Diritti interna

Doveri interna

ricerca avanzata

Relazione sull'attività svolta nel 2017 e discorso del Presidente Antonello Soro

 

 

VIDEO DELL'EVENTO

 

 Intervista ad Antonello Soro - RadioRai GR3

 

 Highlights

 

 

       
   

 

IL TESTO DEL DISCORSO
DEL PRESIDENTE

   

IL TESTO DELLA RELAZIONE

           
   

RELAZIONE SULL’ATTIVITA’ 2017
Sintesi per la stampa

L'Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, presenta oggi la Relazione sull’attività svolta nel 2017 e sullo stato di attuazione della normativa sulla privacy.

La Relazione, oltre a tracciare un bilancio, indica le prospettive di azione verso le quali l’Autorità intende muoversi, anche alla luce del nuovo Regolamento Ue (divenuto  definitivamente applicabile il 25 maggio di quest’anno), con l’obiettivo di assicurare una sempre più efficace protezione dei dati personali e rispondere alle sfide poste dai nuovi modelli economici fondati sullo sfruttamento dei dati e alle accresciute esigenze di tutela dei diritti fondamentali delle persone.

Il 2017 ha peraltro rappresentato per l’Autorità una data importante segnando  i primi vent’anni di attività con l’ introduzione nel nostro ordinamento della normativa sulla privacy.

Gli interventi più rilevanti

Le novità introdotte dal Regolamento Ue in materia di protezione dei dati personali in termini di diritti per le persone e responsabilità per imprese ed enti; la profilazione on line; i social media e lo scandalo Cambridge Analytica; i rischi della Rete e il cyberbullismo; la sicurezza cibernetica; i Big Data; l’uso delle tecnologie digitali nel mondo del lavoro; la trasparenza della Pa on line e le garanzie da assicurare ai cittadini; il fisco e la tutela della riservatezza dei contribuenti; il telemarketing; la lotta al riciclaggio; le intercettazioni e la protezione dei dati contenuti negli atti processuali; la tutela dei minori da parte dei media; l’uso delle app e le garanzie per gli utenti; i motori di ricerca e il diritto all’oblio;  le fake news; i diritti dei consumatori; le grandi banche dati pubbliche; il mondo della scuola; le garanzie per il trasferimento dei dati negli Usa e l’accordo  “Privacy Shield”; la sanità: sono stati questi alcuni dei principali campi di intervento del Garante nel 2017.

E’ proseguito il lavoro svolto per assicurare la protezione dei dati on line, a partire dai grandi motori di ricerca e dai social network. Nel 2017 si sono andati consolidando i criteri per l’esercizio del diritto all’oblio e per una sua tutela al di là dei confini europei. Il Garante ha poi partecipato ad un'indagine internazionale che ha messo in luce la mancanza di trasparenza nell’uso dei dati degli utenti da parte delle app, nei diversi settori presi in esame (vendita al dettaglio, finanza e banche, sanità, istruzione, viaggi, social network, gioco d’azzardo). 

Sul cyberbullismo, alla luce dei nuovi compiti assegnati, il Garante ha predisposto misure e procedure per la rimozione dei contenuti offensivi e ha siglato un protocollo di intesa con la Polizia postale allo scopo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.

Per quanto riguarda i social network, il Garante è in particolare intervenuto a far rimuovere  dal profilo Facebook di una donna due sentenze in cui erano riportati delicati aspetti di vita familiare che riguardavano anche la figlia minorenne, sottolineando al contempo l’impossibilità di provare la persistente natura “chiusa” di un profilo social e la sua accessibilità solo a un ristretto gruppo di "amici”. Ha inoltre richiamato l’attenzione dei genitori al momento di postare foto o dati riguardanti i figli.

Il Garante ha fornito le prime indicazioni sull’uso dei droni a scopo ricreativo e su come difendersi dai software dannosi, in particolare del ransomware, il programma informatico diffuso per bloccare un dispositivo elettronico (pc, tablet, smartphone, smart tv), o criptare i dati in esso contenuti (foto, video, file), e chiedere  un riscatto  per "liberarlo".

Il 2017 ha visto il Garante particolarmente impegnato in una intensa azione di supporto di imprese e pubbliche amministrazioni e in una costante attività di formazione in vista della definitiva applicazione del Regolamento Ue in materia di protezione dei dati. Sempre sul fronte Regolamento, il Garante ha contribuito insieme alle altre Autorità Ue alla elaborazione di importanti Linee guida.

