g-docweb-display Portlet

Newsletter del 14 febbraio 2013

Stampa Stampa Stampa

 
 


L´attività ispettiva del Garante privacy
395 ispezioni, circa 3milioni e 800mila euro di sanzioni. Varato anche il piano ispettivo per il primo semestre 2013

 

395 ispezioni, circa 3 milioni e 800 mila euro le somme riscosse a seguito di sanzioni. Un bilancio significativo quello riguardante l´attività ispettiva svolta dal Garante privacy nel 2012.

Gli accertamenti, effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza - Nucleo speciale privacy, hanno riguardato il telemarketing, l´uso dei sistemi di localizzazione (gps)  nell´ambito del rapporto di lavoro, i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment),  il credito al consumo e le "centrali rischi", le banche dati del fisco, l´attività di profilazione dei clienti da parte delle aziende.

Per quanto riguarda le sanzioni amministrative, sono stati avviati 578 procedimenti (con un incremento del 61% rispetto al 2011) che hanno riguardato, in larga parte, la omessa informativa, il trattamento illecito dei dati, il mancato rispetto delle norme in materia di telemarketing, la conservazione eccessiva dei dati di traffico telefonico e telematico, la mancata adozione di misure di sicurezza, l´omessa o mancata notificazione al Garante, l´inosservanza dei provvedimenti dell´Autorità. L´incremento è dovuto, in particolare, all´attività di contrasto delle violazioni nel settore del telemarketing.
56 sono state le segnalazioni all´autorità giudiziaria (con un incremento del 51% rispetto al 2011), in particolare per violazioni connesse al controllo a distanza dei lavoratori, all´accesso abusivo a banche dati, alle misure di sicurezza, alla falsità nelle dichiarazioni al Garante. Per quanto riguarda le misure di sicurezza sono state impartite 18 prescrizioni nei confronti di diversi soggetti, pubblici e privati.

Le somme riscosse dall´erario a seguito di sanzioni sono state 3.769.217 di euro, con un aumento rispetto all´anno precedente del 22%.

Il piano ispettivo del primo semestre 2013
Il piano ispettivo varato per il primo semestre 2013 punta su settori di particolare rilevanza: le banche dati pubbliche in particolare di enti previdenziali e dell´amministrazione finanziaria, l´attività di telemarketing da parte dei call center operanti all´estero, il trattamento dei dati per il fascicolo sanitario elettronico, i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment), le "centrali rischi".

200 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa quali: le informative da fornire ai cittadini sull´uso dei loro dati personali, la corretta acquisizione del consenso da richiedere nei casi previsti dalla legge, l´adozione delle misure di sicurezza, il rispetto dell´obbligo di notificazione al Garante.

 

 



Patente a punti più trasparente

 

L´automobilista deve poter conoscere nel dettaglio tutte le variazioni relative ai punti della sua patente. Negli estratti cronologici inviati agli automobilisti il Ministero delle infrastrutture e dei trasporti  dovrà indicare tutte le attribuzioni o decurtazioni di punteggio, anche quelle effettuate in modo automatico,  compresa  l´attribuzione di  quei punti che in un secondo momento vengono tolti perché assegnati illegittimamente. Il Ministero inoltre, dovrà garantire all´automobilista che lo richiede la conoscibilità, nel dettaglio e cronologicamente, di tutte la variazioni riferite agli eventi passati.

Lo ha stabilito il Garante privacy definendo il reclamo [doc. web n. 2256617] di  un automobilista, in cui si lamentava che nell´anagrafe nazionale degli abilitati alla guida non vengono registrate tutte le annotazioni relative alla variazione del punteggio della patente di ciascun conducente, ma solo il risultato complessivo.

Dagli accertamenti svolti è emerso che, in effetti, sia le comunicazioni trasmesse dal Ministero al reclamate sia le informazioni consultabili on line non riportano tutte le operazioni effettuate nel tempo. Così facendo il Ministero ha operato in modo non conforme al Codice della privacy laddove prevede che i dati personali siano trattati secondo correttezza, esatti, se necessario aggiornati e che anche la gestione di banche dati pubbliche da parte della Pa avvenga nel rispetto degli stessi principi. 

Il Ministero, al quale sono stati concessi sei mesi di tempo per mettersi in regola dovrà assicurare, infine, informazioni complete e dettagliate anche nella consultazione on line attraverso il cosiddetto "portale dell´automobilista".

 



Controlli sui pc aziendali sì, ma nel rispetto di precise regole

 

Una società non può controllare il contenuto del pc di un dipendente senza averlo prima informato di questa possibilità e senza il pieno rispetto della libertà e della dignità del lavoratore. Questa la decisione del Garante sul ricorso [doc. web n. 2149222] presentato da un dipendente che era stato licenziato senza preavviso dalla propria azienda. L´uomo si era rivolto sia alla magistratura ordinaria, per contestare la stessa fondatezza dell´accusa e il relativo licenziamento, sia al Garante per opporsi alle modalità con cui la società avrebbe acquisito e trattato i suoi dati.

Dai riscontri dell´Autorità è emerso che una serie di documenti, sulla base dei quali il datore di lavoro aveva fondato la sua decisione, erano contenuti in una cartella personale del pc portatile assegnato al lavoratore. La società vi aveva avuto accesso quando il dipendente aveva riportato il computer in sede per la periodica operazione di salvataggio dei dati (back up) aziendali. Contrariamente a quando affermato dall´impresa, non risulta però che l´uomo fosse stato informato sui limiti di utilizzo del bene aziendale, né sulla possibilità che potessero essere avviate così penetranti operazioni di analisi e verifica sulle informazioni contenute nel pc stesso.

