente a cura del dipartimento ispettivo dell'Ufficio, ovvero attraverso il Nucleo speciale, oppure, nel caso di accertamenti di non elevata complessità che concernono ad esempio la verifica di singoli adempimenti, delegando i reparti territoriali della Guardia di finanza.

In questo ambito è stata effettuata, in via sperimentale, una prima attività di controllo denominata "a progetto". Si tratta di un'attività complessa di carattere operativo che rientra nell'attuazione di linee strategiche definite di concerto con il Comando generale della Guardia di finanza e che comporta l'esecuzione di compiti correlati tra loro da parte di unità organizzative della componente speciale e di quella territoriale del Corpo, con obiettivi, tempi e assorbimento di risorse definiti.

Questa particolare tipologia di controllo è stata effettuata sulla base dell'elaborazione congiunta da parte dell'Ufficio e del Nucleo speciale di una guida per l'accertamento nell'ambito della quale sono stati definiti, in modo estremamente analitico, i passi che i team di ispettori avrebbero dovuto compiere successivamente e le liste dei controlli da eseguire in loco.

In esecuzione della prima di queste attività denominata "progetto teleselling" gli accertamenti sono stati indirizzati alla verifica del rispetto delle disposizioni previste dal Codice in relazione anche ai Provvedimenti già adottati dall'Autorità nel settore dei call center. Sono stati sottoposti a controllo 76 call center operanti per le maggiori compagnie telefoniche (Telecom Italia S.p.A., Vodafone Omnitel NV, Wind telecomunicazioni S.p.A. e H3G S.p.A.) e gli esiti di tale attività sono tuttora all'esame dell'Autorità.

19.3. I settori oggetto dei controlli e i casi più rilevanti
Nel 2007 sono state effettuate, suddivise per settore, le seguenti attività ispettive:

  • centodieci controlli nei confronti di operatori telefonici con riferimento ai trattamenti effettuati tramite call center;
  • quaranta controlli nei confronti di enti previdenziali, istituti sanitari (pubblici e privati) e imprese/società che trattano dati sensibili, con riferimento all'adozione delle misure minime di sicurezza;
  • quaranta controlli nei confronti di istituti di credito per verificare, in particolare, il rispetto dell'obbligo di informativa con riferimento all'impiego di sistemi di rilevazione biometria e di videosorveglianza;
  • quaranta controlli nei confronti di società che effettuano trattamenti per i quali è prevista la notificazione al Garante;
  • trenta controlli nei confronti di soggetti pubblici e privati che utilizzano sistemi di videosorveglianza, per verificare la liceità del trattamento e il rispetto del relativo provvedimento generale del Garante;
  • venti controlli nei confronti di dentisti, per verificare le modalità di trattamento dei dati, anche sensibili, dei clienti;
  • venti controlli nei confronti di oculisti, per verificare le modalità di trattamento dei dati, anche sensibili, dei clienti;
  • venti controlli nei confronti di istituti di preparazione privatistica agli esami, per verificare le modalità del trattamento dei dati degli studenti;
  • venti controlli nei confronti di alberghi con centri benessere, per verificare le modalità di trattamento dei dati, anche sensibili, dei clienti;
  • venti controlli nei confronti di imprese di trasporti, per verificare la correttezza dei trattamenti dei dati dei clienti e il rispetto degli adempimenti relativi all'informativa;
  • venti controlli nei confronti di società che si avvalgono del servizio garanzia degli assegni fornito da Centax S.p.A.;
  • quindici controlli nei confronti di società che hanno effettuato ricerche di personale a mezzo di annunci pubblicati sul giornale, per verificare le modalità di trattamento dei curricula raccolti e l'assolvimento degli adempimenti di legge;
  • dieci controlli nei confronti di agenzie matrimoniali, per verificare la correttezza dei trattamenti dei dati dei clienti e il rispetto degli adempimenti relativi all'informativa e al consenso;
  • dieci controlli nei confronti di autoscuole, per verificare la correttezza dei trattamenti dei dati dei clienti e il rispetto degli adempimenti relativi all'informativa e al consenso;
  • dieci controlli nei confronti di società che effettuano vendita di strumenti elettronici di rilevazione ambientale, per verificare la correttezza dei trattamenti dei dati dei clienti ed il rispetto degli adempimenti relativi all'informativa ed al consenso;
  • dieci controlli nei confronti di notai, per verificare le modalità di trattamento dei dati, anche sensibili, dei clienti;
  • cinque controlli nei confronti di società per verificare il trattamento dei dati personali nell'ambito di un sondaggio politico elettorale;
  • quattro controlli nei confronti di società farmaceutiche, in relazione alla somministrazione di farmaci e prestazioni sanitarie e alla sponsorizzazione di attività di cura o di ricerca, con particolare riguardo all'informativa agli interessati e al consenso eventualmente necessario;
  • quattro controlli nei confronti di soggetti pubblici che utilizzano i sistemi informativi della fiscalità mediante "anagrafe tributaria";
  • tre controlli nei confronti di compagnie telefoniche con riferimento ai cd. "dati di traffico";
  • un controllo nei confronti di un istituto di credito, con riferimento alla gestione dei servizi di e-banking.

