g-docweb-display Portlet

21. L'attività ispettiva e le sanzioni.Relazione 2006 - Parte II - L'attività svolta dal Garante - 12 luglio 2007 [1426362]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1426362]

Indice generale

Paragrafo precedente

Paragrafo successivo

 

 

Relazione 2006 - Parte II - L´attività svolta dal Garante - 12 luglio 2007

 

21. L’attività ispettiva e le sanzioni

21.1. La programmazione dell´attività ispettiva

È proseguito, anche nell´anno 2006, il potenziamento dell´attività ispettiva già avviato nell´anno 2005. Le linee di sviluppo di tale attività sono state essenzialmente volte a incrementare il numero delle verifiche, nonché a realizzare nuove metodologie di controllo attraverso l´integrazione, nei team ispettivi, di competenze tecniche specialistiche per l´esecuzione di accessi ai sistemi informatici e alle banche dati elettroniche.

Sotto il primo profilo, nell´anno 2006 si è registrato un ulteriore importante incremento delle attività (cresciuto del 65% rispetto al 2005) in linea con la tendenza generale già evidenziata negli anni precedenti.

 Anno

 2002

 2003

 2004

 2005

 2006

 Ispezioni

 40

 69

100 

 230

 350

Nel 2006 sono state effettuate trecentocinquanta attività ispettive, trecento delle quali sulla base dei programmi ispettivi semestrali disposti dall´Autorità, e cinquanta in relazione ad esigenze istruttorie connesse a reclami, segnalazioni e ricorsi presentati dai cittadini.

Come dimostrano i dati sopra riportati, l´attività di prevenzione effettuata attraverso accertamenti così detti di iniziativa –avviati cioè motu proprio dall´Autorità (anche in assenza di specifici atti di impulso da parte dei cittadini quali segnalazioni, reclami o ricorsi)– ha costituito la parte più consistente dell´attività di controllo (oltre l´80%).

In relazione a tale attività, il Collegio determina, con cadenza semestrale, le linee di indirizzo dell´attività ispettiva di iniziativa dell´Ufficio attraverso deliberazioni di programmazione che indicano gli ambiti del controllo e gli obiettivi numerici da conseguire per il semestre. Le linee generali della programmazione dell´attività ispettiva vengono rese pubbliche.

Sulla base degli indirizzi ricevuti dal Collegio, l´Ufficio individua i titolari dei trattamenti da sottoporre a controllo.

Questa impostazione dell´attività di controllo consente, attraverso verifiche svolte nei confronti di più soggetti operanti nello stesso settore o che effettuano tipologie omogenee di trattamento, di acquisire importanti elementi di valutazione in ordine al grado di adeguamento alla legge degli operatori appartenenti ad un determinato settore o che utilizzano i dati personali per particolari finalità; permette inoltre di avere percezione di fenomeni di ampia portata che possono costituire il presupposto per l´adozione di provvedimenti generali (diretti cioè ad un insieme indeterminato di operatori), nonché di verificare l´impatto dei provvedimenti adottati.

Ne deriva una valorizzazione dell´attività di controllo come strumento di governo del sistema, in un´ottica non solo repressiva, ma anche conoscitiva e di indirizzo.

Per quanto riguarda il primo semestre (gennaio-giugno 2006), l´attività ispettiva curata dall´Ufficio del Garante, anche per mezzo della Guardia di finanza, è stata indirizzata ad accertamenti in riferimento a profili di interesse generale per categorie di interessati relativamente a:

  • fornitura di beni e servizi attraverso le varie forme di vendita a distanza previste dalla legge;
  • trattamenti di dati personali tramite siti web;
  • trattamenti di dati personali effettuati da società farmaceutiche, in relazione alla somministrazione di farmaci e prestazioni sanitarie e alla sponsorizzazione di attività di cura o di ricerca, con particolare riguardo all´informativa agli interessati e al consenso eventualmente necessario;
  • gestione di dati personali da parte di banche o finanziarie, relativi alle segnalazioni nei Sic.

Con riferimento, invece, al periodo luglio-dicembre 2006, l´attività ispettiva di iniziativa è stata finalizzata ad accertamenti nell´ambito di:

  • trattamenti di dati di traffico da parte di compagnie telefoniche;
  • trattamenti di dati personali effettuati da strutture sanitarie, in relazione alla somministrazione di farmaci e prestazioni sanitarie e alla sponsorizzazione di attività di cura o di ricerca.

