Dai Garanti privacy del mondo un piano per l’educazione digitale

app_privacyAttenzione ai rischi di “appificazione” della società: i Garanti del mondo varano un piano per l’educazione digitale.

Si è conclusa ieri, con l’adozione di ben otto Risoluzioni, la 35ma Conferenza internazionale sulla privacy che ha visto riunite a Varsavia le Autorità garanti per la protezione dei dati di tutto il mondo.

Particolare interesse riveste la Risoluzione, sostenuta con forza dal Garante italiano, con la quale la Conferenza ha adottato un programma comune che impegna i governi a promuovere  l’educazione digitale di tutti i cittadini, senza distinzione di età, esperienza o ruolo rivestito.

Principi

Il programma fissa cinque principi:

  1. assicurare una protezione particolare ai minori nel mondo digitale;
  2. garantire una formazione permanente sulla tecnologia digitale;
  3. raggiungere un giusto equilibrio tra opportunità e rischi presenti nella tecnologia digitale;
  4. promuovere il rispetto degli utenti;
  5. diffondere un pensiero critico sull’uso delle nuove tecnologie.

Obiettivi

A sostegno di questi principi i Garanti dei diversi continenti hanno individuato anche quattro obiettivi operativi:

  1. promuovere, nell’ambito dei programmi di alfabetizzazione digitale, una educazione sulla privacy;
  2. giocare un ruolo nella “formazione dei formatori” in materia di protezione dei dati personali;
  3. sviluppare settori particolarmente innovativi, specialmente nel campo della “privacy by design”;
  4. formulare raccomandazioni e buone pratiche sull’uso delle nuove tecnologie a favore di genitori, insegnanti, minori, aziende.

Altre tematiche affrontate

Le altre Risoluzioni hanno riguardato una serie di importanti questioni:

  • la necessità che imprese e governi assicurino la massima trasparenza nel trattamento dei dati dei cittadini;
  • l’esigenza che l’attività di profilazione si basi su una preliminare valutazione di impatto-privacy, garantisca trasparenza agli interessati e ponga particolare attenzione alla tutela dei minori;
  • l’attenzione da porre ai rischi legati più in generale al ricorso crescente al tracciamento della navigazione sul web (web tracking), che deve essere reso più trasparente ed ispirarsi ai principi detti di “privacy by design”;
  • l’obiettivo di pervenire ad un maggiore coordinamento tre le Autorità per aumentare l’efficacia delle attività di enforcement;
  • la necessità di adottare un piano strategico di azione per il biennio 2014-2015 finalizzato innanzitutto alla creazione di una rete globale di regolatori;
  • la necessità di un accordo internazionale vincolante che salvaguardi i diritti umani attraverso un corretto equilibrio tra sicurezza, interessi economici e libertà di espressione.

yellow_button_35_Int_Conf

La Conferenza ha anche adottato una dichiarazione sui rischi e le sfide posti dal crescente uso delle app tanto da permettere di parlare di una vera e propria “appificazione” della società.

 

Regioni: diritto di accesso dei consiglieri nel rispetto della privacy

privacy-475x3161I consiglieri regionali possono accedere ad atti e documenti contenenti dati personali dei cittadini solo per finalità legate al loro mandato.

Lo ha chiarito il Garante per la protezione dei dati personali nel parere favorevole [doc. web n. 2576905] reso sulla versione aggiornata dello schema tipo di regolamento, predisposto dalla Conferenza dei presidenti delle assemblee legislative delle regioni e delle province autonome, sul trattamento di dati personali sensibili e giudiziari presso i consigli, rispetto al quale ha tuttavia chiesto alcune integrazioni.

L’Autorità ha chiesto, in particolare, di specificare che le richieste di accesso ai documenti, da parte dei consiglieri, possono essere accolte solo se riconducibili alle “esclusive” finalità di rilevante interesse pubblico “direttamente connesse all’espletamento di un mandato elettivo”.

Nel rendere il suo parere, il Garante ha chiesto, inoltre, ai consigli di adottare modalità tali da assicurare che l’accesso dei consiglieri comporti il minor pregiudizio possibile alla vita privata delle persone cui si riferiscono i dati oggetto dell’istanza di accesso.

