Videosorveglianza “più lunga” per la cartiera degli euro

225036-Retro-Styled-Robber-And-Video-Surveillance-LogoEstesi a dodici mesi i tempi di conservazione delle immagini: la società italiana accreditata alla fabbricazione di carta moneta per banconote euro, potrà conservare fino ad un anno le immagini riprese dal proprio sistema di videosorveglianza.

Lo ha stabilito il Garante per la protezione dei dati personali al quale la cartiera aveva presentato una verifica preliminare per avere l’autorizzazione all’allungamento dei tempi di conservazione delle immagini registrate dagli impianti di videosorveglianza installati presso due sedi della società.

La richiesta di verifica preliminare nasce dall’esigenza della società di rispettare le regole stabilite dalla Bce. La Banca Centrale, infatti, in forza del suo potere normativo vincolante,  concede l'”accreditamento di sicurezza” ai fabbricanti di carta moneta solo a fronte del rispetto di alcune norme minime di sicurezza, che impongono, in particolare, ai produttori di banconote euro accreditati di conservare per almeno dodici mesi le immagini registrate dai sistemi di videosorveglianza installati presso i siti produttivi.

Il Garante, dopo aver valutato la peculiarità dell’attività produttiva svolta e le specifiche regole europee di settore, sulla base di quanto previsto dal Codice privacy, ha ritenuto i sistemi di videosorveglianza in questione conformi ai principi di pertinenza e non eccedenza e ha ammesso la conservazione delle immagini registrate per un periodo massimo di dodici mesi.

 

Archivi giornalistici on line sempre aggiornati

giornali-edicola-id11604Dati personali esatti e aggiornati anche negli archivi giornalistici on  line. E’ quanto ha stabilito il  Garante privacy che, accogliendo i ricorsi [doc. web n.2286820 2286432] di due cittadini, ha ordinato al Gruppo Editoriale L’Espresso S.p.A. di aggiornare alcuni  articoli presenti  nell’archivio storico on line di un suo quotidiano.

L’editore dovrà individuare modalità che segnalino al lettore l’esistenza di rilevanti sviluppi delle vicende che riguardano i due interessati  (ad esempio, con un link, un banner  o una nota all’articolo). L’adozione di  questo accorgimento  è in grado, infatti, di garantire alle persone il rispetto della propria identità, così come si è evoluta  nel tempo, consentendo al lettore di avere un’informazione attendibile e completa.

Il casus belli

I ricorrenti si erano rivolti all’Autorità, insoddisfatti  del riscontro ottenuto dall’editore, per chiedere  la rimozione dall’archivio storico on  line  di alcuni articoli riguardanti  gravi vicende giudiziarie in cui erano rimasti coinvolti  o, quanto  meno,  l’integrazione o l’aggiornamento  delle notizie con gli esiti delle successive sentenze, a seconda dei casi di proscioglimento,  assoluzione o intervenuta prescrizione. 

Nel riconoscere  la liceità  della conservazione degli articoli di cronaca nell’archivio storico on line del quotidiano, l’Autorità, come in molti altri casi esaminati in passato:

  • ha detto no alla rimozione degli articoli (operazione che avrebbe alterato l’integrità dell’archivio),  ma 
  • ha ritenuto  che i ricorrenti  avessero  diritto ad ottenere l’aggiornamento o l’integrazione dei dati personali.

Nei due casi esaminati dal Garante, infatti,  sviluppi successivi della vicenda avevano profondamente modificato i contenuti  dei primi articoli di cronaca.

La decisione del Garante si pone in linea con una recente sentenza della  Cassazione, la quale, nell’affrontare un caso analogo, ha statuito che per salvaguardare l’attuale identità sociale di una persona occorra garantire  la contestualizzazione e l’aggiornamento della notizia di cronaca,  attraverso il collegamento ad altre informazioni successivamente  pubblicate.

