agosto | 2018 | Consulenza Privacy

Deliberazione del 26 luglio 2018 – Attività ispettiva di iniziativa curata dall´Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2018

Registro dei provvedimenti
n. 437 del 26 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati (di seguito “Regolamento”);

VISTI gli articoli 157 e 158 del d.lg. 30 giugno 2003, n. 196, (di seguito “Codice”) e l’art. 58 del Regolamento concernente, in particolare, i poteri di indagine;

VISTI gli artt. 2, comma 1, lettere a) e c), 6, 7 e 8 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante (doc. web n. 1098801);

VISTI il regolamenti del Garante n. 1/2007 – concernente le procedure interne all’Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante (doc. web n. 1477480) e n. 2/2007 del 14 dicembre 2007- concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante (doc. web n. 1477624);

VISTO il protocollo di intesa con la Guardia di finanza del 10 marzo 2016;

VISTA la deliberazione del Garante n. 49 del 1° febbraio 2018;

RITENUTA l’opportunità, anche al fine di stabilire le priorità in relazione alle risorse disponibili, di individuare princìpi e criteri che devono informare, con cadenza periodica, l’attività ispettiva di iniziativa, intendendo per tale l’accertamento in loco curato dal personale dell’Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni;

RITENUTA l’opportunità di orientare, secondo criteri di gradualità, l’attività ispettiva da realizzare nel periodo luglio-dicembre 2018 sui trattamenti maggiormente rilevanti per dimensioni e concentrazione di dati, nonché per la loro rischiosità;

RITENUTA, altresì, l’opportunità di dare pubblicità alle scelte operate;

VISTA la documentazione in atti e, in particolare, la relazione del dirigente del Dipartimento attività ispettive del 13 luglio 2018 n. 8572/Dais;

TENUTO CONTO dei procedimenti ispettivi e sanzionatori in corso al momento dell’adozione della presente deliberazione nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

DELIBERA

1. limitatamente al periodo luglio-dicembre 2018, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:

a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

trattamenti di dati effettuati da società/enti che gestiscono banche dati di rilevanti dimensioni;

trattamenti di dati personali effettuati presso istituti di credito relativamente alla legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto, anche in riferimento al tracciamento degli accessi e a correlate misure di protezione;

trattamenti di dati personali effettuati da società per attività di telemarketing;

b) a controlli nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo di informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati;

2. l’attività ispettiva programmata con deliberazione in data odierna riguarderà, relativamente ai punti a), e b) di cui al punto 1), n. 30 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza.

Resta fermo che l’Ufficio potrà avviare ulteriori attività istruttorie di carattere ispettivo d’ufficio ovvero in relazione a segnalazioni o reclami proposti.

L’Ufficio informerà il Collegio sull’individuazione dei soggetti di cui ai punti a), b) e c) e riferirà, alla fine del semestre sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).

Roma, 26 luglio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

La privacy va tutelata fin dalla fase di progettazione di un prodotto o di un servizio. L’Autorità, in applicazione del Regolamento Ue, ha ingiunto per la prima volta a un fornitore di servizi di geolocalizzazione, di incorporare il “diritto alla privacy” direttamente nelle funzionalità del prodotto, attenendosi al principio di minimizzazione dei dati e a quello di privacy by design e privacy by default. Il cliente potrà cosi usufruire di un sistema pienamente adattabile alle proprie esigenze organizzative e di sicurezza [doc. web n. 9023246].

Il servizio “standard” dovrà essere rimodulato con particolare riguardo agli intervalli temporali di rilevazione della posizione geografica dei veicoli (allo stato fissati, rispettivamente, tra i 30 e i 120 secondi) ed ai tempi di conservazione dei dati (ora stabiliti in 365 giorni) nonché alla memorizzazione e messa a disposizione delle mappe di tutti i percorsi effettuati. La società dovrà, inoltre, informare chiaramente i propri clienti circa la possibilità di adattare le caratteristiche del servizio alle concrete finalità perseguite. La funzione che consente la disattivazione del GPS dovrà essere resa disponibile per tutti i tipi di abbonamento al servizio senza eccessivi costi aggiuntivi. L’intervento del Garante ha preso l’avvio dalla segnalazione di un dipendente di una società che utilizza il servizio di localizzazione sulla propria flotta aziendale e si è reso necessario a causa della diffusione sul mercato del servizio le cui caratteristiche non sono risultate conformi alla normativa in materia di protezione dei dati e a quella sui controlli a distanza dei lavoratori.

Dagli accertamenti, svolti dall’Autorità anche con la collaborazione ispettiva della Guardia di Finanza, è emerso, infatti, che il sistema, delle cui caratteristiche peraltro i dipendenti non erano stati informati, consentiva il monitoraggio continuo dell’attività del dipendente, in violazione dei principi di necessità e proporzionalità. Per di più, visto che le autovetture potevano essere utilizzate anche al di fuori dell’orario di lavoro e pure da congiunti dei dipendenti, tale sproporzionata attività di raccolta e conservazione dei dati tratti dalla geolocalizzazione del veicolo consentiva di fornire informazioni sul lavoratore non rilevanti rispetto allo svolgimento dell’attività lavorativa (in violazione di legge, in particolare dell’art. 8 dello Statuto dei lavoratori) nonché su terzi estranei.

Il Garante, quindi, ha vietato l’ulteriore trattamento dei dati alla società che ha installato il sistema ed ha altresì prescritto al fornitore di adeguare il sistema alla disciplina europea sulla protezione dei dati.