In relazione a quanto emerso dagli accertamenti sono state effettuate circa novanta proposte di adozione di provvedimenti inibitori e/o di prescrizioni per conformare il trattamento alla legge a fronte delle quali l'Autorità ha adottato alcuni Provvedimenti di particolare rilievo per le garanzie nei confronti dei cittadini.

In particolare si segnalano:

  • il provvedimento nei confronti di un'agenzia di intermediazione immobiliare in relazione al trattamento dei dati idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, lo stato di salute e/o lo stato di disabilità, nonché la vita sessuale (Provv. 11 gennaio 2007 [doc. web n. 1381620]);
  • il provvedimento nei confronti di un istituto di credito, in relazione alla consultazione di informazioni sulla solvibilità e affidabilità dei clienti (Provv. 8 marzo 2007 [doc. web n. 1390872]);
  • il provvedimento nei confronti di una società, in relazione al servizio denominato "garanzia assegni" (Provv. 17 maggio 2007 [doc. web n. 1409251]);
  • i provvedimenti nei confronti di gestori di compagnie telefoniche, in relazione all'attività di call center svolta anche attraverso società esterne (Provvedimenti 30 maggio 2007 [doc. web nn. 1412586141255714125981412610 e 1412626]);
  • i provvedimenti nei confronti di diverse società, in relazione all'invio di comunicazioni commerciali mediante telefax (Provv. 28 giugno 2007 [doc. web n. 1433896]; Provv. 11 luglio 2007 [doc. web n. 1433939]; Provv. 4 ottobre 2007 [doc. web n. 1457973]; Provv. 31 gennaio 2008 [doc. web nn. 1489843 e 1488781]);
  • il provvedimento nei confronti di un ente pubblico, in relazione al trattamento dei dati personali effettuato attraverso un sistema di videosorveglianza (Provv. 4 ottobre 2007 [doc. web n. 1457505]);
  • i provvedimenti nei confronti di società operanti nel settore della grande distribuzione, in relazione al trattamento dei dati personali raccolti per il rilascio alla clientela di "carte di fedeltà" e utilizzati illecitamente anche a fini di marketing (Provvedimenti 15 novembre 2007 [doc. web nn. 1466898146693014669711466956 e 1466985]);
  • il provvedimento generale nei confronti di gestori di compagnie telefoniche, in relazione alla sicurezza dei dati di traffico telefonici e telematici (Provv. 17 gennaio 2008 [doc. web n. 1482111]);
  • i provvedimenti nei confronti di istituti di credito, in relazione al trattamento di dati biometrici (Provvedimenti 23 gennaio 2008 [doc. web nn. 14903821490477 e 1490533]);
  • il provvedimento nei confronti di una catena alberghiera, in relazione al trattamento dei dati personali dei clienti (Provv. 31 gennaio 2008 [doc. web n. 1490553]).