Per quanto riguarda, infine, la richiesta dei ricorrenti di rendere gli articoli inaccessibili dai comuni motori di ricerca, il Garante ha dichiarato non luogo a provvedere perché, seppur dopo la presentazione del ricorso, l’editore  aveva adottato gli accorgimenti tecnologici per “deindicizzare” gli articoli. Uno dei due provvedimenti adottati dal Garante è stato impugnato dall’editore di fronte all’autorità giudiziaria.

 

Privacy e app: le Authority europee intervengono

impatto-ambientale-di-smartphone-e-tabletIl consenso libero ed informato degli utenti finali è essenziale per garantire il rispetto della legislazione europea sulla protezione dei dati.

Le Autorità europee per la protezione dei dati, riunite nel Gruppo Articolo 29, hanno adottato un parere che esamina i rischi fondamentali per la protezione dei dati derivanti dalle applicazioni per terminali mobili. Nel parere sono indicati gli obblighi specifici che, in base alla legislazione Ue sulla privacy, sviluppatori, ma anche distributori e produttori di sistemi operativi e apparecchi di telefonia mobile, sono tenuti a rispettare. Particolare attenzione viene posta nel parere alle applicazioni rivolte ai minori.

Chi possiede uno smartphone ha normalmente attive in media circa 40 applicazioni. Queste applicazioni sono in grado di raccogliere grandi quantità di dati personali: ad esempio, accedendo alle raccolte di foto oppure utilizzando dati di localizzazione

MobileApplicationsApps carousel-304I rischi per la privacy delle applicazioni per smartphone

Gli smartphone e i tablet contengono grandi quantità di dati molto personali che riguardano direttamente o indirettamente gli utenti: indirizzi, dati sulla localizzazione geografica, informazioni bancarie, foto, video. Smartphone e tablet sono, inoltre, in grado di registrare o catturare in tempo reale varie tipologie di informazioni attraverso molteplici sensori quali microfoni, bussole o altri dispositivi utilizzati per tracciare gli spostamenti dell’utente. Anche se l’obiettivo degli sviluppatori è rendere disponibili servizi nuovi e innovativi, le app possono comportare rischi significativi per la privacy e la reputazione degli utenti.

La legislazione sulla privacy Ue prevede che ogni persona ha il diritto di decidere sui propri dati personali. Le applicazioni, dunque,  per trattare i dati degli utenti devono:

  • prima fornire informative adeguate, in modo da
  • ottenere un consenso che sia veramente libero e informato.

Un altro rischio per la protezione dei dati deriva da misure di sicurezza insufficienti. Insufficienza che  può comportare trattamenti non autorizzati di dati personali a causa della tendenza a raccogliere quantità sempre più consistenti di informazioni e della elasticità e genericità degli scopi per i quali queste vengono raccolte, ad esempio a fini di  “ricerche di mercato”. Tutto ciò aumenta la possibilità di violazioni dei dati.

2-22-2011appstoresObblighi e raccomandazioni

Il parere individua precise raccomandazioni e obblighi per ciascuno degli attori coinvolti, evidenziando che la protezione di dati personali degli utenti e la relativa sicurezza sono il risultato di azioni coordinate di sviluppatori, produttori dei sistemi operativi e distributori (“app stores”)  che devono durare nel tempo, e non la semplice applicazione di regole una tantum. In particolare, sono richiamati gli obblighi sull’informativa e sul consenso riguardo:

  • all’archiviazione di informazioni sui terminali degli utenti,
  • per l’utilizzo da parte delle app di dati di localizzazione o delle rubriche dei contatti.

best practiseBest practices

Si raccomandano inoltre alcune “buone pratiche” che devono intervenire sin dalle fasi iniziali di sviluppo delle app, quali:

  • l’impiego di identificativi non persistenti, in modo da ridurre al minimo il rischio di tracciamenti degli utenti per tempi indefiniti,
  • la definizione di precisi tempi di conservazione dei dati raccolti,
  • l’impiego di icone “user friendly” per segnalare che specifici trattamenti di dati sono in corso (ad es. dati di geolocalizzazione).

In caso di app rivolte specificamente ai minori, si ribadisce la necessità del consenso dei genitori.

