Contratti telefonici: istruzioni privacy per l’uso

Verba manent…

Che anche la voce fosse un dato personale, non c’era alcun dubbio. Dubbi rimanevano sul come garantire il diritto d’accesso relativamente ai contenuti dei c.d. verbal ordering.

E così ecco intervenire il Garante con un Provvedimento ad hoc nel quale si precisa che la registrazione di un colloquio telefonico che comporta l’attivazione di un nuovo servizio commerciale deve essere resa disponibile all’interessato che ne faccia richiesta: non è sufficiente che l’azienda gli fornisca la trascrizione dei contenuti della conversazione.

Col sopra indicato Provvedimento, il Garante  accoglie il ricorso di un consumatore che contesta l’attivazione di un contratto da parte di un gestore telefonico attraverso la prassi del “verbal ordering”, ovvero la chiamata con la quale avrebbe aderito ad una proposta commerciale. Il ricorrente aveva chiesto alla società telefonica una copia della registrazione del colloquio. Il gestore aveva fornito all’interessato solo una sintesi scritta dei contenuti di quella telefonata. Insoddisfatto del riscontro ottenuto l’utente si era rivolto all’Autorità.

Nel dare ragione al ricorrente il Garante ha precisato che anche suoni ed immagini costituiscono dati personali rispetto ai quali gli interessati possono far valere i diritti loro riconosciuti dalla normativa in materia di privacy. Il diritto di accesso ai dati personali contenuti nel “verbal ordering” non può, dunque, ritenersi pienamente soddisfatto dalla trasposizione fornita dall’azienda, in quanto solo la registrazione consente di accedere al dato vocale. L’Autorità ha quindi ordinato al gestore di mettere a disposizione del ricorrente la registrazione del colloquio telefonico.

“Tutelare i propri diritti – ha dichiarato il relatore Giuseppe Fortunato – significa anche essere garantito rispetto alle proprie parole dette che restano proprie anche se in possesso altrui”.

Vietato spiare la navigazione internet dei dipendenti

È illecito monitorare in modo sistematico e continuativo la navigazione in Internet  dei lavoratori.

Il principio è stato ribadito dal Garante privacy che ha vietato ad una società  il trattamento dei dati personali di un dipendente e ha segnalato il caso all’autorità giudiziaria.

La società aveva monitorato per nove mesi la navigazione on line di un lavoratore attraverso un software in grado di  memorizzare “in chiaro”, tra l’altro, le pagine e i siti web visitati, il numero di connessioni, il tempo trascorso sulle singole pagine. Nel definire il reclamo il Garante, con un provvedimento di cui è stato relatore Mauro Paissan, ha riconosciuto le ragioni del dipendente.

L’installazione di un software appositamente configurato per tracciare in modo sistematico la navigazione in Internet del lavoratore  viola, infatti, lo Statuto dei lavoratori, che vieta l’impiego di apparecchiature per il controllo a distanza dell’attività dei dipendenti. Peraltro la società non aveva neanche provveduto ad attivare le procedure stabilite dalla normativa qualora tale controllo fosse motivato da “esigenze organizzative e produttive” (accordo con le rappresentanze sindacali o, in assenza di questo,  autorizzazione della Direzione provinciale del lavoro).

Il Garante ha ritenuto, infine, che la società sia incorsa anche nella violazione dei principi di pertinenza e non eccedenza delle informazioni raccolte, poiché il monitoraggio, diretto peraltro nei confronti di un solo dipendente, è risultato prolungato e costante.

In base alle Linee guida fissate dall’Autorità i datori di lavoro possono infatti procedere a eventuali controlli ma in modo graduale, mediante verifiche di reparto, d’ufficio, di gruppo di lavoro prima di passare a controlli individuali.

I predetti controlli, inoltre, sono consentiti solo dopo l’adozione di un idoneo “Disciplinare interno sull’uso di Internet e Posta elettronica”, documento obbligatorio attraverso il quale si comunica ai Dipendenti e Collaboratori la Policy aziendale circa l’uso corretto della posta elettronica e della rete Internet indicando chiaramente le modalità di uso degli strumenti messi a disposizione e  in che misura e con quali modalità vengano effettuati controlli (Provvedimento Garante 1 marzo 2007). La sua mancata adozione espone, inoltre, l’azienda al rischio del pagamento di una sanzione amministrativa da € 30.000 a € 180.000.

