Nuovo Regolamento Ue sulla privacy: dal Garante la prima Guida applicativa

ilnuovoregUEPRIVACYIl Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L’obiettivo della Guida è duplice:

  • da una parte offrire un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy;
  • dall’altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche:

  1. Fondamenti di liceità del trattamento;
  2. Informativa;
  3. Diritti degli interessati;
  4. Titolare, responsabile, incaricato del trattamento;
  5. Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
  6. Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre  nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

E-privacy, ok dei Garanti Ue a regole più stringenti ed estese anche ai colossi della rete

e-privacy_blogpost_picParere favorevole delle Autorità europee per la protezione dei dati (Gruppo Articolo 29) sulla proposta di Regolamento della Commissione europea concernente il “rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea”, il cosiddetto “Regolamento ePrivacy”.

Nel parere approvato il 4 aprile scorso, il Gruppo, oltre a manifestare  un generale apprezzamento per le nuove misure, ha tuttavia espresso anche alcune perplessità su aspetti specifici, tra questi:

  • le regole che dovranno disciplinare il tracciamento dei terminali degli utenti attraverso reti wi-fi o bluetooth, come pure
  • l’omesso, esplicito divieto per i fornitori di servizi di far ricorso ai cd. “tracking walls”, e cioè di imporre scelte del tipo “prendere o lasciare” che forzino gli utenti ad esprimere un consenso al tracciamento delle proprie attività on-line pur di accedere a contenuti determinati.

La proposta di Regolamento ePrivacy presentata dalla Commissione a gennaio rientra nel quadro della riforma introdotta con l’approvazione del pacchetto protezione dati e, in particolare, del nuovo Regolamento Generale (RGPD), che diverrà esecutivo il 25 maggio 2018.

Si tratta di un ulteriore passo avanti perché la proposta (che abrogherà la direttiva 2002/58, ossia la “vecchia” direttiva e-privacy) comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.

Il nuovo Regolamento garantirà l’applicabilità delle stesse norme in tutta la UE e sul testo proposto il Parlamento europeo ed il Consiglio dell’UE dovranno esprimersi nel prossimo futuro.

Al riguardo, lo scorso 11 Aprile dinanzi al Parlamento Europeo si è tenuta un’audizione organizzata dalla Commissione per le libertà civili, la giustizia e gli affari interni (LIBE), alla quale ha partecipato anche un rappresentante dell’Ufficio del Garante italiano.

Questi, in sintesi, i punti di maggior rilievo della proposta di Regolamento e-Privacy:

Applicazione delle norme

Le norme europee verranno estese anche agli OTT (Over The Top), cioè i fornitori di servizi come WhatsApp, Facebook, Messenger e Skype, che saranno tenuti al rispetto delle regole e a garantire lo stesso livello di tutele dei più tradizionali operatori di telecomunicazione. 

Metadati

Non soltanto i dati, ma anche il contenuto delle comunicazioni e i metadati, cioè gli elementi accessori e di contorno di una informazione, godranno dello stesso livello di protezione: ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati.

Sarà richiesto il consenso degli utenti finali per la fornitura di servizi accessori (es. antivirus o ricerca di parole testuali nelle mail) e per il conseguimento di specifiche finalità ulteriori rispetto alla fornitura del servizio, che non possono essere ottenute utilizzando dati anonimi. Molto ampia, inoltre, la protezione del dispositivo utilizzato: si prevede che ogni interferenza con i terminali richieda il consenso dell’utente.

IOT

Viene per la prima volta menzionata la specificità dell’internet delle cose al fine di estendere il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine.

Cookies

L’utente potrà compiere una scelta unica, accettando o rifiutando in blocco l’installazione dei cookie tramite un settaggio preliminare del browser. Il consenso non sarà invece necessario per l’installazione dei cookie cd. analytics, quelli utilizzati ad esempio per contare gli utenti che visitano uno specifico sito web o per tener traccia degli acquisti nel proprio carrello elettronico.

Telemarketing

La proposta prevede che per l’effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovrà  obbligatoriamente essere mostrato in chiaro.

Informativa e acquisizione del consenso

Dovranno essere maggiormente user friendly anche mediante  l’impiego di icone stardardizzate.

Lavoro: geolocalizzazione flotte aziendali, sì con accordo sindacale

Illustration of a map mark icon with a  delivery truckPer i sistemi di geolocalizzazione rimane necessario l’accordo sindacale – come previsto dallo Statuto dei lavoratori – e va garantita la riservatezza dei dipendenti.

Questa la decisione del Garante della privacy [doc. web n. 6275314] in merito alla richiesta di verifica preliminare presentata da una compagnia che offre servizi idrici e assistenza in caso di problemi alla rete.