Si sottolinea, infine, la necessità di una più efficace assistenza all’utente mediante la designazione di “punti di contatto” presso gli “stores” che consentano agli utenti di risolvere in modo rapido problemi legati al trattamento di dati personali da parte delle app installate.

 

L’imbarazzante inettitudine dei Comuni italiani

asinoNo a dati sulla salute dei cittadini sui siti web dei Comuni: il Garante fa rimuovere i dati personali dalle ordinanze di dieci Comuni. E sono in arrivo sanzioni

Sì alla trasparenza on line nella Pa, ma rispettando la dignità delle persone. Sui siti dei Comuni non possono essere pubblicati atti e documenti contenenti dati sullo stato di salute dei cittadini.

Il Garante per la privacy ha fatto oscurare dai siti web di dieci Comuni italiani, di piccola e media grandezza, i dati personali contenuti in alcune ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini. Nuovi provvedimenti sono in arrivo per altri Comuni.

Nelle ordinanze, con le quali i sindaci disponevano il ricovero immediato di diversi cittadini, erano infatti indicati “in chiaro” non solo i dati anagrafici (nome, cognome, luogo e data di nascita) e la residenza, ma anche:

  • la patologia della quale soffriva la persona (ad es. “infermo mentale”),
  • o altri dettagli davvero eccessivi, quali ad esempio l’indicazione di “persona  affetta da manifestazioni di ripetuti tentativi di suicidio”.

Il trattamento dei dati effettuato dai Comuni è risultato dunque illecito: come ha ricordato l’Autorità, le disposizioni del Codice della privacy, richiamate anche dalle Linee guida sulla trasparenza on line della Pa emanate dallo stesso Garante nel 2011, vietano espressamente la diffusione di dati idonei a rivelare lo stato di salute delle persone.

Le ordinanze, per giunta, oltre ad essere visibili e liberamente consultabili sui siti istituzionali dei Comuni, attraverso link che rimandavano all’archivio degli atti dell’ente, erano nella maggioranza dei casi facilmente reperibili anche sui più usati motori di ricerca, come Google: bastava digitare il nome e cognome delle persone.

Hand_Do_NotL’intervento del Garante

Nel disporre il divieto di ulteriore diffusione dei dati, l’Autorità per la privacy ha prescritto alle amministrazioni comunali:

  • non solo di oscurare i dati personali, presenti nei provvedimenti, da qualsiasi area del sito, ma anche di
  • attivarsi presso i responsabili dei principali motori di ricerca per fare in modo che vengano rimosse le copie web delle ordinanze e di tutti gli altri atti aventi ad oggetto il ricovero per trattamento sanitario obbligatorio dagli indici e dalla cache.

I Comuni, inoltre, per il futuro dovranno far sì che la pubblicazione di atti e documenti in Internet avvenga nel rispetto della normativa privacy e delle Linee guida in materia di trasparenza on line della Pa.

“La sacrosanta esigenza di trasparenza della Pubblica amministrazione – ha commentato Antonello Soro, Presidente dell’Autorità – non può trasformarsi in una grave lesione per la dignità dei cittadini interessati. Prima di mettere on line sui propri siti dati delicatissimi come quelli sulla salute, le pubbliche amministrazioni, a partire da quelle più vicine ai cittadini, come i Comuni,  devono riflettere e domandarsi se stanno rispettando le norme poste a tutela della privacy. E devono evitare sempre di recare ingiustificato pregiudizio ai cittadini che amministrano. Oltretutto, errori gravi e scarsa attenzione alle norme comportano come conseguenza che il Garante debba poi applicare pesanti sanzioni” .

L’Autorità procederà, infatti, ad avviare nei confronti dei Comuni interessati le previste procedure sanzionatorie per trattamento illecito di dati personali.

 

Privacy: operazione “Data Retention”

byod-mobile-vetrina_t6 marzo 2013: ispezioni della Guardia di Finanza in tutta Italia sul rispetto delle norme per la conservazione dei dati di traffico telefonico e telematico

Si chiama “Data Retention” l’operazione eseguita dai Finanzieri del Nucleo Speciale Privacy di Roma, nell’ambito delle attività di collaborazione con il Garante per la protezione dei dati personali, nei confronti di 11 società di telefonia e provider.