Speciali cautele sono state definite anche per le informazioni sulla vita sessuale dei reclusi, che potrebbero essere trattate dai Garanti regionali per i diritti dei detenuti.

La richiesta di parere da parte della Conferenza sul nuovo schema tipo si è resa necessaria a causa del mutato quadro normativo che regola le attività istituzionali dei consigli.

Va ricordato a tale proposito che il Codice privacy prevede, infatti, che per poter raccogliere, utilizzare, elaborare, conservare, comunicare dati sensibili e giudiziari indispensabili allo svolgimento delle loro attività istituzionali, le regioni e le province autonome, come altri soggetti pubblici, debbano adottare specifici regolamenti.

Questi regolamenti individuano e rendono noti ai cittadini quali dati vengono usati e per quali fini.

 

Scuole: no alle impronte digitali per professori e personale amministrativo

fingerprint1No all’uso delle impronte digitali dei professori e del personale amministrativo tecnico e ausiliario (Ata) per rilevare la loro presenza a scuola.

Lo ha stabilito il Garante privacy [doc. web nn. 25785472502951 e 2503101] nel vietare a un istituto tecnico industriale e a due licei scientifici l’ulteriore trattamento dei dati biometrici dei lavoratori effettuato in violazione delle norme in materia di protezione dei dati personali.

Il Garante, intervenuto a seguito di segnalazioni e notizie di stampa, ha detto no all’uso generalizzato delle impronte digitali perché eccedente e sproporzionato rispetto allo scopo perseguito dalle scuole di controllare le presenze sul posto di lavoro e contrario quindi ai principi di liceità, necessità e non eccedenza stabiliti dal Codice.

Come più volte precisato dal Garante, infatti, l’impiego di dati così delicati può essere ritenuto lecito solo in  specifici casi: ad esempio, per accedere ad aree aziendali riservate in cui si svolgono particolari attività o a imprese collocate in zone a rischio.

Per controllare il rispetto dell’orario di lavoro  – ha affermato il Garante – la scuola può disporre di sistemi meno invasivi della sfera personale, della libertà  individuale e della dignità del lavoratore.

L’Autorità, infine, ha dichiarato illecito e ha vietato anche l’uso delle immagini raccolte tramite un impianto di videosorveglianza installato all’interno di uno dei due licei,  all’insaputa di docenti, personale Ata e studenti. Il divieto riguarda il trattamento effettuato nel periodo antecedente alla sua  disattivazione da parte della Direzione territoriale del lavoro per violazione delle norme sul controllo a distanza dei lavoratori.

 

Scuole: sì alla trasparenza, ma senza violare la privacy

Paolo Mazzolari 11 settembre 2013

privacy-studenti

Graduatorie on line e moduli di iscrizione solo con dati pertinenti.
No alla pubblicazione sul web dei nomi degli studenti le cui famiglie sono in ritardo nel pagamento della retta per la mensa.
Vietato diffondere telefono e indirizzo di personale scolastico e studenti.

In occasione dell’avvio dell’anno scolastico, il Garante per la privacy ricorda alle scuole di ogni ordine e grado la necessità di tenere presente alcuni principi stabiliti nei provvedimenti adottati in questi anni in materia di trasparenza in ambito scolastico, a tutela dei dati degli studenti e dei lavoratori che operano nel mondo dell’istruzione.

Numerosi sono, infatti, i casi in cui istituti e pubbliche amministrazioni, per un’errata interpretazione della normativa sulla trasparenza o per semplice disattenzione, rendono accessibili informazioni che dovrebbero restare riservate, mettendo in questo modo a rischio la riservatezza e la dignità delle persone.

graduatorieLe graduatorie

Il Garante è intervenuto più volte contro illeciti compiuti nella pubblicazione on line di graduatorie di vario tipo, le quali spesso contengono dati personali non pertinenti o eccedenti le finalità istituzionali perseguite.