In base alla documentazione presentata, la localizzazione geografica dei veicoli utilizzati per gli interventi sarà attivata per molteplici scopi come:

  • l’ottimizzazione delle richieste di intervento o delle emergenze,
  • l’innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti,
  • la corretta manutenzione dei veicoli,
  • la tutela del patrimonio aziendale,
  • il calcolo del tempo di lavoro effettivo,
  • la gestione di eventuali incidenti stradali o di sanzioni subite per violazioni del codice della strada.

Nel corso dell’istruttoria l’Autorità ha riconosciuto il legittimo interesse della società a rilevare la posizione dei propri mezzi per le molteplici finalità indicate, ma solo nel pieno rispetto della privacy dai lavoratori.

Visto che tale sistema potrebbe consentire il controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act, per poterlo attivare dovrà prima essere raggiunto un apposito accordo con le rappresentanze sindacali o, in sua assenza, si dovrà richiedere l’autorizzazione all’Ispettorato nazionale del lavoro.

Dovranno inoltre essere attentamente definite le modalità di raccolta, di elaborazione e di conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita.

Ad esempio, se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per cinque anni.

I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione.

Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati.

Deve essere inoltre escluso il monitoraggio dei tracciati percorsi, salvo il possibile trattamento dei relativi dati in forma aggregata o anonima per finalità statistiche e di programmazione del lavoro.

Dovranno essere adottate anche precise misure di sicurezza e l’accesso ai dati trattati dovrà essere consentito al solo personale incaricato, definendo per i dati di geolocalizzazione appositi profili autorizzativi individuali per ogni singolo utente.

La società potrà comunque avviare il trattamento delle informazioni sulla posizione geografica dei veicoli di lavoro solo dopo:

  • aver effettuato la notificazione al Garante e
  • aver fornito un’informativa completa ai dipendenti

Un post su Facebook non è mai per i soli “amici”

Un post su Facebook non è mai veramente riservato ai soli “amici”, anche se è pubblicato in un profilo “chiuso”.Schermata-2013-03-08-alle-11.30.02

Se poi si “postano” informazioni su minori l’attenzione deve essere massima. Il principio è stato affermato dal Garante privacy in un provvedimento [doc. web n. 6163649] con il quale ha ordinato a una donna la rimozione dalla propria pagina Facebook di due sentenze, sulla cessazione degli effetti civili del matrimonio, in cui erano riportati delicati aspetti di vita familiare che riguardavano anche la figlia minorenne.

L’Autorità – intervenuta  su segnalazione dell’ex marito che lamentava una violazione del diritto alla riservatezza della figlia – ha ritenuto che la divulgazione dei provvedimenti giurisdizionali in questione fosse incompatibile con quanto stabilito dal Codice privacy.

Il Codice vieta infatti:

  • la pubblicazione “con qualsiasi mezzo” di notizie che consentano l’identificazione di un minore coinvolto in procedimenti giudiziari, nonché
  • la diffusione di informazioni che possano rendere identificabili, anche indirettamente, i minori coinvolti e le parti in procedimenti in materia di famiglia.

Secondo il Garante, poi, l’estrema pervasività della divulgazione su Internet aggrava notevolmente la violazione di diritti della persona, in questo caso per giunta minore di età.

Non può essere provata infatti, sempre secondo il Garante, la persistente natura chiusa del profilo e la sua accessibilità a un gruppo ristretto di “amici”, perché il profilo è facilmente modificabile, da “chiuso” ad “aperto”, in ogni momento da parte dell’utente.

Vi è, inoltre, la possibilità che un “amico” condivida il post con le sentenze sulla propria pagina, rendendolo visibile ad altri iscritti, determinando così una possibile conoscibilità “dinamica”, più o meno ampia, del contenuto che può estendersi potenzialmente a tutti gli iscritti a Facebook.

Nel disporre la rimozione, l’Autorità ha sottolineato infine, che le sentenze consentono di rendere identificabile la bambina nella cerchia di persone che condividono le informazioni “postate” dalla madre sul proprio profilo e contengono dettagli molto delicati, anche inerenti alla sfera sessuale, al vissuto familiare e a disagi personali della piccola.

Il diritto alla portabilità dei dati (art. 20 RGPD): infografica del Garante e linee guida

0001

Linee-guida sul diritto alla “portabilità dei dati” – WP242
adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016

english version

Le risposte alle domande più frequenti – FAQ
Allegato alle Linee-guida sul diritto alla “portabilità dei dati” – WP242

english version

Nuove disposizioni in materia di call center: le FAQ del Mise e i Modelli da utilizzare

sfondo_call_center6Nuove disposizioni normative sulle attività di call center: sono riportate di seguito una serie di risposte alle richieste di chiarimenti che sono state poste o che potrebbero essere poste più frequentemente (FAQ), basate sulle interpretazioni attualmente condivise con gli altri soggetti istituzionali richiamati dalla norma.