Le nuove misure necessarie relative agli Amministratori di sistema: uno sguardo d’insieme.

Vediamo ora nel dettaglio in cosa consistono le nuove misure necessarie di sicurezza relative agli Amministratori di sistema, così come modificate dal Provvedimento del 25 giugno emanato a seguito della consultazione pubblica attivata dallo stesso Garante volta ad acquisire osservazioni e commenti da parte dei titolari del trattamento.

Anzitutto: chi sono gli Amministratori di sistema?

Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del  Provvedimento del Garante vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali:

• gli amministratori di database,
• gli amministratori di reti e di apparati di sicurezza,
• gli amministratori di sistemi software complessi.

Attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti “in chiaro” le informazioni medesime.

In concreto, ogni Titolare che rientra nell’obbligo di attuazione delle nuove misure, deve:

1. individuare coloro che ricadono nella categoria di amministratore di sistema;
2. valutare l’esperienza, la capacità e l’affidabilità dei soggetti designati quali amministratore di sistema che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza;
3. designare tali amministratori di sistema in modo individuale con l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;
4. redigere un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante in cui riportare gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite; se i servizi di amministrazione di sistema sono affidati in outsourcing, tale documento può essere redatto e custodito dall’Outsourcer nominato Responsabile del trattamento.
5. se l’attività degli amministratori di sistema riguarda anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, comunicare a questi ultimi l’identità degli amministratori di sistema;
6. verificare l’operato degli amministratori di sistema, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti; tale verifica può essere demandata all’outsourcer Responsabile del trattamento;
7. registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica).Le registrazioni (access log) devono avere caratteristiche di

• • completezza,
  • inalterabilità,
  • possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste.

Le registrazioni devono comprendere:

• • i riferimenti temporali
  • la descrizione dell’evento che le ha generate.

Le registrazioni devono inoltre  essere conservate per un congruo periodo, non inferiore a sei mesi.

Nel dettaglio, il Provvedimento Garante 27 novembre 2008 così come integrato dal Provvedimento Garante 25 giugno 2009, dispone quanto segue (le parti barrate sono state soppresse, le parti in grassetto  sono state aggiunte):

a) Valutazione delle caratteristiche soggettive

L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

b) Designazioni individuali

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

c) Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

d) Servizi in outsourcing

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare il titolare o il responsabile esterno devono deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

e) Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

f) Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

g) 3-bis: il Garante dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali.

Banche: ennesima tirata d’orecchi e richiamo agli obblighi di formazione

La banca deve proteggere con particolare attenzione i dati della clientela e deve dare immediata notizia al titolare del conto di eventuali accessi ingiustificati, anche se effettuati da propri dipendenti, alle informazioni riguardanti il conto corrente.

È quanto ha stabilito il Garante per la privacy, con un provvedimento di cui è stato relatore Mauro Paissan, affrontando il caso di una signora che lamentava il trattamento illecito dei suoi dati personali da parte della propria banca. Nell’ambito di una causa di separazione, il marito aveva infatti prodotto una memoria contenente informazioni, relative a un conto corrente, che solo la donna stessa o il personale della filiale presso la quale aveva aperto il conto potevano conoscere.

Alla scoperta della violazione, la cliente si era subito rivolta all’istituto di credito per chiedere chi avesse avuto accesso ai dati, comunicandoli poi all’esterno. L’istituto bancario aveva inizialmente negato i fatti e solo in seguito a ulteriori richieste della donna, ammetteva che un dipendente aveva prima consultato senza giustificate “esigenze operative” i conti correnti della segnalante e poi inoltrato i dati a un altro funzionario del gruppo bancario. A causa del loro comportamento, entrambi i lavoratori erano stati temporaneamente sospesi dal lavoro.

La donna si era nel frattempo rivolta anche al Garante. Gli accertamenti dell’Autorità hanno messo in luce che la banca aveva sì adottato misure di sicurezza ma non sufficienti a impedire il trattamento non consentito dei dati del conto corrente. L’istituto di credito, inoltre, pur avendo rilevato l’accesso non autorizzato ai conti della sua cliente, non l’aveva tempestivamente avvertita, con ciò violando il principio di correttezza. La tempestiva informazione avrebbe, infatti, potuto consentire alla correntista perlomeno di ridurre i rischi derivanti dall’indebita divulgazione dei dati del suo conto.