Oltre ai temi di controllo sopra delineati, nei due semestri sono state anche effettuate:

  • verifiche sull´adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili;
  • altre verifiche di iniziativa concernenti, in particolare, l´adempimento dell´obbligo di notificazione nei confronti di soggetti, pubblici e privati, individuati mediante raffronto con il registro generale dei trattamenti;
  • controlli sulla liceità e correttezza dei trattamenti di dati personali, con particolare riferimento al rispetto dell´obbligo di informativa, nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee.

21.2. La collaborazione con la Guardia di finanza

Anche nel 2006 è risultato assai rilevante, nel settore ispettivo, il rapporto con la Guardia di finanza che ha consentito all´Autorità di poter disporre di risorse adeguate per espletare una qualificata attività di controllo.

Il protocollo di intesa siglato nel 2005 consente al Garante di avvalersi del Corpo attraverso:

  • la partecipazione di personale del Corpo agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;
  • l´assistenza nei rapporti con l´autorità giudiziaria;
  • lo sviluppo di attività ispettive delegate o sub-delegate per l´accertamento delle violazioni;
  • la contestazione delle sanzioni amministrative rilevate nell´ambito delle attività delegate;
  • l´esecuzione di indagini conoscitive sullo stato di attuazione della legge in determinati settori;
  • la segnalazione all´Autorità di situazioni rilevanti, ai fini dell´applicazione della legge, acquisite anche nell´esecuzione di altri compiti di istituto.

In pratica il Garante, quando ritenga necessario avvalersi della collaborazione del Corpo, attiva il Nucleo speciale funzione pubblica e privacy (con sede a Roma) che, disponendo di personale specializzato, provvede direttamente ad effettuare gli 21 accertamenti ricorrendo anche, ove necessario, ai reparti del Corpo competenti territorialmente.

Le informazioni e i documenti acquisiti nell´ambito degli accertamenti vengono trasmessi all´Autorità per le successive verifiche in ordine alla liceità del trattamento e al rispetto dei principi previsti per legge. Qualora nell´ambito dell´ispezione emergano violazioni penali o amministrative, la Guardia di finanza procede direttamente alla segnalazione della notizia di reato all´autorità giudiziaria e alla contestazione della violazione amministrativa.

Tra le novità più rilevanti del nuovo protocollo si segnala un maggiore coinvolgimento della componente territoriale della Guardia di finanza (nuclei di polizia tributaria, compagnie e tenenze) nell´attività di controllo.

L´obiettivo è quello di disporre di un dispositivo di controllo flessibile e articolato che consenta, in funzione della complessità degli accertamenti, di effettuarli direttamente a cura del Dipartimento ispettivo dell´Ufficio, ovvero attraverso il Nucleo speciale, oppure, nel caso di accertamenti di non elevata complessità che concernono ad esempio la verifica di singoli adempimenti, delegando anche i reparti territoriali della Guardia di finanza.

Per il raggiungimento di questi risultati, nell´anno 2006 si è proceduto a realizzare un complesso piano di formazione del personale appartenente ai comandi territoriali cui hanno partecipato complessivamente centoventi tra ufficiali e ispettori, con lo scopo di implementare le specifiche competenze in materia di protezione dei dati personali; e a redigere, in collaborazione con il Comando generale del Corpo, una circolare con allegata modulistica operativa, approvata dal Comandante generale il 25 maggio 2006 per assicurare un´impostazione omogenea delle procedure seguite per i controlli in materia di protezione dei dati personali.

I primi risultati di questo complesso di attività sono stati rappresentati dalla realizzazione di due primi mini-cicli ispettivi, ciascuno composto di venti ispezioni, effettuato con riferimento a titolari del trattamento operanti presso i capoluoghi di regione, che hanno portato alla contestazione di tredici violazioni amministrative. Le procedure operative, messe a punto nel 2006, consentiranno già a partire dal 2007 di replicare in settori diversi queste tipologie di intervento, raggiungendo così lo scopo di far percepire sempre più sul territorio la presenza del controllo e aumentando quindi l´area di attenzione rispetto alla tutela dei diritti dei cittadini.

