Archivio dell'autore: sicurezzapratica

Un manuale disponibile gratuitamente per i DPO dei soggetti pubblici

Sul sito del Garante per la protezione dei dati personali è stato pubblicato un manuale in lingua inglese per supportare i Responsabili della Protezione dei dati (RPD) dei soggetti pubblici nell’applicazione del Regolamento Ue 2016/679.

Il manuale delinea e illustra con esempi pratici il ruolo e gli specifici compiti del RPD operante in un soggetto pubblico, e contemporaneamente affronta e approfondisce temi generali come l’evoluzione normativa in tema di protezione dei dati e privacy, in ambito Ue e non solo; l’applicazione del principio di accountability; i diritti degli interessati; il trasferimento dei dati all’estero; i meccanismi di compliance previsti dal Regolamento.

Il testo, scaricabile gratuitamente su www.garanteprivacy.it/regolamentoue/formazione/t4data, è stato elaborato nell’ambito del progetto T4Data, ed è frutto di una collaborazione transnazionale che ha coinvolto esperti giuristi e funzionari delle autorità di controllo di diversi Paesi, tra cui il Garante italiano.

Con like su Facebook il gestore di un sito Internet diventa responsabile della raccolta e trasmissione dei dati

La  Corte Ue ha stabilito che il gestore di un sito internet in cui è possibile cliccare sull’icona «like» può essere ritenuto responsabile della raccolta e della trasmissione dei dati personali dei visitatori insieme con Facebook.

Leggi su www.alertprivacy.it

Gdpr: le prescrizioni del Garante per poter trattare categorie particolari di dati

Terminata la procedura di revisione alla luce del nuovo Regolamento europeo delle nove autorizzazioni generali rilasciate dal Garante privacy nel 2016 quando era in vigore la precedente normativa.  A conclusione della consultazione pubblica avviata lo scorso dicembre, l’Autorità ha adottato un provvedimento, in corso di pubblicazione sulla G.U., che contiene gli obblighi che dovranno essere rispettati da un numero elevato di soggetti, pubblici e privati, in diversi settori per poter trattare particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all’etnia, all’orientamento sessuale. Le prescrizioni riguardano infatti il trattamento di queste categorie particolari di dati nei rapporti di lavoro; il trattamento degli stessi dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose, cosi come da parte degli investigatori privati; nonché il trattamento dei dati genetici e il trattamento effettuato per scopi di ricerca scientifica.

Il provvedimento, adottato in base al decreto legislativo n.101 del 2018 che ha adeguato la normativa nazionale al Regolamento Ue, tiene conto dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione.

Nello stesso provvedimento l’Autorità ha precisato che l’autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici cessa di produrre i propri effetti non rientrando tra le situazioni di trattamento richiamate dell’art. 21 del dlgs. n.101/2018.

Viene chiarito, inoltre, che le autorizzazioni generali n. 2, 4 e 5 – riguardanti rispettivamente il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari – cessano anche esse di produrre i propri effetti in quanto prive di specifiche prescrizioni.

 

 

Diritto all’oblio anche per i dati che rendono identificabile una persona

Il diritto all’oblio può essere invocato – in casi particolari – anche partendo da dati presenti sul web che non siano il nome e il cognome dell’interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta.

E’ il principio che ha fissato il Garante decidendo sul reclamo di un professionista che aveva richiesto invano a Google la deindicizzazione di una Url che risultava reperibile on line digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa.

La Url faceva riferimento ad una notizia non più attuale e non aggiornata, relativa ad un rinvio a giudizio avvenuto dieci anni prima, riguardo al quale era poi però intervenuta una sentenza definitiva di assoluzione. La permanenza in rete della notizia rappresentava, ad avviso dell’interessato, un gravissimo e irreparabile pregiudizio alla propria reputazione.

Alla richiesta dell’interessato di rimuovere l’Url contestata, Google aveva opposto rifiuto sostenendo che fosse inammissibile una richiesta di deindicizzazione per chiavi di ricerca che non includono il nome e il cognome di una persona fisica, sulla base di quelli che riteneva essere i principi fissati dalla Corte di Giustizia dell’Ue nella Sentenza “Google Spain”. L’interessato si era dunque rivolto al Garante, non senza aver prima tentato, anche qui invano, di far rimuovere la Url dal sito sul quale era stato pubblicato l’articolo.

