NEWSLETTER N. 425 del 28 febbraio 2017

• Spid, call center, sistema statistico nazionale nel piano ispettivo del Garante
• Garante a Yahoo!: via il link alla pagina web con dati inesatti e superati 
• Bollette dell´acqua: on line i dati dei clienti, stop del Garante 

Spid, call center, sistema statistico nazionale nel piano ispettivo del Garante
Il bilancio 2016 segna un aumento del 38%  dei procedimenti sanzionatori avviati e 3 milioni e 300 mila euro di sanzioni riscosse

Spid, call center, sistema statistico nazionale. Su questi tre delicati settori in particolare si incentrerà l´attività ispettiva del Garante per la protezione dei dati personali nei prossimi mesi. Nelle scorse settimane l´Autorità ha varato il piano ispettivo per il primo semestre 2017 che prevede nuovi ambiti di intervento [doc. web n. 6026593].

L´attività ispettiva verrà svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza sulla base del protocollo di intesa  siglato lo scorso anno che ha rafforzato l´attività di collaborazione tra la Guardia di Finanza e il Garante.

Oltre che sui trattamenti di dati effettuati per il rilascio dell´identità digitale ai cittadini italiani,  sulle società che operano nel settore del telemarketing (con particolare attenzione a quelle situate in Albania) e sul sistema informativo dell´Istat,  le verifiche del Garante si incentreranno anche sui trattamenti di dati effettuati per il rilascio dei visti da parte dei Consolati italiani all´estero.

Le ispezioni riguarderanno, come di prassi, anche le istruttorie avviate su segnalazione,  reclamo o  ricorso dei cittadini, così come  la verifica dell´obbligo di notificazione, il rispetto delle norme sull´informativa e il consenso, l´adozione delle misure di sicurezza a protezione dei dati sensibili trattati da soggetti pubblici e privati.

Intanto il bilancio 2016 segna, rispetto all´anno precedente, un incremento di circa il 38% dei procedimenti sanzionatori avviati  che sono saliti a 2.339, diversi dei quali relativi a violazioni di dati personali subite (data breach). Le sanzioni già riscosse dall´erario sono state pari a 3 milioni e 300 mila euro. 53 sono state le segnalazioni all´autorità giudiziaria, la  maggior parte delle quali relative a casi di mancata adozione delle  misure minime di sicurezza.
Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy,  hanno riguardato  numerosi e delicati settori, sia nell´ambito pubblico che privato. Per  quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società che operano nel settore del car sharing; a quelle che si occupano di web marketing e marketing telefonico; alle società che si occupano di ricerca genetica; alle agenzie di lavoro interinale; alle società di assistenza tecnica e recupero dati per pc e telefonia mobile; ai giochi on line; alle finanziarie. Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata particolarmente  sui Caf e le grandi banche dati pubbliche, sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit.

Il quadro dell´attività  ispettiva del Garante nel 2016 mostra una ancora insufficiente informazione agli utenti sull´uso dei dati personali, sia  da parte delle Pa che delle aziende (200 violazioni riscontrate); una mancata adozione delle misure di sicurezza; tempi eccessivi di conservazione dei dati di traffico telefonico e telematico. Diversi anche i procedimenti sanzionatori per omessa notificazione al Garante con riferimento a trattamenti di particolare delicatezza e le sanzioni  per non aver risposto alle richieste di informazione e documentazione del Garante.

Garante a Yahoo!: via il link alla pagina web con dati inesatti e superati

Yahoo! Emea Limited dovrà rimuovere il link alla pagina web di un sito statunitense in cui sono pubblicate informazioni inesatte e non aggiornate relative ad un cittadino italiano coinvolto in una vicenda giudiziaria accaduta in territorio americano. Lo ha stabilito il Garante privacy accogliendo il ricorso di un uomo che si era visto pubblicare propri dati personali (alcuni persino attinenti alle caratteristiche fisiche) su un sito che riporta gli arresti compiuti ogni giorno negli Stati Uniti [doc. web n. 6026501].

Il ricorrente - già rivoltosi, senza esito, oltre che al motore di ricerca anche a Microsoft e Aol -  lamentava il danno derivante dalla pubblicazione di notizie inesatte e obsolete relative ad un arresto subito nel 2015 per un reato poi derubricato in uno di minore gravità. Circostanza, quest´ultima, non riportata nel sito, in cui risultavano ancora le notizie relative alla prima ipotesi di reato e non venivano fornite informazioni sui successivi sviluppi della vicenda archiviata "con un non luogo a provvedere nell´immediato futuro".

Il Garante, anche alla luce della direttiva 95/46/CE e delle sentenze della Corte di Giustizia europea " Google Spain" del 13 maggio 2014 e "Weltimmo" del 1 ottobre 2015, ha innanzitutto affermato la competenza dell´Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale sulla base del principio di stabilimento. Tale decisione è stata confermata anche da una recente sentenza pronunciata dal Tribunale di Milano nell´ambito di un giudizio di opposizione attivato da Yahoo! contro un precedente provvedimento del Garante in cui si stabilivano principi analoghi.

Il Tribunale, oltre a confermare la giurisdizione dell´Autorità italiana alla luce della direttiva europea 95/46/CE così come interpretata dalla Corte di Giustizia, ha affermato che alla stessa conclusione si può comunque pervenire attraverso la necessità di garantire il principio della effettività della tutela "a fronte di una lesione derivante da un illecito trattamento di dati personali avvenuti on line e i cui effetti dannosi si sono verificati in Italia".

Nell´accogliere il ricorso, l´Autorità ha dunque ritenuto illecita la diffusione di informazioni non aggiornate e inesatte riferite al ricorrente, perché in contrasto con la normativa europea e nazionale, e ha ordinato a Yahoo!  di provvedere alla rapida rimozione, in associazione con il nome e cognome dell´uomo, dell´Url alla pagina web.

L´Autorità, infine, ha dichiarato non luogo a provvedere sul ricorso nei confronti di Microsoft e di Aol che hanno provveduto a rimuovere il link nel corso del procedimento. 

Bollette dell´acqua: on line i dati dei clienti, stop del Garante

Stop del Garante privacy alla diffusione illecita dei dati personali relativi ai pagamenti delle bollette sul proprio sito web da parte di una società erogatrice di servizi idrici [doc. web n. 6026547].

A seguito di una segnalazione, l´Autorità ha accertato che, accedendo all´area del sito riservata ai clienti, risultavano liberamente consultabili una serie di link a file e cartelle contenenti dati personali, del segnalante e di altri soggetti, concernenti operazioni di pagamento effettuate on line. Risultavano facilmente reperibili nominativi, indirizzi e persino numeri di carte di credito - anche se parzialmente oscurati - e data di scadenza delle stesse.

L´Autorità ha ritenuto indebita tale pubblicazione di dati che, per tipologia e numerosità, esponeva gli interessati al rischio di pregiudizi rilevanti, tra cui quello di furto d´identità.Di conseguenza ha disposto il blocco della diffusione dei dati. Come ordinato dal Garante, la società ha comunicato di aver dato riscontro quanto richiesto e di aver intrapreso le iniziative per conformarsi alle disposizioni del Codice privacy.

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it