Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter 12/10/2017 - Sanità, Spid, telemarketing, sotto la lente del Garante - Shopping on line: acquisti in rete liberi da spam

 


Sanità, Spid, telemarketing, sotto la lente del Garante
Al via il piano ispettivo del secondo semestre 2017

 


Trasferimento di dati sanitari a società multinazionali, Spid, telemarketing aggressivo, società di recruitment. Saranno questi i settori sui cui il Garante per la protezione dei dati personali punterà un faro nei prossimi mesi. Nelle scorse settimane l'Autorità ha varato il piano di accertamenti ispettivi per il secondo semestre 2017 [doc. web n 6955256].

Le ispezioni verranno svolte anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza sulla base del protocollo di intesa siglato lo scorso anno che ha rafforzato l'attività di collaborazione tra la Guardia di Finanza e il Garante.

Oltre che sui dati trattati dalle Asl richiesti da aziende e società multinazionali operanti nel settore farmaceutico e sanitario, i controlli verteranno in particolare sui trattamenti di dati per il rilascio dell'identità digitale ai cittadini italiani (proseguendo l'attività già avviata nel primo semestre),  sul settore dei call center (in particolare quelli situati in Albania) e sul sistema informativo dell'Istat, sul rilascio dei visti da parte dei Consolati italiani all'estero. Nel settore privato gli accertamenti  saranno rivolti alle società che organizzano concorsi a premi e alle società di ricerca e selezione del personale.

L'attività ispettiva del Garante riguarderà anche, come di prassi, le istruttorie avviate su segnalazione,  reclamo o  ricorso dei cittadini, così come  la verifica dell'obbligo di notificazione, il rispetto delle norme sull'informativa e il consenso, l'adozione delle misure di sicurezza a protezione dei dati sensibili trattati da soggetti pubblici e privati.

Il bilancio dell'attività di accertamento svolta nel primo semestre 2017 indica sanzioni riscosse dall'erario per somme pari a oltre 1 milione e 700 mila euro, 300 sanzioni contestate e 20 segnalazioni all'Autorità giudiziaria per violazioni penali (la  maggior parte delle quali relative a inosservanza dei provvedimenti del Garante, mancata adozione delle  misure minime di
sicurezza, violazioni connesse al controllo a distanza dei lavoratori).

Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy,  si sono incentrati, per il settore privato, principalmente sui trattamenti di dati effettuati da società che operano nel settore dell'intermediazione creditizia o finanziaria, da società di recupero crediti, da aziende che offrono servizi di vendita a domicilio o servizi di informazione commerciale, da imprese che operano nel settore della sharing economy, da centri odontoiatrici, da società che si occupano di marketing telefonico.

Nel settore pubblico l'attività di verifica si è concentrata particolarmente  sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit.

 

Shopping on line: acquisti in rete liberi dallo spam
Il Garante vieta a una società di utilizzare una banca dati per l'invio di pubblicità indesiderata

 

Gli utenti devono poter navigare liberamente su siti di e-commerce senza essere obbligati a rilasciare il consenso per usare i loro dati personali per finalità di marketing.

Questa la decisione del Garante della privacy [doc. web n. 6955363] presa in seguito alla segnalazione di alcuni utenti che si lamentavano per la ricezione di pubblicità indesiderata da parte di una società di shopping on line e per il mancato rispetto del diritto di opposizione al trattamento dei loro dati. Dai riscontri raccolti dall'Autorità, anche grazie all'attività ispettiva effettuata in collaborazione con il Nucleo Speciale Privacy della Guardia di finanza, è emerso che gli utenti che desideravano accedere alle sezioni del sito web gestito dalla società di e-commerce, ed eventualmente acquistare i prodotti in vetrina, erano prima obbligati a registrarsi e ad accettare (barrando un'apposita casella) i termini e le condizioni e la privacy policy del sito. Con l'adesione alla policy, con un unico click, l'utente acconsentiva che i propri dati venissero utilizzati non solo per le finalità connesse ai servizi offerti on line, ma anche per finalità di promozione commerciale, sia della società stessa sia dei suoi partner commerciali.

Una mole ingente di indirizzi e-mail e  altri dati raccolti in questo modo venivano dunque registrati in una banca dati per l'invio di pubblicità non richiesta.

Nel provvedimento, il Garante ha ricordato che il consenso per il trattamento dei dati personali, per essere valido, non deve essere condizionato, ma libero e specifico, oltre che acquisito prima dell'invio di comunicazioni promozionali. Non si può quindi obbligare una persona a ricevere pubblicità solo per avere accesso alla "vetrina online" di un sito.