Alcuni Comuni, ad esempio, hanno pubblicato on line le graduatorie di chi ha diritto ad usufruire del servizio di scuolabus includendo tra le varie informazioni liberamente accessibili, non solo i dati identificativi dei bambini, ma anche l’indirizzo di residenza e il luogo preciso dove lo scuolabus li avrebbe fatti salire e scendere. La diffusione di questi dati, oltre a comportare una violazione della normativa, può rendere i minori facile preda di malintenzionati.

Un altro caso frequente riguarda la pubblicazione sui siti Internet degli istituti delle graduatorie di docenti e personale amministrativo tecnico e ausiliario (Ata) per consentire a chi ambisce a incarichi e supplenze di conoscere la propria posizione e punteggio. Tali liste, giustamente accessibili a tutti, non devono però contenere, come in diversi casi segnalati al Garante, i numeri di telefono e gli indirizzi privati dei candidati. Questa illecita diffusione dei contatti personali incrementa, tra l’altro, il rischio di esporre i lavoratori a forme di stalking o a possibili furti di identità.

mensa_scolasticaIl servizio mensa

Il Garante ricorda che è illecito pubblicare sul sito della scuola il nome e cognome degli studenti i cui genitori sono in ritardo nel pagamento della retta o del servizio mensa. Lo stesso vale per gli studenti che usufruiscono gratuitamente del servizio in quanto appartenenti a famiglie con reddito minimo o a fasce deboli. Gli avvisi messi on line devono avere carattere generale, mentre alle singole persone ci si può rivolgere con comunicazioni di carattere individuale.

A salvaguardia della trasparenza sulla gestione delle risorse scolastiche, restano ferme le regole sull’accesso ai documenti amministrativi da parte delle persone interessate.

scuola-1024x768L’iscrizione a scuole e asili

Gli istituti scolastici e gli asili nido, così come i Comuni, devono predisporre con cura i moduli di iscrizione di bambini e studenti, così da non chiedere alle famiglie informazioni personali eccedenti e non rilevanti.

Particolare attenzione deve essere posta sull’eventuale raccolta di dati sensibili, come quelli sulle condizioni di salute e sull’appartenenza etnica o religiosa. Il trattamento di questi dati, oltre a dover essere espressamente previsto dalla normativa, richiede infatti speciali cautele e può essere effettuato solo se i dati sensibili sono indispensabili per l’attività istituzionale svolta: non è questo il caso della semplice iscrizione a scuola.

L’Autorità segnala, infine che, allo scopo di fornire un quadro organico in materia di protezione dei dati personali nel mondo della scuola, e affrontare nel contempo le problematiche legate all’uso di Internet e delle nuove tecnologie, verranno adottate presto specifiche Linee guida in materia.

I nuovi delitti privacy dell’articolo 24-bis Decreto Legislativo 231/2001

Paolo Mazzolari 10 settembre 2013

privacy-231

Come approfondito nel precedente Post Responsabilità degli enti in sede penale anche per i delitti in materia di privacy, il Decreto-Legge 14 agosto 2013, n. 93, recante “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province” (in G.U. n. 191 del 16 agosto 2013 e in vigore dal 17 agosto), dispone un’importante integrazione del Decreto Legislativo 231/2001 (responsabilità da reato degli enti collettivi).

Riportiamo di seguito il testo aggiornato dell’articolo 24-bis (Delitti informatici e trattamento illecito di dati), con evidenza in grassetto delle modifiche menzionate

  1. In relazione alla commissione dei delitti di cui  agli  articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice  penale  nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo  III,  Capo II del decreto legislativo 30 giugno  2003,  n.  196, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote.
  2. In relazione alla commissione dei delitti di cui  agli  articoli 615-quater e 615-quinquies del codice penale, si applica all’ente  la sanzione pecuniaria sino a trecento quote.
  3. In relazione alla commissione dei delitti di cui  agli  articoli 491-bis e 640-quinquies del  codice penale,  salvo  quanto  previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote.
  4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei  casi  di  condanna  per  uno  dei  delitti indicati nel comma 2 si applicano le sanzioni  interdittive  previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna  per uno dei delitti  indicati  nel  comma  3  si  applicano  le  sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).