L’Autorità ha prescritto al gruppo bancario di adottare misure di sicurezza idonee a garantire la scrupolosa vigilanza sull’operato degli incaricati, e di sensibilizzare i funzionari al rigoroso rispetto delle norme sulla privacy attraverso attività di formazione. Ha inoltre stabilito che la banca, una volta acquisita la conoscenza di accessi non autorizzati ai dati della clientela, inclusi quelli eventualmente effettuati dai suoi dipendenti, è tenuta a comunicarlo tempestivamente agli interessati.

L’Autorità ha infine disposto la trasmissione del provvedimento alla Procura della Repubblica per le valutazioni di competenza riguardo a eventuali illeciti penali commessi.

Le vite degli altri

“Se non fai nulla di male, perché ti vuoi nascondere?” era solito osservare tal Adolf Hitler. E, in effetti, a rigor di logica, la domanda retorica fila alla perfezione.

Già, ma per fortuna, a rigor di buonsenso, le nostre esistenze hanno ben poco a che fare con la logica.

Che cosa succede?

Succede che la vita post 11 settembre assomiglia sempre  più al panopticon di Bentham che ad una libera convivenza democratica dove pace e fiducia nel prossimo si esprimono nel più assoluto rispetto della vita privata dei cittadini. Così, sempre nel nome della fatidica sicurezza (parolina magica che spalanca ogni porta, persino quella del pudore), se qua in Europa stiamo ancora a discutere del sistema di opt-in o di opt-out nella ricezione di informazioni commerciali, negli Stati Uniti hanno fatto il grande passo: il Department of Homeland Security’s Privacy Office ha approvato le ispezioni (ricerche,  copia e  conservazione) sui computer portatili, PDA e altri dispositivi digitali dei viaggiatori senza necessità che vi sia alcuna ragione di sospettare che contengano qualcosa di pericoloso.

Il Documento: Privacy impact assessment

Cosa significa?

Significa che, col benestare del Privacy Office americano, l’US Immigration and Customs enforcement ora può tranquillamente copiare, scaricare, conservare e acquisire qualsiasi contenuto dai dispositivi elettronici di chi entra o esce dal confine, e il tutto senza nessuna specifica motivazione.
Inoltre, mentre in molti casi le ricerche sarebbero effettuate con la conoscenza del viaggiatore, in altre situazioni, dice il rapporto, “informare il viaggiatore che il suo dispositivo elettronico è stato ispezionato non è praticabile“.

Per giungere a tale conclusione, il Privacy Office sostiene che “… such searches of electronic devices were really no different from searches of briefcases and backpacks. They are needed to interdict and investigate violations of federal law at U.S. borders and have been supported by courts in the past, the assessment said.”

Logico. Ineccepibile. Folle.

Concludendo

La libertà è la misura del nostro vivere quotidiano.

Se da una parte il concetto di libertà  è un concetto espansivo, dinamico, evolutivo che, in quanto tale, non può essere né definito né garantito una volta per tutte, dall’altra non c’è democrazia che non conosca il potere del nemico interno/esterno per autoperpetuarsi pur nel rischio concreto di emarginare, criminalizzare, annientare nuove visioni di tolleranza e libera convivenza.

Riconoscere come inviolabile o, comunque, presidiato da un serio ed effettivo principio di proporzionalità (secondo il quale possono essere apportate limitazioni ai diritti e alle libertà fondamentali degli individui solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale  o all’esigenza di proteggere i diritti e le libertà altrui) il sacrosanto diritto alla riservatezza, significa dare un contenuto serio ed effettivo (oltre che una garanzia) al nostro quotidiano errare alla ricerca della verità.

Social network: legge applicabile e responsabilità degli utenti

I Garanti UE tornano sulla spinosa questione del trattamento dati personali nei Social Network chiarendo, anzitutto che si, la normativa europea è applicabile anche a Facebook, nonostante server e trattamenti localizzati negli Stati Uniti, e che si, gli utenti devono chiedere il consenso ai rispettivi interessati prima di mettere in circolazione loro dati personali.