In chiusura del post sono riportati i Modelli da utilizzare per la comunicazione al Mise.

Nuove disposizioni normative sulle attività di call center
Articolo 1, comma 243, della legge n. 232 del 2016 (c.d. legge di bilancio)
che sostituisce l’art. 24-bis, D.L. 22/06/2012, n. 83 convertito con modificazioni dalla legge 07/08/2012, n. 134/2012

Chi sono i soggetti tenuti agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico sulla base dalle nuove disposizioni normative?

Qualunque operatore economico che decida di localizzare o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese non membro dell’Unione europea.

Quali elementi informativi deve contenere la comunicazione al Ministero dello sviluppo economico?

La specifica comunicazione da effettuare al Ministero dello sviluppo economico da parte dell’operatore economico che localizza o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese extra UE deve contenere le numerazioni telefoniche messe a disposizione del pubblico ed i corrispettivi Paesi in cui sono localizzate.

Le numerazioni oggetto di obbligo di comunicazione al Ministero dello sviluppo economico includono anche il tradotto geografico internazionale?

Si, per ciascuna numerazione telefonica messa a disposizione del pubblico e utilizzata per i servizi delocalizzati occorre inserire anche il tradotto geografico internazionale.

Cosa si intende per “operatore economico”?

La nozione di operatore economico richiamata dalla normativa è coerentemente riferibile alla definizione riportata all’art.3, comma 1, lett. p) del Decreto Legislativo n.50/2016 (Codice dei contratti pubblici), ovvero sono operatori economici coloro che offrono beni e servizi sul mercato a prescindere dalla forma giuridica di riferimento. Pertanto sono esclusi dalla definizione le pubbliche amministrazioni nell’assolvimento dei loro compiti istituzionali nonché tutti i soggetti di qualsiasi natura nello svolgimento di un’attività che non sia correlata, direttamente o indirettamente, ad uno scopo di lucro.

L’ambito di applicazione della norma può ritenersi ancora limitato alle sole aziende che svolgono in via assolutamente prevalente attività di call center?

No, l’ambito di applicazione soggettivo dell’art. 24 bis, è riferibile all’operatore economico, indipendentemente dal numero di dipendenti occupati, che svolge attività di call center utilizzando numerazioni telefoniche messe a disposizione del pubblico, a prescindere dalla prevalenza o meno dell’attività di call center rispetto al resto della propria attività.

L’operatore economico che affida parzialmente o totalmente a terzi l’attività di call center è soggetto all’obbligo di comunicazione nei confronti del Ministero dello sviluppo economico?

Si, è soggetto alle prescrizioni di legge l’operatore economico che svolge servizi di call center tanto tramite una struttura interna all’azienda quanto in outsourcing. Nel caso di affidamento a terzi dei servizi di call center, la norma ha esplicitamente previsto una responsabilità solidale tra committente e gestore del call center.

L’operatore economico che svolge attività di call center attraverso società controllata facente parte del Gruppo societario è soggetto agli obblighi di legge?

Si, dalla normativa emerge la responsabilità dell’operatore economico sia che svolga esso stesso l’attività sia che si avvalga di servizi di call center esterno

L’operatore economico straniero che svolge un servizio di call center ubicato in un Paese extra UE, pur avendo un diverso core business, è soggetto agli obblighi di legge?

Si, sono soggetti agli adempimenti di legge anche gli operatori economici stranieri che svolgono essi stessi o si avvalgono di servizi di call center su numerazioni nazionali geografiche (qualsiasi numero del piano nazionale di numerazione per cui alcune cifre fungono da indicativo geografico e sono utilizzate per instradare le chiamate e le terminazioni di rete) e non geografiche (qualsiasi numero del piano nazionale di numerazione che non sia geografico ad esempio i numeri per servizi di comunicazione mobili e personali, i numeri di chiamata gratuita e i numeri a tariffazione specifica).

Cosa si intende per “attività di call center”?

Per l’individuazione di tale attività si dovrà fare riferimento alla definizione di call center contenuta nell’art. 1, lett. d) della Delibera n. 79/09/CSP dell’Autorità per le garanzie nelle comunicazioni, per il quale esso è un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, internet, posta). Tale attività ricade nell’ambito applicativo dell’art. 24 bis sia ove realizzata tramite strutture interne sia quando viene affidata in outsourcing, purché si utilizzino numerazioni telefoniche messe a disposizione del pubblico.

Le prescrizioni di legge si applicano sia alle attività di call center inbound che outbound?

Si, gli obblighi di legge si applicano in riferimento ai servizi di call center e relative numerazioni a prescindere dalla tipologia di svolgimento dell’attività (sia in entrata che in uscita, inbound/outbound).