Un altro elemento qualificante del nuovo accordo di collaborazione riguarda il supporto che il Corpo si è impegnato ad offrire al Garante per la diffusione delle informazioni sull´applicazione delle norme in materia di protezione dei dati personali, attraverso una stretta interazione tra gli Uffici relazioni con il pubblico.

Grazie a questo accordo gli Urp della Guardia di finanza potranno infatti costituire, per i cittadini, ulteriori punti di contatto, attraverso i quali ricevere informazioni di prima necessità sul Codice e sui principali adempimenti e reperire materiali esplicativi editi dall´Autorità.

Anche in questo ambito è stato effettuato uno specifico corso dedicato ai responsabili degli Urp dei comandi del Corpo.

21.3. I settori oggetto dei controlli e i casi più rilevanti

Nel 2006 sono state effettuate, suddivise per settore, le seguenti attività ispettive:

  • quarantanove controlli nei confronti di soggetti pubblici e privati che utilizzano sistemi di videosorveglianza, per verificare la liceità del trattamento 21 e il rispetto del provvedimento generale del Garante sullo specifico tema;
  • trenta controlli nei confronti di consulenti finanziari e società di intermediazione mobiliare, per accertare le modalità dei trattamenti dei dati relativi ai clienti con particolare riferimento alle attività di profilazione;
  • ventotto controlli nei confronti di società che utilizzano tessere di fidelizzazione, per accertare il rispetto di quanto stabilito dall´Autorità con il provvedimento adottato, sullo specifico tema, il 24 febbraio 2005 [doc. web n. 1103045 ];
  • ventisei controlli nei confronti di agenzie immobiliari, per verificare la correttezza dei trattamenti dei dati dei clienti ed il rispetto degli adempimenti relativi all´informativa e al consenso;
  • venticinque controlli nei confronti di alberghi con centri benessere, per verificare le modalità di trattamento dei dati, anche sensibili, dei clienti;
  • venti controlli nei confronti di enti previdenziali e istituti sanitari (pubblici e privati), con riferimento all´adozione delle misure minime di sicurezza;
  • venti controlli nei confronti di musei di grosso richiamo, anche internazionale, che utilizzano sistemi di videosorveglianza, per verificare, in particolare, il rispetto dell´obbligo di informativa;
  • venti controlli nei confronti di centri di cura e laboratori di analisi, per verificare le misure adottate per il trattamento dei dati sensibili e l´eventuale obbligo di notificazione al Garante;
  • venti controlli nei confronti di imprese di onoranze funebri, per accertare le modalità di acquisizione dei dati personali e il rispetto degli adempimenti effettuato anche on-line, attraverso siti Internet;
  • diciotto controlli nei confronti di operatori telefonici con riferimento ai trattamenti effettuati all´atto dell´attivazione dei servizi mediante consultazione dei dati contenuti nei sistemi privati di informazioni creditizie, nonché ai trattamenti connessi alla gestione dei dati di traffico sia telefonico, sia telematico;
  • tredici controlli nei confronti di istituti di preparazione privatistica agli esami, per verificare le modalità del trattamento dei dati dei clienti;
  • undici controlli nei confronti di società che hanno notificato la cessazione del trattamento, per verificare l´assolvimento dei relativi adempimenti previsti per legge, in particolare nel caso di eventuale cessione a terzi di banche dati;
  • otto controlli nei confronti di società che hanno effettuato ricerche di personale a mezzo di annunci pubblicati sul giornale, per verificare le modalità di trattamento dei curricula raccolti e l´assolvimento degli adempimenti di legge;
  • cinque associazioni religiose, per verificare la natura dei dati trattati e le modalità del trattamento.

Oltre all´eventuale applicazione di sanzioni in relazione a quanto emerso dagli accertamenti, in circa venticinque casi sono strati proposti provvedimenti inibitori o prescrizioni per conformare il trattamento alla legge a fronte delle quali l´Autorità ha adottato alcuni provvedimenti di particolare rilievo per le garanzie dei cittadini.