Gli accertamenti ispettivi, che si inquadrano nell’ambito dei controlli effettuati su delega dell’Autorità per la privacy, traggono origine da un’attività di analisi effettuata dal Nucleo, d’intesa con il Comando Unità Speciali della Guardia di Finanza, al fine di verificare che gli operatori telefonici ed i provider della rete internet rispettino le norme “privacy”.

 

data-retentionLa conservazione dei dati di traffico

Uno degli aspetti più delicati è senz’altro quello del trattamento dei dati di traffico telefonico e telematico, che consente agli operatori di disporre di una serie di importanti informazioni quali tra l’altro:

  • il numero chiamato
  • ora e data e durata del contatto
  • la localizzazione degli apparati degli utenti in caso dell’utilizzo di un telefono mobile.

Tali informazioni, in continuo aumento anche per il diffondersi di smartphone e tablet, devono essere conservate dai fornitori di servizi di comunicazione elettronica per fini investigativi e di giustizia, ad esclusiva disposizione degli organi inquirenti:

  • per ventiquattro mesi  (dati di traffico telefonico)
  • dodici mesi (dati di traffico telematico)

Il Garante ha stabilito con il Provvedimento del 17 gennaio 2008 stringenti misure e accorgimenti che devono essere rispettati dai fornitori per garantire la sicurezza dei dati, e la loro automatica cancellazione al termine del periodo di conservazione previsto dalla legge.

L’operazione in questione, pertanto, mirava a verificare il rispetto della normativa in materia di trattamento dei dati personali, nell’ottica di un bilanciamento tra le ragioni di giustizia e di sicurezza e l’interesse alla riservatezza della vita privata dei cittadini che, usufruendo di servizi di telefonia e di accesso ad internet ed alla posta elettronica, anche in mobilità, hanno rilasciato i propri dati alle aziende che forniscono i relativi servizi.

I controlli eseguiti hanno avuto in primo luogo lo scopo  di sensibilizzare gli operatori del settore circa il rispetto delle disposizioni di legge e delle prescrizioni impartite dal Garante.

 

Judge_HammerViolazioni della normativa privacy

In 9 casi sono state accertate e contestate violazioni amministrative al Codice Privacy relativamente a:

  • conservazione dei dati di traffico oltre i termini previsti
  • mancata adozione delle misure minime di sicurezza
  • mancata adozione di alcune delle ulteriori misure di protezione prescritte dal Provvedimento del Garante, quali:
    • l’uso di tecnologie di riconoscimento biometrico per selezionare l’accesso ai dati
    • la cifratura dei dati.

Due sono state le segnalazioni al Ministero dello sviluppo economico per l’eventuale contestazione della violazione relativa alla mancata conservazione dei dati di traffico o alla loro conservazione per un tempo inferiore a quello previsto.

E’ stata, infine, predisposta una segnalazione all’Autorità Giudiziaria per l’ipotesi di reato di violazione delle misure minime di sicurezza.

Al di là dei profili sanzionatori, il Garante dovrà ora valutare, caso per caso, la congruità delle misure adottate nonché la liceità dei trattamenti con riferimento, in particolare, al profilo, emerso in taluni casi, del trasferimento all’estero dei dati.

In ultima analisi, il messaggio che si è inteso veicolare mediante l’attività ispettiva in questione è stato quello che gli operatori del settore devono garantire la massima riservatezza dei dati di traffico generati dagli utenti dei propri servizi.

 

Ai sindacati niente dati nominativi sul lavoro straordinario

Overtime BusinessmanLe pubbliche amministrazioni, in assenza di disposizioni normative o di specifiche clausole contenute in contratti collettivi, non possono comunicare le ore di straordinario svolte da un dipendente indicando anche il nome e il cognome dello stesso. Le comunicazioni vanno fatte in forma anonima o aggregata.

Lo ha stabilito il Garante privacy che ha imposto al Dipartimento dell’amministrazione penitenziaria del Ministero della giustizia di interrompere la trasmissione alle organizzazioni sindacali dei dati relativi alle ore di straordinario effettuate da un commissario di polizia penitenziaria.