Diversamente da Google, l’Autorità – in tale specifica circostanza – ha ritenuto fondata la richiesta del professionista. Il Garante – sulla base del Regolamento europeo che definisce dato personale “qualsiasi informazione riguardante una persona fisica indentificata o identificabile” ha concluso che l’Url che riportava la qualifica di Presidente di quella determinata cooperativa, si riferiva in maniera inequivocabile alla persona del reclamante – visto che quest’ultimo rivestiva quella carica da moltissimi anni, tanto da essere ormai, specie nell’ambito della realtà di riferimento, univocamente messo in correlazione con essa. Per altro verso, l’articolo contestato risultava risalente nel tempo e riguardava un procedimento penale che era stato poi definito con una sentenza di assoluzione. E, di conseguenza, ha sottolineato il Garante, il pregiudizio subito dall’interessato dalla reperibilità sul web della Url in questione non poteva ritenersi bilanciato da un interesse della collettività a conoscere informazioni che risultavano inesatte e non aggiornate alla luce degli sviluppi procedimentali avuti poi dalla vicenda.

Il Garante Privacy ha dunque ingiunto a Google di rimuovere l’Url e di comunicare entro trenta giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.

Garante privacy: no spam ai possessori di carte fedeltà

Non è lecito l’invio di comunicazioni commerciali ai possessori di tessere fedeltà che non abbiano espresso uno specifico e libero consenso all’uso dei propri dati a fini di marketing. E’ quanto ribadito dal Garante Privacy in un provvedimento con cui ha imposto a un’importante catena di negozi una serie di misure per garantire il rispetto delle misure poste a tutela della privacy dei consumatori.

Il provvedimento è stato adottato in seguito alle violazioni segnalate da alcuni clienti e confermate da un’ispezione svolta dall’Autorità con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, prima dell’applicazione del nuovo Regolamento UE sulla protezione dei dati personali (Gdpr), al termine della quale la stessa Guardia di Finanzia aveva provveduto a contestare direttamente in loco una sanzione amministrativa.

I clienti si erano lamentati per la continua e indesiderata ricezione in posta elettronica di offerte commerciali da parte dell’azienda di cui possedevano una carta fedeltà. Gli interessati avevano, peraltro, chiesto più volte alla società, sia telefonicamente, sia tramite procedure automatizzate, di cancellare il proprio indirizzo dalla mailing list pubblicitaria, ma senza ottenere alcun risultato.

Nel corso dell’istruttoria avviata dal Garante, l’impresa si è giustificata affermando di non essere stata in grado di bloccare l’invio di e-mail pubblicitarie per problemi connessi alle sue banche dati – contenenti dati di oltre dieci milioni di clienti – che, in quel periodo, erano in fase di migrazione verso un’unica piattaforma.

Dall’ispezione sono emersi ulteriori problemi relativi alla gestione dei dati personali dei clienti. E’ stato in particolare accertato che il consenso al trattamento dei dati per l’invio di comunicazioni commerciali – acquisito attraverso i vecchi moduli di adesione al programma fedeltà – non poteva essere ritenuto valido, poiché i clienti erano costretti a rilasciarlo per poter ottenere iservizi proposti con la carta fedeltà. Inoltre, il sistema informativo della società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di spam.

Nel suo provvedimento, il Garante ha quindi prescritto misure per mettersi in regola con le nuove disposizioni in materia di protezione dei dati personali e, esercitando per la prima volta i nuovi poteri correttivi offerti dal Gdpr, ha “ammonito” la società a non utilizzare più, per finalità di marketing, i dati personali degli interessati, raccolti mediante i moduli relativi alla fidelity card contestata. Ha inoltre vietato l’utilizzo, per gli stessi fini, dei dati di qualunque interessato, in assenza di un comprovato consenso, libero e specifico. Alla società è stato ingiunto, infine, di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, assicurando anche il tracciamento puntuale delle richieste ricevute dalla clientela, e così poter comprovare il rispetto (accountability) degli adempimenti privacy.