In particolare si segnalano:

  • i provvedimenti nei confronti dei gestori telefonici, in relazione alla consultazione di informazioni sulla solvibilità e affidabilità dei clienti (Provv. 4 maggio 2006 [doc. web n. 1302339, n. 1302373, n. 1302385 e n. 1302395 ])
  • i provvedimenti nei confronti di due società che gestiscono sistemi di informazione creditizie, in relazione alle verifiche effettuate per accertare il rispetto delle disposizioni vigenti in materia di protezione dei dati personali e di quelle contenute nel codice di deontologia e di buona condotta per i 21 sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (Provv. 4 maggio 2006 [doc. web n. 1302311 e n. 1302326 ]);
  • il provvedimento con il quale è stato adottato, nei confronti di una catena alberghiera, il divieto di profilare le abitudini dei clienti in modo illecito (Provv. 9 marzo 2006 [doc. web n. 1252220 ]);
  • il provvedimento con il quale il Garante ha vietato ad una casa editrice di proseguire la raccolta di dati personali per finalità di marketing presso strutture sanitarie neonatali (Provv. 7 dicembre 2006 [doc. web n. 1379101 ]);
  • i provvedimenti relativi alle prescrizioni per rendere conforme alla legge il trattamento dei dati personali dei cittadini che utilizzano tessere elettroniche per fruire dei servizi di trasporto pubblico di Roma e Milano (Provv. 6 settembre 2006 [doc. web n. 1339692 e n. 1339531 ]);
  • il provvedimento di divieto del trattamento dei dati personali raccolti per il rilascio alla clientela di "carte di fedeltà" e utilizzati illecitamente anche a fini di marketing a seguito degli accertamenti effettuati presso una società operante nel settore della grande distribuzione (Provv. 24 maggio 2006 [doc. web n. 1298784]).

21.4. L´ attività sanzionatoria

In conseguenza delle ispezioni effettuate, sono state inviate all´autorità giudiziaria undici informative di segnalazione per violazioni penali (di cui due da parte del Dipartimento attività ispettive e sanzioni dell´Autorità e nove da parte della Guardia di finanza) e sono stati avviati centocinquantanove procedimenti sanzionatori amministrativi (di cui cinquantadue ad opera del Dipartimento e centosette dalla Guardia di finanza).

Per quanto riguarda le violazioni penali, esse hanno riguardato: mancato adempimento di una deliberazione del Garante (otto casi), omessa adozione delle misure minime di sicurezza (due casi) e violazione dell´art. 171 del Codice per un controllo a distanza dei lavoratori (un caso).

Otto sono stati i procedimenti connessi al cd. "ravvedimento operoso" in materia di misure minime di sicurezza, previsto dall´art. 168, comma 2, del Codice.

Nell´ambito di tali procedimenti, sono state impartite prescrizioni per adeguare le misure di sicurezza a quanto previsto dalle disposizioni vigenti (in particolare il Disciplinare tecnico-Allegato B. al Codice).

Una volta verificato il corretto adempimento di quanto prescritto, i responsabili delle violazioni sono stati ammessi al pagamento del quarto del massimo dell´ammenda prevista dalla legge.

L´Attività di cui sopra ha riguardato dodici soggetti (in qualità di titolari/responsabili dei trattamenti), per un totale di sanzioni applicate pari a centocinquantamila euro.

Come evidenziano i dati di seguito riportati, anche per quanto attiene l´attività sanzionatoria, nell´anno 2006, si è registrato un notevole incremento.

 Anno

 2002

 2003

 2004

 2005

 2006

 Ispezioni

 46

 27

27

 94

 158


Le violazioni amministrative contestate, per un totale compreso tra un minimo di seicentounmila e un massimo di tremilioniseicentoseimila euro, hanno riguardato:

  • omessa o inidonea informativa (art. 161 del Codice): centotrentatre casi;
  • omessa notificazione (art. 163 del Codice): diciassette casi;
  • omessa informazione al Garante (art. 164 del Codice): otto casi.

L´inadempimento più spesso accertato è quello relativo all´omessa o inidonea informativa. Occorre evidenziare che tale violazione assume particolare rilevanza nei casi in cui la legge impone al titolare del trattamento di acquisire anche il consenso dell´interessato per specifiche finalità (ad es., per l´utilizzo dei dati per finalità di marketing, o per la comunicazione di dati a terzi). In questi casi, l´omessa o inidonea informativa produce effetti anche sulla validità del consenso eventualmente acquisito che, sulla base di quanto previsto dall´art. 23, comma 3 del Codice, può ritenersi valido solo se sono state fornite all´interessato le informazioni di cui all´art. 13 del Codice.

L´incidenza delle violazioni riscontrate, penali e amministrative, è stata pari a circa il 48% del totale delle ispezioni.