Come segnalato dalla Corte di Cassazione, con la recente Relazione III/01/2013 del 22/8/2013, la previsione dei delitti in tema di privacy risulta di grande impatto, soprattutto per la configurazione della responsabilità da reato per l’illecito trattamento dei dati.

Si tratta di violazioni potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del DLgs 231/2001.

Di seguito nel dettaglio i nuovi delitti privacy che dal 17 agosto sono entrati nel DLgs 231 aggiungendosi così ai reati presupposto che fanno scattare la responsabilità dell’Ente.

I delitti privacy di cui dall’Art. 167 DLgs 196/2003 –  Trattamento illecito di dati

Art. 17. Trattamento che presenta rischi specifici

1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti.

2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.

Art. 23. Consenso

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

2. Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.

3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13.

4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

Art. 25. Divieti di comunicazione e diffusione

1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria:

a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell’articolo 11, comma 1, lettera e);

b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.

2. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell’articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

Art. 26. Garanzie per i dati sensibili

1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.

3. Il comma 1 non si applica al trattamento:

a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante;

b) dei dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria;

b­bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5­bis. 


4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:

a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o diffusi e l’ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13;

b) quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2;

c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;

d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’articolo 111.

5. I dati idonei a rivelare lo stato di salute non possono essere diffusi.

Art. 27. Garanzie per i dati giudiziari

1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Si applica quanto previsto dall’articolo 21, comma 1 bis.

Art. 45. Trasferimenti vietati

1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.

Art. 123. Dati relativi al traffico

1. I dati relativi al traffico riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica, fatte salve le disposizioni dei commi 2, 3 e 5.

2. Il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per il contraente, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale.

3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i dati di cui al comma 2 nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se il contraente o l’utente cui i dati si riferiscono hanno manifestato preliminarmente il proprio consenso, che è revocabile in ogni momento.

4. Nel fornire l’informativa di cui all’articolo 13 il fornitore del servizio informa il contraente o l’utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata del medesimo trattamento ai fini di cui ai commi 2 e 3.

5. Il trattamento dei dati personali relativi al traffico è consentito unicamente ad incaricati del trattamento che operano ai sensi dell’articolo 30 sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni e che si occupano della fatturazione o della gestione del traffico, di analisi per conto di clienti, dell’accertamento di frodi, o della commercializzazione dei servizi di comunicazione elettronica o della prestazione dei servizi a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per lo svolgimento di tali attività e deve assicurare l’identificazione dell’incaricato che accede ai dati anche mediante un’operazione di interrogazione automatizzata.

6. L’Autorità per le garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari ai fini della risoluzione di controversie attinenti, in particolare, all’interconnessione o alla fatturazione.

Art. 126. Dati relativi all’ubicazione

1. I dati relativi all’ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o ai contraenti di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l’utente o il contraente ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto.

2. Il fornitore del servizio, prima di richiedere il consenso, informa gli utenti e i contraenti sulla natura dei dati relativi all’ubicazione diversi dai dati relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto.

3. L’utente e il contraente che manifestano il proprio consenso al trattamento dei dati relativi all’ubicazione, diversi dai dati relativi al traffico, conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice, l’interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni.

4. Il trattamento dei dati relativi all’ubicazione diversi dai dati relativi al traffico, ai sensi dei commi 1, 2 e 3, è consentito unicamente ad incaricati del trattamento che operano ai sensi dell’articolo 30, sono la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per la fornitura del servizio a valore aggiunto e deve assicurare l’identificazione dell’incaricato che accede ai dati anche mediante un’operazione di interrogazione automatizzata.

Art. 129. Elenchi di contraenti

1. Il Garante individua con proprio provvedimento, in cooperazione con l’Autorità per le garanzie nelle comunicazioni ai sensi dell’articolo 154, comma 3, e in conformità alla normativa comunitaria, le modalità di inserimento e di successivo utilizzo dei dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico, anche in riferimento ai dati già raccolti prima della data di entrata in vigore del presente codice.

2. Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso all’inclusione negli elenchi e, rispettivamente, all’utilizzo dei dati per le finalità di cui all’articolo 7, comma 4, lettera b), in base al principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca del contraente per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tali fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri.

Art. 130. Comunicazioni indesiderate

1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente

2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.

3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24 nonchè ai sensi di quanto previsto dal comma 3­bis del presente articolo.

bis. In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui all’articolo 129, comma 1, mediante l’impiego del telefono e della posta cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all’articolo 129, comma 1, in un registro pubblico delle opposizioni.

ter. Il registro di cui al comma 3­bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell’Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e princìpi generali:

a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo pubblico titolare di competenze inerenti alla materia;


b) previsione che l’ente o organismo deputato all’istituzione e alla gestione del registro vi provveda con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali tariffe;

c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via telematica o telefonica; d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;

e) disciplina delle tempistiche e delle modalità dell’iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l’iscrizione abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;

f) obbligo per i soggetti che effettuano trattamenti di dati per le finalità di cui all’articolo 7, comma 4, lettera b), di garantire la presentazione dell’identificazione della linea chiamante e di fornire all’utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;
g) previsione che l’iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24.

quater. La vigilanza e il controllo sull’organizzazione e il funzionamento del registro di cui al comma 3­bis e sul trattamento dei dati sono attribuiti al Garante. (4)

4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

5. É vietato in ogni caso l’invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l’identità del mittente o in violazione dell’articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’articolo 7, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003.

6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi dell’articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.

 

I delitti privacy di cui all’Art. 168 DLgs 196/2003  –  Falsità nelle dichiarazioni e notificazioni al Garante

Art. 32­bis Adempimenti conseguenti ad una violazione di dati personali

1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.

8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l’erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest’ultimo di effettuare gli adempimenti di cui al presente articolo.

Art. 37. Notificazione del trattamento

1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

1­bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all’attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale

 

I delitti privacy di cui all’Art. 170 DLgs 196/2003 – Inosservanza di provvedimenti del Garante DLgs 196/2003

Art. 26. Garanzie per i dati sensibili

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.

Art. 90. Trattamento dei dati genetici e donatori di midollo osseo

Il trattamento dei dati genetici da chiunque effettuato è consentito nei soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute, che acquisisce, a tal fine, il parere del Consiglio superiore di sanità.

L’autorizzazione di cui al comma 1 individua anche gli ulteriori elementi da includere nell’informativa ai sensi dell’articolo 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi.

Il donatore di midollo osseo, ai sensi della legge 6 marzo 2001, n. 52, ha il diritto e il dovere di mantenere l’anonimato sia nei confronti del ricevente sia nei confronti di terzi.

Art. 143. Procedimento per i reclami

1 Esaurita l’istruttoria preliminare, se il reclamo non è manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento:

c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;

Art. 150. Provvedimenti a seguito del ricorso

1 Se la particolarità del caso lo richiede, il Garante può disporre in via provvisoria il blocco in tutto o in parte di taluno dei dati, ovvero l’immediata sospensione di una o più operazioni del trattamento. Il provvedimento può essere adottato anche prima della comunicazione del ricorso ai sensi dell’articolo 149, comma 1, e cessa di avere ogni effetto se non è adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile unitamente a tale decisione.

2 Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell’interessato e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione, equivale a rigetto.

 

Responsabilità degli Enti in sede penale anche per delitti in materia di privacy

Matteo Moi 10 settembre 2013

privacy_pls_4

Dal 17 agosto 2013 alcuni importanti delitti in materia di privacy si aggiungono ai reati presupposto che fanno scattare la responsabilità dell’ente, in sede penale, ai sensi del DLgs 231/2001.