Sul fronte cybersecurity, l’Autorità ha proseguito anche nel 2017 l’attività di vigilanza, procedendo sia d’ufficio che in seguito a specifiche segnalazioni o comunicazioni relative a violazioni di dati personali (data breach). Ha dato prescrizioni per la messa in sicurezza di una piattaforma di partecipazione politica.

In ordine ai trattamenti di dati per fini di sicurezza nazionale è stato rinnovato il protocollo d’intenti con il Dis.

Nel settore della sanità il Garante è intervenuto per semplificare le procedure connesse ai nuovi obblighi sui vaccini e favorire lo scambio tra scuole e Asl. Ha dato il via libera al sistema informativo dei trapianti, è intervenuto a ricordare le garanzie relative ai dati sull’Hiv,  ha espresso parere favorevole sul registro dei tumori della Regione Lazio.

Sulla banca dati Dna, in particolare rispetto all’ultimo dei decreti attuativi che regolamenta l’aggiornamento e la cancellazione dei dati, l’Autorità ha chiesto maggiori garanzie per le persone assolte con sentenza definitiva e regole chiare per l´accesso alle informazioni da parte delle istituzioni nazionali.

Nel mondo del lavoro il Garante ha fissato le regole per l’uso delle nuove tecnologie dopo l’introduzione del Jobs Act, con particolare riguardo alla geolocalizzazione dei lavoratori. Ha vietato i controlli indiscriminati su mail e smartphone.

In materia di trasparenza on line della Pa il Garante ha richiamato il Governo alla necessità di contemperare obblighi di pubblicità degli atti e dignità delle persone e ha fissato alcune regole per l’esercizio del diritto di accesso civico. E’ intervenuto a bloccare la diffusione on line, su siti di amministrazioni pubbliche, di dati sensibili delle persone. Ha espresso preoccupazioni sul nuovo censimento permanente, che prevede integrazione di banche dati e uso massivo dei dati dell’intera popolazione.

Una particolare azione è stata intrapresa per aumentare il livello di sicurezza della Pa digitale e per rafforzare le garanzie per i cittadini nell’attuazione dello Spid. Sul nuovo Codice dell’amministrazione digitale (Cad), il Garante ha sollevato la questione dell’accesso indiscriminato ai dati relativi al "domicilio digitale" dei cittadini e chiesto regole più specifiche per l'accesso ai servizi digitali delle PA e per l´utilizzo dei dati anagrafici.

Per quanto riguarda il sistema della fiscalità,  il Garante ha verificato la messa in sicurezza dello “Spesometro” contenente i dati fiscali di milioni di contribuenti. Ha prescritto misure tecniche riguardo all’accesso alla dichiarazione dei redditi precompilata da parte di interessati, Caf e soggetti autorizzati. Particolare impegno è stato rivolto anche nel 2017 alla messa in sicurezza delle grandi banche dati pubbliche, prima fra tutte quella dell’ Anagrafe tributaria. 

In merito ai sistemi di profilazione dei consumatori, il Garante ha dettato regole il trattamento dei dati effettuati attraverso i totem pubblicitari nelle stazioni ferroviarie.

E’ proseguito l’impegno dell’Autorità sul fronte del telemarketing aggressivo intervenendo contro la prassi del cosiddetto “web scraping”, cioè la pratica di raccogliere in maniera automatica ed indiscriminata dati personali presenti in rete facendo girare appositi software alla ricerca di nomi, cognomi, indirizzi, numeri di telefono, mail per poi contattarli senza consenso. O contro l’utilizzo degli indirizzi mail presenti su un social network per inviare proposte commerciali senza il necessario consenso dell’interessato. Il Garante ha accertato rilevanti illeciti da parte di società di telefonia, ha svolto ispezioni presso diversi call center e ha suggerito al legislatore modifiche normative per rafforzare le garanzie dei cittadini.

Un capitolo importante ha riguardato il rapporto tra  privacy e diritto di cronaca, e le tutela da porre nei confronti delle vittime di violenza sessuale e dei minori, anche relativamente a immagini di questi ultimi pubblicate su testate on line.

Le cifre 

Nel 2017 sono stati adottati 573 provvedimenti collegiali.

L’Autorità ha fornito riscontro a circa 6.000 reclami e segnalazioni con specifico riferimento ai seguenti settori: marketing telefonico (in costante aumento); credito al consumo; videosorveglianza; concessionari di pubblico servizio; recupero crediti; settore bancario e finanziario; assicurazioni; lavoro; giornalismo; enti locali; sanità e servizi di assistenza sociale.

Sono stati decisi 276 ricorsi, riguardanti soprattutto editori (anche televisivi); banche e società finanziari; P.a. e concessionari di pubblici servizi; datori di lavoro pubblici e privati; fornitori telefonici e telematici; marketing.