Il Garante ha ribadito che il datore di lavoro può effettuare controlli mirati al fine di verificare l´effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro.

Tale attività, però, può essere svolta solo nel rispetto della libertà e della dignità dei lavoratori e della normativa sulla protezione dei dati personali che prevede, tra l´altro che alla persona interessata debba essere sempre fornita un´idonea informativa sul possibile trattamento dei suoi dati connesso all´attività di verifica e controllo. Il Garante ha quindi vietato alla società ogni ulteriore utilizzo dei dati personali così acquisiti. Sarà invece l´autorità giudiziaria a valutare l´utilizzabilità nel procedimento civile già in corso della documentazione acquisita agli atti.



A piccoli passi verso la nuova normativa Ue sulla privacy

 

A oltre un anno dalla presentazione delle proposte della Commissione europea di un nuovo quadro giuridico europeo in materia di protezione dei dati, la situazione complessiva risulta ancora poco definita. Il "pacchetto", presentato il 25 gennaio 2012,  comprende un Regolamento che andrà a sostituire la direttiva 95/46/CE, e  una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE). Il "pacchetto protezione dati" dovrà essere adottato attraverso la procedura di co-legislazione, che vede il contributo paritario del Parlamento europeo e del Consiglio dell´Unione europea. Entrambe le istituzioni stanno per terminare quella che viene definita "prima lettura" dei due testi e sono sul punto di  presentare le rispettive proposte emendative.

I due relatori per il Parlamento europeo (Jan Philipp Albrecht per la proposta di Regolamento, Dimitrios Droutsas per la proposta di Direttiva) hanno segnalato la necessità di introdurre numerosi aggiustamenti. Per quanto riguarda il  Regolamento, si riaffermano le direttrici fondamentali,  a partire dal principio dell´applicazione del diritto Ue anche alle imprese che operano fuori dell´Unione Europea se i trattamenti di dati personali riguardano i cittadini europei. Ma si rilevano anche carenze e si avanzano ipotesi di modifica. Albrecht propone, ad esempio,  di limitare il potere che la Commissione si è riservato di adottare atti delegati o di esecuzione per precisare alcune disposizioni della proposta, e di rafforzare invece alcuni principi innovativi, quali il diritto alla portabilità dei dati (indispensabile per mantenere il controllo delle proprie informazioni nel cloud, ad esempio) o il diritto all´oblio (inteso in particolare come diritto alla cancellazione, fatta salva la libertà di espressione anche su Internet).Viene inoltre richiesto di non intaccare l´indipendenza delle Autorità di protezione dati pur  salvaguardando il principio dello "sportello unico" (one-stop-shop), cioè la possibilità per i cittadini europei di rivolgersi ad una sola di esse in caso di violazioni da parte di imprese multinazionali.

Più marcate le critiche mosse al progetto di Direttiva: il relatore Droutsas ritiene, in particolare, che la proposta di direttiva non soddisfi, sotto molti punti di vista, i requisiti di un livello elevato di protezione dei dati, descritto dalla Commissione come "essenziale", e che non sia giuridicamente in linea con le disposizioni della proposta di Regolamento.

Il Consiglio Ue, da parte sua, ha affidato ad un Comitato denominato Dapix (Protezione dati e scambio di informazioni) il compito di condurre la prima lettura del documento. L´esame da parte del Comitato ha avuto inizio durante la presidenza danese, nel primo semestre 2012, è proseguito sotto la presidenza cipriota  e continua  durante l´attuale presidenza irlandese dell´Ue.  Un primo bilancio tracciato dalla presidenza cipriota a fine 2012 ha individuato una serie di questioni: la necessità di individuare disposizioni che tengano maggiormente conto delle specificità dei soggetti pubblici; la valutazione più attenta degli oneri amministrativi derivanti dalle proposte; l´introduzione di un approccio basato sul rischio del trattamento quale criterio generale per modulare gli obblighi di titolari e responsabili. Queste ed altre problematiche dovranno essere affrontate e risolte nei prossimi mesi.

Oltre al lavoro che sta svolgendo il Parlamento europeo  e  il Consiglio Ue, nel dibattito non manca naturalmente il contributo delle Autorità di protezione dati, che sono fra i principali interlocutori in questa vicenda. Il Gruppo dei Garanti europei (Wp art. 29) ha pubblicato ben tre documenti contenenti input e  suggerimenti per la Commissione europea e per tutti gli altri attori istituzionali, nonché numerose critiche ai due testi nel pacchetto, e lo stesso ha fatto il Garante europeo della protezione dati che ha pubblicato un ponderoso parere sul pacchetto di riforma. Le Autorità garanti sono particolarmente preoccupate da una serie di aspetti: in particolare, oltre ai poteri eccessivi della Commissione europea, dalla scarsa chiarezza di alcune disposizioni contenute nelle due proposte, che non fissano principi univoci e talora rischiano di introdurre garanzie meno forti di quelle oggi in vigore, e dalla rigidità del sistema sanzionatorio previsto nella proposta di Regolamento, che obbliga all´imposizione di sanzioni pecuniarie, lasciando pochi margini di flessibilità per sanzioni egualmente dissuasive ed efficaci ma non di natura pecuniaria ( ad esempio, misure interdittive o di blocco del trattamento). I prossimi mesi saranno decisivi per  capire se l´ambizioso progetto della Commissione europea vedrà la luce sostanzialmente immutato nelle linee generali e, soprattutto, se sarà raccolta la sfida di una protezione dati che sia all´altezza degli sviluppi tecnologici e del nuovo quadro di diritti fondamentali introdotto nell´Ue con il Trattato di Lisbona.


L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it