L’interessato, non iscritto ad alcun sindacato, aveva lamentato la comunicazione in forma nominativa, alle organizzazioni sindacali del comparto sicurezza, del prospetto concernente le prestazioni di lavoro straordinario da lui effettuate e le relative competenze. Ritenendo violate le norme sulla privacy, aveva chiesto che il Dipartimento cessasse tale trattamento illecito dei dati.

Non avendo ottenuto riscontro, si era è rivolto dunque all’Autorità chiedendo che i suoi dati personali non venissero né trasmessi alle OO.SS., né affissi e quindi diffusi in locali comuni.

privacy-dati-dipendenti-300x300L’intervento del Garante

L’istruttoria condotta dal Garante ha messo in luce come nel caso in questione non esistono né disposizioni normative né disposizioni contenute in accordi sindacali di settore che legittimino la trasmissione in forma nominativa di informazioni relative alle ore di straordinario svolto dai dipendenti dell’Amministrazione penitenziaria: l’Accordo Nazionale quadro per il personale del Corpo di polizia penitenziaria, risalente al 2004,  prevede infatti solo la comunicazione in forma anonima dei prospetti delle prestazioni di lavoro straordinario.

Nella sua decisione l’Autorità ha richiamato inoltre quanto previsto dalle Linee guida del Garante del 14 giugno 2007, sul trattamento dei dati personali nel rapporto di lavoro pubblico, le quali stabiliscono che l’amministrazione pubblica può fornire alle organizzazioni sindacali dati numerici e aggregati e non anche quelli riferibili ad uno o più lavoratori individuabili.

Nell’accogliere dunque il ricorso dell’interessato e ritendendo pertanto illecito il trattamento effettuato dall’amministrazione penitenziaria, l’Autorità ha disposto il blocco dell’ulteriore comunicazione dei dati del dipendente addebitando le spese del ricorso al Ministero.

Sull’autobus una telecamera che registra gli incidenti

bus-driver-1Sì alle telecamere sugli autobus per registrare gli incidenti, ma no alle registrazioni audio.

Il Garante per la privacy ha autorizzato la società concessionaria del servizio di trasporto pubblico locale di Bergamo e di altri ventisette comuni dell’area urbana ad installare sul parabrezza anteriore dei propri veicoli un dispositivo che in caso di incidenti consente di registrare le immagini  della sede stradale e quelle della zona interna del mezzo di trasporto, nei venti secondi precedenti e successivi all’evento

Con l’impiego di questo sistema di rilevazione  –   che non riprende il conducente  –   la società tramviaria intende agevolare la ricostruzione dei sinistri in cui sono coinvolti gli autobus, salvaguardare quindi i beni aziendali e indirettamente  accrescere la sicurezza di utenti e dipendenti. 

Hand_Do_NotLe prescrizioni del Garante

Nel dare il via libera l’Autorità ha chiesto però ulteriori garanzie.

  • Il sistema non dovrà registrare le conversazioni a bordo dell’autobus e i passeggeri dovranno essere informati della sua presenza anche attraverso cartelli con disegni stilizzati,  ben visibili sui mezzi di trasporto.
  • La società inoltre, dovrà rendere interamente “trasparenti” i trattamenti di dati personali effettuati portandoli a conoscenza dei dipendenti e in particolare dei conducenti dei veicoli.
  • Un’informativa dettagliata rivolta alla collettività  dovrà essere pubblicata anche sul sito web, nelle registrazioni, infatti, oltre i passeggeri potrebbero essere ripresi i conducenti di altri veicoli o altre persone presenti sulla sede stradale. 
  • Alla società infine,  è stato ordinato di predisporre meccanismi di integrale cancellazione automatica delle informazioni allo scadere  del termine (24 mesi)  previsto dal codice civile  per far valere  eventuali pretese  di risarcimento danni prodotti dalla circolazione dei veicoli e di adottare adeguate misure di sicurezza per preservare l’integrità dei dati e  prevenire accessi abusivi da parte di personale non autorizzato