Riguardo all'attività ispettiva svolta dall'Ufficio nei confronti di gestori di compagnie telefoniche in relazione alla conservazione dei dati di traffico telefonico e telematico e di società farmaceutiche con riferimento alla sperimentazione dei farmaci, l'Autorità, attese le criticità emerse nell'ambito degli accertamenti e la rilevanza del pregiudizio per un'ampia platea di interessati, dopo aver definito alcune linee-guida, ha avviato una consultazione pubblica tesa a definire regole più precise e rigorose per tutti i soggetti che effettuano tali trattamenti di dati personali (Provv. 19 settembre 2007 [doc. web n. 1442463] e Provv. 29 novembre 2007 [doc. web n. 1468981]).

19.4. L'attività sanzionatoria del Garante
In conseguenza delle ispezioni effettuate, sono state inviate all'autorità giudiziaria quindici informative (di cui tredici a cura del Dipartimento attività ispettive e sanzioni dell'Ufficio e due da parte della Guardia di finanza) e avviati duecentoventotto procedimenti sanzionatori amministrativi (di cui centododici istruiti dal Dipartimento e centosedici della Guardia di finanza).

Per quanto riguarda le violazioni penali, esse hanno riguardato: mancata adozione delle misure minime di sicurezza (10), mancato adempimento di una deliberazione del Garante (2), trattamento illecito dei dati (2) e falsità nelle dichiarazioni e notificazioni al Garante (1).

Otto sono stati i procedimenti connessi al cd. "ravvedimento operoso" in materia di misure minime di sicurezza, previsto dall'art. 169, comma 2, del Codice.

Tale disposizione prevede infatti che, nel caso in cui venga rilevata una violazione di una o più delle misure minime di sicurezza specificatamente previste dal Disciplinare tecnico sulle misure minime di sicurezza (Allegato B al Codice) il Garante, a seguito di una prescrizione da impartire alla persona individuata come responsabile della predetta violazione, verificato il rispetto della prescrizione stessa, possa ammettere i destinatari della prescrizione al pagamento pari a un quarto del massimo della sanzione prevista. L'adempimento alla prescrizione e il pagamento della somma vengono comunicati all'autorità giudiziaria competente per le valutazioni in ordine all'estinzione del reato.

L'attività in questione ha riguardato quindici persone (in qualità di titolari/responsabili dei trattamenti), per un totale di sanzioni applicate pari a 185.329 euro.

Come evidenziano i dati di seguito riportati, anche per quanto attiene l'attività sanzionatoria, nell'anno 2007, si è registrato un notevole incremento.

Anno

2002

2003

2004

2005

2006

2007

Violazioni contestate

46

27

27

84

158

228

Le sanzioni amministrative contestate, per un totale compreso tra un minimo di 725.000 euro e un massimo di 4.355.000 euro, hanno riguardato:

  • omessa o inidonea informativa (duecentosedici);
  • omessa notificazione (sei);
  • omessa risposta alle richieste del Garante (quattro)
  • codice del consumo (due).

A fronte delle contestazioni notificate sono stati riscossi 814.625 euro a titolo di definizione in via breve.

L'incidenza delle violazioni penali e amministrative riscontrate è stata pari a circa il 51% sul totale delle ispezioni.

È risultata più sanzionata la violazione dell'obbligo di fornire all'interessato tutte le informazioni riguardanti il trattamento dei dati al fine di rendere lo stesso interessato pienamente consapevole dell'effettivo utilizzo dei dati personali che lo riguardano.

Occorre evidenziare che tale violazione assume particolare rilevanza nei casi in cui la legge impone al titolare del trattamento di acquisire anche il consenso dell'interessato per specifiche finalità (ad esempio, per l'utilizzo dei dati per finalità di marketing, o per la comunicazione di dati a terzi). In questi casi, l'omessa o inidonea informativa produce effetti anche sulla validità del consenso eventualmente acquisito che, sulla base di quanto previsto dall'art. 23, comma 3 del Codice, può ritenersi valido solo se sono state fornite all'interessato le informazioni di cui all'art. 13 del Codice.

Nel numero delle contestazioni effettuate per l'omessa o inidonea informativa, si segnala che circa il 35% sono da riferirsi a segnalazioni relative a trattamenti effettuati, attraverso call center, da compagnie telefoniche in relazione all'attivazione di servizi non richiesti; ciò, a riprova dello straordinario sforzo compiuto nel 2007 dall'Autorità per contrastare tale fenomeno.