La nuova guida del Garante privacy per aiutare le imprese

downloadProposte 10 pratiche aziendali per migliorare il business e valorizzare il corretto utilizzo dei dati

La corretta adozione di semplici misure a protezione dei dati personali può contribuire a rendere più efficiente l’organizzazione dell’impresa e a ridurre sensibilmente i potenziali rischi a cui la stessa si espone sul mercato, ma può rappresentare anche un vantaggio competitivo.

Per questi motivi, l’Autorità ha predisposto una breve guida – “La privacy dalla parte dell’impresa – Dieci pratiche aziendali per migliorare il proprio business”.

L’obiettivo è quello di aiutare le imprese a valorizzare il proprio patrimonio dati, trasformando la privacy da costo a risorsa, senza per questo ridurre le tutele dei diritti fondamentali della persona.

Il Garante per la privacy ha individuato dieci “best practice” che possono migliorare:

  • non solo l’immagine dell’impresa, come soggetto attento al principio di “responsabilità sociale”,
  • ma anche la propria capacità di business, aumentando la fiducia di utenti e consumatori nella serietà e affidabilità dell’attore economico.

Il vademecum richiama regole fondamentali e consigli pratici – che vanno dalla selezione del personale all’uso delle nuove tecnologie, dalla trasparenza alle misure di sicurezza – per utilizzare e proteggere al meglio i dati personali trattati. L’imprenditore potrà trovare anche riferimenti alle principali modalità semplificate che l’Autorità ha, nel tempo, indicato alle aziende per ottenere una conformità sostanziale alla protezione dei dati, evitando attività inutili e meramente formali.

La guida
La guida è suddivisa in dieci brevi capitoli:

  1. “Il valore dei dati”
  2. “A ciascuno le sue responsabilità”
  3. “Trasparenza e correttezza nel business”
  4. “Curriculum & Co.”
  5. “Trattamenti “a rischio”
  6. “Tecnologie per l’impresa”
  7. “Difesa del patrimonio dati”
  8. “Controllo del “controllore informatico”
  9. “L’ “export” dei dati”
  10. “Verso una “customer care dei dati”

Ogni capitolo affronta una differente pratica aziendale e alcuni dei benefici diretti e indiretti generati dalle misure adottate per tutelare i dati personali.

La nuova guida sarà distribuita al Forum Pa, in programma dal 28 al 30 maggio 2013 al Palazzo dei Congressi di Roma, presso lo stand del Garante.

Annunci

Webcam negli asili nido: lasciamo in pace i bambini

asilo-nidoNo all’uso generalizzato di webcam negli asili nido. La tutela della personalità e della riservatezza dei minori deve prevalere rispetto alle esigenze di genitori e strutture scolastiche.

Lo ha stabilito il Garante privacy [doc. web n. 2433401] che ha vietato l’uso delle webcam installate in un asilo nido privato di Ravenna. Nel corso dell’istruttoria avviata a suo tempo dall’Autorità per conoscere le modalità di funzionamento e gli scopi delle webcam, la società che gestisce l’asilo aveva spiegato che il sistema era stato installato come deterrente contro i malintenzionati, ma soprattutto per fornire un servizio che consentisse via web, ai genitori impegnati al lavoro, di monitorare costantemente in presa diretta ciò che i loro figli facevano.

La “tranquillità dei genitori”

Nel suo provvedimento il Garante ha ricordato innanzitutto, anche in riferimento a quanto precisato dalla Commissione europea, che l’impiego di sistemi di videosorveglianza deve risultare effettivamente necessario e proporzionato agli scopi che si intendono perseguire, tanto più quando si tratta di dispositivi particolarmente invasivi come le webcam.

L’installazione di webcam, per stessa ammissione dell’asilo nido, era finalizzata a venire incontro alla tranquillità dei genitori piuttosto che a salvaguardare la sicurezza dei minori.

Ma anche ammesso che l’obiettivo fosse quello di tutelare l’incolumità dei minori, tale finalità andrebbe comunque perseguita bilanciandola con altri interessi fondamentali del bambino, quali la sua riservatezza e il libero sviluppo della sua personalità. Non sono emersi, peraltro, neanche nelle argomentazioni addotte dall’asilo nido elementi che giustificassero il ricorso all’installazione a fini di sicurezza.

videosorveglianza2Rischi connessi al collegamento telematico

Il collegamento telematico, inoltre, non assicurava sufficienti tutele ai minori:

  • in primo luogo, la visione da parte dei genitori non era limitata alle sole attività del proprio figlio, ma si estendeva naturalmente anche a quelle degli altri minori e agli insegnanti;
  • in secondo luogo, il sistema non garantiva che anche altri, oltre ai genitori muniti di credenziali per l’accesso, potessero visionare le immagini: circostanza questa che apriva al possibile rischio che le immagini potessero poi essere registrate e usate anche a fini illeciti.