Tutto questo era già comunque presente nel Codice privacy e, per la precisione, nell’art. 5 del Dlgs 196/2003, Oggetto ed ambito di applicazione (del codice privacy):

Comma 2: Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

Comma 3: Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

Ma andiamo a vedere più da vicino l’intervento dei Garanti europei (http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp163_en.pdf):

In primo luogo, si chiarisce, per l’appunto, che i gestori di tali piattaforme, anche quelle gestite da Paesi extra-Ue, sono soggetti alle disposizioni della direttiva europea sulla protezione dei dati (e, quindi, delle leggi nazionali in materia), nella misura in cui il funzionamento dei social network richiede l’utilizzo di “strumenti” situati fisicamente sul territorio dell’Ue (Art.5, comma 2 Dlgs196/2003).

In secondo luogo, i Garanti chiedono che i gestori dei social network rispettino una serie di obblighi:

• avvertire gli utenti sulla necessità di ottenere il consenso informato dell’utente prima di permettere a terzi di accedere ai dati contenuti nel suo profilo;
• cancellare i dati personali contenuti nei profili-utente che siano disattivati (fatta salva la loro conservazione, in casi specifici, per contrastare comportamenti illeciti);
• mettere a disposizione strumenti facili e immediati per consentire agli utenti l’esercizio dei diritti previsti dalla normativa (accesso, rettifica, cancellazione), come ad esempio un unico “sportello reclami” raggiungibile da tutti i Paesi;
• dare la possibilità agli utenti di navigare e utilizzare i servizi anche attraverso pseudonimi;
• adottare idonee misure di sicurezza (tecniche ed organizzative), anche con riguardo ai rischi di spam;
• è necessario, inoltre, che i gestori di social network forniscano, per default, una configurazione in grado di escludere la possibilità che motori di ricerca esterni indicizzino le informazioni contenute nel profilo-utente;
• va fornita, infine, un’informativa completa sulla natura del servizio e sui possibili rischi: quello di una informazione facilmente comprensibile dagli utenti è infatti uno degli aspetti cruciali sui quali sensibilizzare gestori di social network.

I Garanti europei si sono poi preoccupati di mettere in luce anche le specifiche responsabilità che sono in capo agli utenti di social network, prima fra tutte quella di chiedere il consenso delle persone i cui dati siano fatti circolare, soprattutto se il numero di contatti e “amici” è particolarmente elevato (Art.5, comma 3 Dlgs196/2003).

Un capitolo a sé è dedicato ai minori.Il parere ricorda l’obbligo di adottare particolari cautele in questo ambito, soprattutto per i problemi connessi alla verifica del consenso prestato da soggetti minorenni. Occorre una strategia multi-livello che comprenda educazione all’uso, sviluppo di tecnologie di protezione, promozione dell’autoregolamentazione da parte dei gestori di social network, interventi normativi per scoraggiare e sanzionare le violazioni di legge.

Amministratori di sistema: alleggerimenti per i Titolari e nuovi adempimenti per gli Outsourcer

Con l’intervento di proroga al 15 dicembre 2009 dell’adozione delle nuove misure necessarie di sicurezza relative agli amministratori di sistema, il Garante ha introdotto importanti novità affinché gli adempimenti connessi all’individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare, anche dagli outsourcer nominati responsabili del trattamento attraverso l’integrazione del loro atto di nomina formale oppure attraverso clausole contrattuali ad hoc (v. il nuovo Punto 3-bis del Proivvedimento 25 giugno 2009).

Vediamo qua di seguito le parti del provvedimento del Garante interessate alle modifiche (le aggiunte sono in grassetto):

4.3 Elenco degli amministratori di sistema:

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Al terzo capoverso del punto 4.3:

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività:

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Punto 2 lett. c):

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini o tramite procedure formalizzate a istanza del lavoratore). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

Punto 2 lett. d:)

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Punto 2 lett. e):

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Nuovo punto 3-bis:

“dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali”.

A tutti buon lavoro e, sempre, l’augurio di aude aliquid dignum.

Modello di Autocertificazione al posto del DPS

Col Provvedimento di semplificazione del 27/11/2008, il Garante ha dispensato una buona fetta di Titolari del trattamento dall’obbligo di redazione del DPS.