Si tratta dei delitti di:

  • trattamento illecito dei dati (art. 167 del DLgs 196/2003)
  • falsità nelle dichiarazioni al Garante (art. 168 del DLgs 196/2003)
  • inosservanza di provvedimenti del Garante (art. 168 del DLgs 196/2003)

Lo prevede l’articolo 9 del Decreto Legge 93/2013 (il cosiddetto “decreto sul femminicidio”, che in realtà contiene anche altre norme rilevanti) che ha ampliato l’art. 24-bis del DLgs 231/2001 (Frode informatica e trattamento illecito dei dati).

231231, responsabilità e sanzioni

Il DLgs 231/2001 estende agli enti collettivi (persone giuridiche, società e associazioni) la responsabilità per alcuni reati commessi nell’interesse o a vantaggio degli stessi, da persone fisiche in posizione apicale o subordinata. Tale responsabilità, accertata in tribunale da un giudice penale, prevede sanzioni formalmente amministrative (pecuniarie o interdittive) ma particolarmente afflittive e di natura sostanzialmente penale.

In aggiunta alla responsabilità della persona fisica che realizza l’eventuale fatto illecito in materia di privacy è ora prevista anche la responsabilità dell’Ente; alle sanzioni per le persone fisiche già previste dal DLgs 196/2003 (da 3 mesi a 3 anni di reclusione) si aggiungono quindi le sanzioni per l’Ente previste dal DLgs 231/2001 :

  • sanzioni pecuniarie da 100 a 500 quote, quindi da un minimo di 25.800,00 € ad un massimo di 774.500,00  (una quota singola può variare da un minimo di 258 fino a un massimo di 1.549 euro), quantificate in modo proporzionale alle capacità economiche e patrimoniali dell’azienda, tenendo conto della gravità del fatto, del grado di responsabilità e dell’eventuale ravvedimento posto in essere
  • l´interdizione dall’esercizio dell´attività
  • la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell´illecito
  • il divieto di pubblicizzare beni o servizi

 

pro_civInversione dell’onere della prova e principio dell’esimente

Se il reato privacy è stato commesso da persone in posizione apicale la responsabilità dell’ente è presunta (presunzione di colpevolezza), in tal caso l’onere della prova è a carico dell’ente che deve dimostrare la propria innocenza (“probatio diabolica”).

Il meccanismo adottato nella norma è quindi un’ «inversione dell’onere della prova» rispetto al nostro ordinamento che, normalmente, considera ciascuno innocente fin tanto che non sia provata la sua colpevolezza.

Nell’ottica del decreto 231, invece, per essere ritenuta incolpevole ed evitare la responsabilità amministrativa, l’azienda/ente titolare del trattamento di dati dovrà dimostrare al giudice di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy indicati nel DL 93.

Se il reato è stato invece commesso da persone in posizione subordinata rimane la presunzione di innocenza dell’ente, in tal caso l’onere della prova è a carico del pubblico ministero

In entrambi i casi l’Ente non è responsabile (principio dell’esimente) se

  • l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi.
  • il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento e’ stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza, OdV)
  •  le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
  •  non vi e’ stata omessa o insufficiente vigilanza da parte dell’OdV

 

complianceCosa fare per adeguarsi

Chi aveva già adottato un modello organizzativo, dovrà:

  • Riesaminare la mappatura delle attività sensibili. Identificare le attività nel cui ambito possono essere commessi i tre delitti privacy e le potenziali modalità di commissione dei reati, attraverso un’accurata analisi di processi e procedure;
  • Analizzare e valutare i rischi, in termini di impatto e probabilità, valutando anche l’idoneità delle procedure/protocolli già in essere per la compliance privacy.

 Nel caso in cui i livelli di rischio siano sensibili, dovrà anche

  • Introdurre eventuali nuove misure idonee a prevenire i delitti privacy (modifiche al codice etico, nuove procedure, parti speciali del modello 231, organigramma della privacy, formazione, audit, etc)
  • Introdurre specifici obblighi informativi verso l’organismo di vigilanza
  • prevedere un sistema disciplinare sanzionatorio per chi non rispetta le regole privacy
  • introdurre per l’organismo di vigilanza (Odv) l’attività di vigilanza sul funzionamento e sull’osservanza anche delle parti speciali/procedure/protocolli relativi al trattamento dei dati

common-practices-300x298Obbligatorietà o facoltatività del Modello?