I pareri resi dal Collegio al Governo e al Parlamento sono stati 19 ed hanno riguardato, in larga parte, l’attività di polizia e sicurezza nazionale, i dati sanitari, l’informatizzazione delle banche dati della P.a., il fisco.

Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 41, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati e trattamento illecito.

Le violazioni amministrative contestate nel 2017 sono state 589, in larghissima parte concernenti il trattamento di dati senza consenso, la diffusione di dati su internet da parte della P.a., il telemarketing, seguite dall’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali, dalla mancata adozione di misure di sicurezza e dall'omessa esibizione di documenti al Garante.

Le sanzioni amministrative riscosse ammontano a circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016.

Sono state effettuate 275 ispezioni. Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy,  hanno riguardato  numerosi e delicati settori, sia nell'ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società operanti nella "sharing economy", da imprese di vendita a domicilio, da società che operano nel settore dell´intermediazione creditizia o nel recupero crediti, da società di selezione del personale o che offrono servizi di informazioni commerciali o svolgono attività di telemarketing (in particolare di quelle situate in Albania). Oggetto di accertamento è stato anche l´uso di sistemi di geolocalizzazione dei dipendenti da parte di imprese private. Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata in particolare sulla gestione del "dossier sanitario" da parte di Asl e Aziende ospedaliere e altri enti sanitari pubblici, sulle grandi banche dati pubbliche, sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit, sul sistema informativo dell´Istat, sullo Spid.

Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a circa 20.000 quesiti, che hanno riguardato, in particolare, gli adempimenti legati all’applicazione del Regolamento Ue; alle telefonate promozionali indesiderate; a Internet; alla videosorveglianza; a mail, fax e sms  indesiderati; al rapporto di lavoro; ai dati bancari.

L’attività internazionale

Non meno rilevante e intensa l’attività del Garante a livello internazionale. 

Importanti, come sempre, i contributi forniti dal Garante all’attività del Gruppo delle Autorità per la privacy europee (Gruppo “Articolo 29”), focalizzatisi soprattutto sull’interpretazione e sull’applicazione condivise delle nuove disposizioni del Regolamento (Ue) sulla protezione dei dati, divenuto pienamente applicativo il 25 maggio scorso.  Il Gruppo “Articolo 29” (che dal 25 maggio è stato sostituito dal Comitato europeo per la protezione dei dati, un organismo con nuovi e più ampi poteri) ha pubblicato, in proposito, numerose  Linee-guida, tra le quali quelle sui responsabili per la protezione dei dati (RPD); sul diritto alla portabilità dei dati, sui data breach; sulla profilazione e le decisioni automatizzate; sulla definizione dell’Autorità capofila nei trattamenti transfrontalieri; sull’applicazione delle sanzioni amministrative pecuniarie; sulla valutazione di impatto in materia di protezione dei dati. Le riunioni svolte a Bruxelles sono state 51.

Per quanto riguarda altri settori di attività, occorre menzionare in primo luogo il parere reso dal Gruppo sul progetto di regolamento Ue relativo alla e-privacy (per le comunicazioni elettroniche) nonché alcuni importanti pareri e documenti interpretativi: sui sistemi di trasporto intelligenti, coordinato dall’Autorità italiana; sul trattamento dei dati personali nel contesto lavorativo; sulla trasposizione della direttiva Ue 680/2016 sulla protezione dei dati nel settore delle attività di polizia e giudiziarie.

Da ricordare anche l’attività del Garante italiano per il Consiglio d’Europa che, attraverso l’apposito Comitato incaricato di seguire le questioni di protezione dati presieduto da una rappresentante del Garante italiano, ha proseguito i lavori tesi alla “modernizzazione” della Convenzione 108 del 1981 sulla protezione dei dati e ha predisposto anche Linee guida in materia di Big Data. Rilevante anche l’attività svolta in seno all’OCSE, in particolare riguardo alla sicurezza e alla tutela della privacy nell’economia digitale. Si è intensificata anche la collaborazione nell’ambito di gruppi internazionali (quali la Global Privacy Enforcement Network, GPEN), che promuovono interventi congiunti e mirati di verifica del rispetto della normativa in materia di protezione dei dati e privacy.

Intenso, infine, il lavoro svolto in rapporto alle attività di controllo sull’applicazione nazionale dei regolamenti Ue concernenti il sistema  Schengen, Europol (Ufficio europeo di polizia) e VIS (Sistema dei visti). 

Roma, 10 luglio 2018