Più precisamente, possono redigere un’autocertificazione in luogo del DPS le amministrazioni pubbliche e le società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano, come unici dati sensibili dei dipendenti e collaboratori anche a progetto, quelli relativi allo stato di salute senza indicazione della relativa diagnosi o all’adesione a organizzazioni sindacali.

Qua di seguito pubblichiamo il Modello di autocertificazione da conservare in Azienda o Studio all’interno del Fascicolo Privacy.

Facsimile Autocertificazione sostitutiva DPS – Word

Facsimile Autocertificazione sostitutiva DPS – PDF

La relazione del Garante sull’attività 2008

L’Autorità Garante per la protezione dei dati personali ha presentato il 2 luglio scorso la Relazione sul 12mo anno di attività e sullo stato di attuazione della normativa sulla privacy.

La Relazione sull’attività 2008 traccia il bilancio del lavoro svolto dall’Autorità e indica le prospettive di azione verso le quali intende muoversi il Garante nell’obiettivo di costruire una autentica ed effettiva protezione dei dati personali.

L’attività del Garante

La messa in sicurezza delle grandi banche dati pubbliche e private; la protezione dei dati giudiziari; le banche dati del Dna; il settore della sanità; il sistema delle telecomunicazioni; il corretto rapporto tra diritto di cronaca e dignità delle persone; le esigenze di semplificazione per imprese e P.a.; i trasferimenti dei dati all’estero. E ancora: le telefonate pubblicitarie indesiderate; la videosorveglianza sempre più estesa; la tutela dei minori; Internet e il fenomeno dei social network; il controllo dei lavoratori.

Sono solo alcuni dei principali e complessi settori nei quali il Garante ha assicurato il suo intervento nel corso del 2008 a difesa dei diritti fondamentali dei cittadini. Intervento oggi potenziato dai maggiori poteri sanzionatori di recente attribuiti all’Autorità.

Numerose sono state le Audizioni parlamentari: tra le più rilevanti, quelle sulle problematiche del settore assicurativo, quelle sulla Anagrafe tributaria e quella sulle frodi e furti di identità.

Le cifre

I provvedimenti collegiali adottati nel 2008 sono stati 524.
Rilevante incremento si è registrato nelle risposte a segnalazioni e reclami, passate dalle 3.078 del 2007 alle 5.252 del 2008 (in particolare, riguardo a telefonia, sanità, credito al consumo, Internet, giornalismo, videosorveglianza, pubblicità indesiderata).

I ricorsi presentati al Garante sono stati 321 (in maggioranza relativi a banche e finanziarie, datori di lavoro pubblici e privati, amministrazioni pubbliche), mantenendosi stabili rispetto al 2007.

Si è data risposta a 1.058 quesiti posti da soggetti pubblici e privati (in maggioranza riguardanti sanità, trasparenza amministrativa, videosorveglianza, fascicoli personali dei dipendenti).

Il Collegio ha reso 21 pareri al Governo e al Parlamento (in materia di banche dati e di informatizzazione della Pubblica Amministrazione, attività di polizia, giustizia, banche e imprese).

Le ispezioni effettuate sono state 500 registrando una progressione costante. I controlli hanno riguardato numerosi settori, con particolare riguardo ai sistemi di videosorveglianza, agli istituti di credito, all’amministrazione finanziaria, agli operatori telefonici, alle cliniche private.

Le violazioni amministrative contestate sono aumentate del 30% raggiungendo le 338 del 2008. Una parte consistente ha riguardato le attività promozionali indesiderate o attivazione di servizi non richiesti tramite call center.

I proventi riscossi a titolo di pagamento delle sanzioni sono passati da 814.625 euro del 2007 a 1 milione e 62mila euro. Oltre 335mila euro sono stati pagati per estinguere il reato in materia di misure di sicurezza.

L’attività di relazione con il pubblico ha fatto registrare quest’anno circa 40.000 contatti all’Urp, quasi 20.000 e-mail trattate nell’anno.

Sono state approvate importanti Linee guida: in particolare, riguardo:

• all’attività dei periti e dei consulenti dei magistrati,
• all’attività degli amministratori di sistema,
• alle sperimentazioni cliniche dei farmaci, al fascicolo sanitario elettronico.