I dati richiesti dalla società in fase di registrazione, tra l'altro, spesso non erano necessari per la navigazione nel sito e neppure per l'acquisto dei prodotti reclamizzati, in violazione dei principi di minimizzazione e di necessità previsti dal Codice della privacy.

Il Garante ha quindi vietato alla società di utilizzare per attività di marketing i dati personali raccolti.

Il Nucleo Speciale Privacy ha già attivato un autonomo procedimento sanzionatorio relativo alla violazione accertata.

 

 

 



Atti notarili e visure, no all'accesso con il Foia
Normativa di settore esclude applicabilità della legge sulla trasparenza

 

Confermata dal Garante privacy la decisione del Consiglio notarile dei distretti riuniti di Palermo e Termini Imerese di non accogliere una richiesta di accesso civico alla copia di atti notarili, visure catastali e visure ipotecarie riguardanti trasferimenti immobiliari per usucapione non giudiziale. Nel parere espresso  nell'ambito del procedimento di riesame previsto dalla normativa sulla trasparenza, l'Autorità ha ritenuto che il Consiglio Notarile - che aveva comunque consentito l'accesso ad altri documenti con opportuni oscuramenti dei dati - abbia correttamente respinto l'istanza nella parte relativa agli atti notarili e alle visure.

Nel provvedimento [doc. web n. 6919162] il Garante ha precisato in particolare due aspetti. 

La richiesta di accesso civico agli atti notarili e alle visure, presentata agli uffici addetti alla conservazione o al rilascio delle copie  (archivio notarile, catasto, Agenzia delle entrate) ricade in una delle ipotesi di esclusione previste dal d. lgs. n. 33/2013, perché il  regime di conoscibilità di questi documenti  è disciplinato da specifiche norme di settore, che ne regolano le forme e le modalità di acquisizione, non derogabili dalle disposizioni in materia di accesso.

Per quanto riguarda poi la notifica dell'istanza di accesso ai soggetti controinteressati, ossia alle persone citate negli atti, il Garante ha precisato che, a differenza di quanto sostenuto dal Consiglio, questa  comunicazione non è finalizzata all'acquisizione del consenso al trattamento dei dati. La notificazione  ha solo la funzione di consentire un eventuale intervento nel procedimento, attraverso una opposizione motivata, qualora si ritenga che dall'accoglimento dell'accesso possa derivare un pregiudizio concreto.  Pregiudizio che potrebbe colpire l'interessato o  altre persone alle quali è legato da un vincolo affettivo a causa della conoscibilità da parte di chiunque dei dati o del documento richiesto (ad es. la situazione economico patrimoniale ravvisabile dagli atti notarili). Infatti, i dati e i documenti ricevuti a seguito di  un'istanza di accesso civico sono per definizione pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente e di usarli, pur sempre nel rispetto dei limiti della normativa sulla privacy.

 


Autorità privacy Ue: varate altre Linee guida sul nuovo Regolamento
Via libera a parere del Garante italiano su un  sistema di trasporto intelligente cooperativo in Ue

 

Le Autorità di protezione dati europee hanno adottato nella riunione plenaria della settimana scorsa, alcuni importanti provvedimenti, utili ad interpretare in modo corretto e uniforme in tutti i Paesi dell'Unione europea il Regolamento 2016/679,  in vista della piena applicazione che avverrà il 25 maggio 2018.

I Garanti hanno dato il via libera definitivo alle Linee guida sul Data Protection Impact Assessment (DPIA), la valutazione d'impatto sulla protezione dei dati che spetta al titolare quando la tipologia dei trattamenti presenti rischi elevati per i diritti e le libertà delle persone.

Adottate anche altre  Linee guida: sull'applicazione delle sanzioni amministrative, sull'obbligo di comunicazione dei data breach e sulla profilazione.

Le ultime due saranno sottoposte a consultazione pubblica prima del varo definitivo.

Le Autorità hanno approvato anche un parere, di cui è relatore il Garante italiano, su un progetto di trasporto intelligente cooperativo (denominato C-ITS), in base al quale le auto si scambieranno informazioni utili alla circolazione.

Nella plenaria di ottobre sono stati inoltre discussi rilevanti aspetti riguardanti l'attuazione del Regolamento generale sulla protezione dei dati e del Privacy Shield.

 

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it