L’informazione preliminare in merito al Paese in cui è fisicamente collocato l’operatore che risponde è dovuta anche nel caso in cui l’operatore è ubicato in Italia o in un Paese UE?

Si, l’obbligo informativo relativo al Paese in cui l’operatore con cui si parla è fisicamente collocato prescinde dalla localizzazione ed è applicabile anche agli operatori ubicati in Italia o in un Paese UE.

L’obbligo di informazione preliminare deve riguardare necessariamente la località in cui l’operatore è fisicamente collocato?

No, è sufficiente fornire l’informazione del Paese in cui è ubicato l’operatore del call center.

L’obbligo di informazione preliminare sulla localizzazione del call center si intende assolto anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere all’obbligo di legge tramite il sistema IVR e tramite operatore.

L’obbligo di informazione preliminare, qualora l’operatore è ubicato in un Paese extra UE, circa la possibilità di richiedere che il servizio sia reso da un operatore collocato nel territorio nazionale o in un Paese UE e l’immediato trasferimento della chiamata a seguito di specifica richiesta si intendono assolti anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere agli obblighi di legge tramite il sistema IVR e tramite operatore.

logo_mise_400

 

I Modelli per adempiere agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico.

Di seguito i due modelli (il cui contenuto è aggiornato rispetto a quello già reso disponibile in passato in uno al menzionato provvedimento del 10 ottobre 2013, n. 444) volti ad agevolare l’assolvimento degli obblighi comunicativi diretti all’Autorità, utilizzabili dagli operatori economici cui facciano capo le localizzazioni in Paesi terzi dell’attività di call center (inbound e outbound):

  1. un primo modello potrà essere utilizzato, ai sensi dell’art. 24-bis, comma 2, lett. c), da parte degli operatori economici che intendono localizzare l’attività di call center in Paesi terzi in tempi successivi all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 150.000 euro per ciascuna comunicazione omessa o tardiva (art. 24-bis, comma 7, d.l. n. 83/2012).

  1. un secondo modello potrà invece essere utilizzato, ai sensi dell’art. 24-bis, comma 3, per gli operatori che abbiano localizzato  l’attività di call center in Paesi terzi anteriormente all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 10.000 euro per ciascun giorno di ritardo (art. 24-bis, comma 3, d.l. n. 83/2012).

Garante a Yahoo!: via il link alla pagina web con dati inesatti e superati

yahoo-privacy-eagle-communicationsYahoo! Emea Limited dovrà rimuovere il link alla pagina web di un sito statunitense in cui sono pubblicate informazioni inesatte e non aggiornate relative ad un cittadino italiano coinvolto in una vicenda giudiziaria accaduta in territorio americano.

Lo ha stabilito il Garante privacy accogliendo il ricorso di un uomo che si era visto pubblicare propri dati personali (alcuni persino attinenti alle caratteristiche fisiche) su un sito che riporta gli arresti compiuti ogni giorno negli Stati Uniti [doc. web n. 6026501].

Il ricorrente – già rivoltosi, senza esito, oltre che al motore di ricerca anche a Microsoft e Aol –  lamentava il danno derivante dalla pubblicazione di notizie inesatte e obsolete relative ad un arresto subito nel 2015 per un reato poi derubricato in uno di minore gravità.

Circostanza, quest’ultima, non riportata nel sito, in cui risultavano ancora le notizie relative alla prima ipotesi di reato e non venivano fornite informazioni sui successivi sviluppi della vicenda archiviata “con un non luogo a provvedere nell’immediato futuro”.

Il Garante, anche alla luce della direttiva 95/46/CE e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale sulla base del principio di stabilimento.

Tale decisione è stata confermata anche da una recente sentenza pronunciata dal Tribunale di Milano nell’ambito di un giudizio di opposizione attivato da Yahoo! contro un precedente provvedimento del Garante in cui si stabilivano principi analoghi.

Il Tribunale, oltre a confermare la giurisdizione dell’Autorità italiana alla luce della direttiva europea 95/46/CE così come interpretata dalla Corte di Giustizia, ha affermato che alla stessa conclusione si può comunque pervenire attraverso la necessità di garantire il principio della effettività della tutela “a fronte di una lesione derivante da un illecito trattamento di dati personali avvenuti on line e i cui effetti dannosi si sono verificati in Italia”.

Nell’accogliere il ricorso, l’Autorità ha dunque:

  • ritenuto illecita la diffusione di informazioni non aggiornate e inesatte riferite al ricorrente, perché in contrasto con la normativa europea e nazionale, e
  • ordinato a Yahoo!  di provvedere alla rapida rimozione, in associazione con il nome e cognome dell’uomo, dell’Url alla pagina web.

L’Autorità, infine, ha dichiarato non luogo a provvedere sul ricorso nei confronti di Microsoft e di Aol che hanno provveduto a rimuovere il link nel corso del procedimento.