Il Garante ha adottato anche alcuni provvedimenti generali per specifici settori: in particolare,

• la messa in sicurezza dei dati di traffico telefonico e telematico conservati a fini di giustizia;
• la “rottamazione” sicura di pc e cellulari;
• la semplificazione per imprese e P.a. delle procedure per l’adozione delle misure di sicurezza;
• la semplificazione degli adempimenti in caso di fusioni e scissioni societarie.

E’ stato inoltre varato il Codice di deontologia per le investigazioni difensive, che fissa le tutele per il trattamento dei dati personali dei clienti da parte di avvocati e investigatori privati

Gli interventi più rilevanti

Gli interventi più rilevanti hanno riguardato molteplici e delicati ambiti:

• telecomunicazioni (conservazione dei dati di traffico telefonico e telematico, misure di sicurezza per le intercettazioni, bollette telefoniche con ultime tre cifre in chiaro);
• giornalismo e informazione (cronache giudiziarie, tutela dei minori e delle vittime di violenza, notizie sui minori adottati, dati sullo stato di salute e sulla vita sessuale, archivi giornalistici on line);
• marketing (telefonate indesiderate e call center, attivazione di servizi non richiesti, “profilazione” a fini commerciali di utenti e clienti, “carte di fedeltà” della grande distribuzione);
• pubblica amministrazione (misure di sicurezza per l’Anagrafe tributaria, accertamenti fiscali, trasparenza degli emolumenti pubblici, interconnessione e sicurezza delle banche dati, redditi on line);
• sanità (sperimentazioni dei farmaci, fascicolo sanitario elettronico, “scontrino fiscale parlante”, dati sulla salute on line, uso dei dati genetici, riservatezza nelle strutture sanitarie, uso delle reti telematiche);
• lavoro (sistemi di rilevazione biometrica, navigazione in Internet e controllo dei lavoratori, sistemi di videosorveglianza, dati on line , cedolini dello stipendio);
• giustizia e polizia (misure di sicurezza per gli uffici giudiziari, banche dati Dna, Ced del Dipartimento di P.s., periti e consulenti dei giudici, censimento nomadi);
• nuove tecnologie (geolocalizzazione, Google street view e servizi satellitari, software spia applicabili ai cellulari);
• Internet (Facebook e social network, motori di ricerca, illegittima conservazione dei dati sulla navigazione in Internet, condivisione files musicali,);
• scuola e università (pubblicità scrutini e voti scolastici, preiscrizioni universitarie);
• vita sociale (sistemi di videosorveglianza nei condomini, telecamere negli spogliatoi, propaganda elettorale);
• sistema impresa (semplificazione adempimenti, trasferimento di dati all’estero, azionisti e accesso al libro soci);
• sistema bancario, finanziario e assicurativo (semplificazione adempimenti per sistemi di informazione commerciale, accesso e utilizzo ai dati dei clienti delle banche, misure di protezione, sistema antifrodi).

L’attività internazionale

Importante l’attività del Garante nel Gruppo di lavoro comune delle Autorità di protezione europee (WP29) in particolare riguardo ai sistemi Rfid, agli standard anti doping, alla tutela dei minori, alle comunicazioni elettroniche, alle regole vincolanti di impresa, ai dati dei passeggeri aerei.

Intenso il lavoro nell’ ambito delle Autorità di controllo Schengen, Europol, Eurodac e soprattutto nel WPPJ, il Gruppo di lavoro appositamente istituito dalle Autorità garanti europee per la tutela dei cittadini nel settore della polizia, della sicurezza e della giustizia, che ha visto riconfermato per altri due anni il ruolo di Presidenza al Garante italiano.

Nel 2008 il Garante italiano ha organizzato a Roma la annuale Conferenza dei Garanti europei dedicata alle nuove tecnologie, al fenomeno dei social network e a come garantire un effettiva tutela della privacy in un mondo globalizzato.

Prorogate al 15 dicembre 2009 le nuove misure per gli Amministratori di sistema

Con Provvedimento 25 giugno 2009, a parziale modifica e integrazione del Provvedimento del 27 novembre 2008, il Garante ha prorogato al 15 dicembre 2009 i termini per l’adozione delle nuove misure necessarie di sicurezza per gli amministratori di sistema.

Nei prossimi giorni approfondiremo la portata del nuovo intervento e, soprattutto, dei cambiamenti introdotti.