L’adozione di un modello organizzativo inclusivo dell’ambito privacy è tecnicamente facoltativo anche se, come detto, l’idoneità del modello esistente esime l’azienda da responsabilità 231.

Nella prassi, tale conformità spesso costituisce un presupposto per partecipare a gare pubbliche o selezioni private, vista la crescente sensibilità dei committenti al rispetto di atteggiamenti aziendali anticrimine, da parte dell’intera filiera di cui essi sono parte.

La dotazione di un sistema di buona organizzazione data protection assurge a requisito che il mondo industriale invoca oramai a livello internazionale, anche per il rispetto di un generale principio di sana concorrenza.

L’ente, infatti, attraverso la ricognizione delle attività a rischio e della individuazione delle responsabilità interne, è in grado di monitorare e meglio utilizzare le risorse umane e strategiche, apprezzandone le inevitabili economie di scala che ne incrementano la competitività.

20110606142415Codice privacy e Garante

Come segnala la Corte di Cassazione, con la recente Relazione III/01/2013 del 22/8/2013, la previsione dei delitti in tema di privacy risulta di grande impatto, soprattutto per la configurazione della responsabilità da reato per l’illecito trattamento dei dati.

Si tratta di violazioni potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del DLgs 231/2001.

Nei prossimi Post approfondiremo nel dettaglio i nuovi delitti privacy che dal 17 agosto sono entrati nel DLgs 231 aggiungendosi così ai reati presupposto che fanno scattare la responsabilità dell’ente, ovvero:

  • Trattamento illecito dei dati
  • Falsità nelle dichiarazioni al Garante
  • Inosservanza di provvedimenti del Garante

Pa: gestione del rapporto di lavoro e dati sulla salute

universita-tagliViola le norme sulla protezione dei dati personali la Pubblica amministrazione che comunica indebitamente informazioni sullo stato di salute di un proprio dipendente a terzi.

Lo ha affermato il Garante privacy [doc. web n. 2576686] il quale, intervenuto a seguito della segnalazione di una professoressa universitaria, ha ritenuto illecita la comunicazione ad altri docenti di un decreto rettorale contenente informazioni sensibili che la riguardavano e ha prescritto all’amministrazione di conformare la gestione del trattamento dei dati personali alla disciplina del Codice privacy.

In particolare, la segnalante lamentava il fatto che

  • copia integrale del decreto rettorale che la collocava in “interdizione dal lavoro” e quindi in “congedo per maternità” fosse stata inviata a un docente in servizio presso un’altra Facoltà, diffondendo informazioni molto delicate sulla sua salute.
  • tale documento, inoltre, eveniva allegato dalla segreteria amministrativa al modulo di richiesta di affidamento dell’insegnamento che si sarebbe reso vacante, rendendo note le condizioni di salute della professoressa anche a tutti i docenti membri del Consiglio di Facoltà tenuti a deliberare sull’assegnazione della cattedra.

alert-icon-redIlliceità del trattamento

Nel dichiarare illecito il trattamento, il Garante ha rilevato la presenza di dati sensibili nel decreto rettorale, poiché le informazioni relative alla “interdizione dal lavoro” ai sensi della legge 151/2001, espressamente richiamata nel decreto, fanno riferimento a “gravi complicanze della gravidanza o a persistenti forme morbose che si presume possano essere aggravate dalla gravidanza”, in base alle quali la Direzione provinciale del Lavoro e la Asl dispongono l’interdizione.

Il Garante ha ribadito inoltre che, nel caso di specie, gli stessi dati sensibili potevano essere trattati soltanto dagli organismi espressamente indicati nel regolamento di Ateneo per le finalità di gestione del rapporto di lavoro, mentre non dovevano essere comunicati a terzi.

L’inclusione di dati sensibili nel decreto, infine, è avvenuta anche in violazione del principio di necessità, poiché non era indispensabile, ai fini dell’assegnazione dell’incarico resosi vacante, mettere a conoscenza i docenti dei motivi dell’assenza della professoressa.