Il Garante ha dunque dichiarato illecito il trattamento dei dati operato e ha vietato all’asilo nido l’ulteriore trattamento delle immagini.

Garante dixit

“Sistemi di controllo così intrusivi come le webcam – ha commentato Antonello Soro, Presidente dell’Autorità – devono essere usati con estrema cautela perché, oltre a incidere sulla libertà di insegnamento, possono ingenerare nel minore, fin dai primi anni di vita, la percezione che sia “normale” essere continuamente sorvegliati, come pure condizionare la spontaneità del rapporto con gli insegnanti.

La tranquillità dei genitori non può essere raggiunta a scapito del libero sviluppo dei figli. Non possiamo, per placare le nostre ansie di adulti, trasformare la società in cui viviamo in un mondo di ipersorvegliati, a partire dai nostri bambini”.

 

Stop alle telecamere occulte sul posto di lavoro

CAMERA29 4/4 AWIl Garante per la privacy ha vietato alla società editrice di un quotidiano del sud il trattamento dei dati personali effettuato attraverso apparati di ripresa installati in modo occulto presso la propria sede.

Dagli accertamenti effettuati dalla Guardia di Finanza su mandato del Garante, è emerso che quindici delle diciannove telecamere di cui è composto l’impianto di videosorveglianza erano state nascoste in rilevatori di fumo o in lampade di allarme, all’insaputa dei lavoratori, ai quali non era stata fornita alcuna informativa sulla presenza dell’impianto, né individualizzata, né semplificata (ad es. cartelli visibili, collocati prima del raggio di azione delle telecamere). Le uniche informazioni, peraltro insufficienti, erano scritte su un cartello di piccole dimensioni (15×15 cm), affisso a tre metri di altezza nell’ingresso del luogo di lavoro.

Nel disporre il divieto [doc. web n. 2439178], il Garante ha ritenuto che  la società  abbia operato un illecito trattamento di dati personali, avendo agito in violazione:

  • del diritto alla riservatezza e della dignità dei lavoratori, nonché
  • delle norme che ne vietano il controllo a distanza.

L’impianto, infatti, oltre a violare le norme del Codice privacy, era stato attivato senza rispettare quanto previsto dallo Statuto dei lavoratori (accordo con i sindacati o autorizzazione al Ministero del lavoro). 

A seguito dell’intervento del Garante, la società:

  • non potrà più utilizzare i dati raccolti e
  • dovrà limitarsi alla loro conservazione per consentire un’eventuale attività di accertamento da parte delle autorità competenti.

Il Garante, inoltre, avendo rilevato anche irregolarità nella raccolta dei dati personali degli abbonati alla testata giornalistica, ha prescritto alla società di riformulare la modulistica cartacea e quella online, inserendo tutte le informazioni sull’uso dei dati necessarie per renderla conforme alla normativa.

 

Marketing selvaggio: 800mila euro di sanzioni a tre società

call-center-outboundI dati di decine di milioni di persone trattati illecitamente

Il Garante della privacy ha emesso tre ordinanze ingiunzione per obbligare due importanti società di servizi informatici (Edipro S.a.s. e Consodata S.p.A.), specializzate nel settore delle banche dati [doc web nn. 2428316 e 2438949], e un operatore Tlc (Fastweb S.p.A.) [doc web n. 2368171] al pagamento di sanzioni, pari a 800.000 euro, per aver violato provvedimenti prescrittivi già adottati nel loro confronti.

Questa ulteriore azione di contrasto del telemarketing selvaggio e delle offerte promozionali indesiderate si è resa necessaria a causa delle numerose proteste che continuavano a pervenire all’Autorità in relazione a società già sottoposte a puntuali prescrizioni sul corretto utilizzo dei dati per finalità di marketing nel 2008.

Le Società di Servizi informatici

Nel corso di un’apposita attività ispettiva svolta dal Garante è emerso che, nonostante le prescrizioni imposte a suo tempo dalla stessa Autorità, le due imprese specializzate nella creazione di banche dati, avevano realizzato e venduto archivi elettronici con i dati (numeri telefonici, e-mail, indirizzi…) di decine di  milioni di persone, sfruttando in particolare le informazioni contenute, ad esempio, negli elenchi telefonici distribuiti prima del 2005 e nelle liste elettorali. Tali dati erano stati raccolti e utilizzati illecitamente, ovvero:

  • senza aver informato gli interessati e
  • senza che questi avessero fornito  uno specifico consenso
    • ad attività di marketing o
    • alla cessione delle loro informazioni personali ad altre società.

Le due società dovranno pagare, rispettivamente, una sanzione di 100.000 euro e una sanzione di 400.000 euro.

Fastweb S.p.A.

Per quanto riguarda invece l’operatore telefonico, dagli accertamenti è emerso che nonostante fosse a conoscenza dell’origine irregolare dei dati, li aveva comunque acquistati e utilizzati per contattare gli utenti e promuovere i propri prodotti e servizi tramite call center. Per tale attività, contraria alle prescrizioni del Garante su banche dati e marketing telefonico, dovrà pagare 300.000 euro. La società ha impugnato l’ordinanza.

Ulteriori ordinanze ingiunzione, oltre a quelle già definite nell’ultimo anno, saranno presto adottate nei confronti di altre società, sottoposte a ispezioni, che hanno disatteso i provvedimenti del Garante, in particolare quelli relativi al telemarketing e all’utilizzo delle banche dati.

 

 

 

 

M5S: Garante privacy, vietato pubblicare le mail hackerate.

email-hackingM5S: Garante privacy, vietato pubblicare le mail hackerate: chi le detiene dovrà cancellarle

Il Garante per la protezione dei dati personali ha disposto il divieto di divulgare e trattare ulteriormente il contenuto delle mail dei deputati del Movimento 5 Stelle [doc. web n. 2411368] originariamente diffuse in rete. Le testate giornalistiche, i siti web e chiunque detenga queste mail, per averle eventualmente scaricate, dovrà provvedere a cancellarle, anche dai propri archivi.

Dopo il primo forte monito affinché venisse rispettata la privacy dei parlamentari coinvolti, lanciato immediatamente in seguito all’hackeraggio delle mail, il Garante ha adottato ieri un provvedimento (che verrà pubblicato sulla Gazzetta Ufficiale) le cui motivazioni risiedono nella violazione di diverse norme.

L’attività compiuta a danno dei deputati configura, innanzitutto, una grave violazione di un diritto fondamentale sancito dalla Costituzione, quello alla segretezza della corrispondenza e delle comunicazioni di ogni cittadino, aggravato in questo caso dal fatto che ad essere stata violata è la corrispondenza di membri del Parlamento, tutelati da specifiche disposizioni costituzionali.

L’attività posta in essere dagli hacker, oltre che una responsabilità di natura penale (art. 616  e seguenti del codice penale) – il cui accertamento è già al vaglio dell’autorità giudiziaria – ha comportato una violazione del Codice privacy per quanto attiene a tutte le informazioni contenute nella corrispondenza che sono state diffuse all’insaputa e contro la volontà degli interessati, violando il principio generale in base al quale i dati personali dei cittadini devono essere trattati in modo lecito, secondo correttezza  e raccolti e utilizzati per scopi legittimi.

Come rilevato dal Garante, inoltre, la vicenda ha determinato la lesione del diritto alla riservatezza non solo dei diretti interessati, cioè dei parlamentari intestatari degli indirizzi di posta elettronica, ma anche di tutti coloro che sono entrati in contatto con essi tramite mail, nonché eventualmente di terzi citati nelle comunicazioni.

Alla luce di queste considerazioni, l’illiceità della iniziale acquisizione delle comunicazioni e della successiva messa a disposizione delle stesse sul web,  ha sottolineato l’Autorità, estende i suoi effetti anche ai successivi trattamenti di dati, rendendo illecita ogni altra successiva operazione di raccolta, conservazione e ulteriore utilizzo degli stessi dati.

alert-icon-redLa decisione del Garante

Il Garante ha dunque:

  • disposto il divieto di “ogni eventuale ulteriore trattamento” delle mail dei deputati M5S e ha di conseguenza
  • imposto l’obbligo per chi le detiene di provvedere alla loro cancellazione.

Il mancato rispetto delle prescrizioni del Garante espone a sanzioni amministrative e penali.