Nuovo Regolamento Ue sulla privacy: dal Garante la prima Guida applicativa

ilnuovoregUEPRIVACYIl Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L’obiettivo della Guida è duplice:

  • da una parte offrire un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy;
  • dall’altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche:

  1. Fondamenti di liceità del trattamento;
  2. Informativa;
  3. Diritti degli interessati;
  4. Titolare, responsabile, incaricato del trattamento;
  5. Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
  6. Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre  nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

Annunci

E-privacy, ok dei Garanti Ue a regole più stringenti ed estese anche ai colossi della rete

e-privacy_blogpost_picParere favorevole delle Autorità europee per la protezione dei dati (Gruppo Articolo 29) sulla proposta di Regolamento della Commissione europea concernente il “rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea”, il cosiddetto “Regolamento ePrivacy”.

Nel parere approvato il 4 aprile scorso, il Gruppo, oltre a manifestare  un generale apprezzamento per le nuove misure, ha tuttavia espresso anche alcune perplessità su aspetti specifici, tra questi:

  • le regole che dovranno disciplinare il tracciamento dei terminali degli utenti attraverso reti wi-fi o bluetooth, come pure
  • l’omesso, esplicito divieto per i fornitori di servizi di far ricorso ai cd. “tracking walls”, e cioè di imporre scelte del tipo “prendere o lasciare” che forzino gli utenti ad esprimere un consenso al tracciamento delle proprie attività on-line pur di accedere a contenuti determinati.

La proposta di Regolamento ePrivacy presentata dalla Commissione a gennaio rientra nel quadro della riforma introdotta con l’approvazione del pacchetto protezione dati e, in particolare, del nuovo Regolamento Generale (RGPD), che diverrà esecutivo il 25 maggio 2018.

Si tratta di un ulteriore passo avanti perché la proposta (che abrogherà la direttiva 2002/58, ossia la “vecchia” direttiva e-privacy) comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.

Il nuovo Regolamento garantirà l’applicabilità delle stesse norme in tutta la UE e sul testo proposto il Parlamento europeo ed il Consiglio dell’UE dovranno esprimersi nel prossimo futuro.

Al riguardo, lo scorso 11 Aprile dinanzi al Parlamento Europeo si è tenuta un’audizione organizzata dalla Commissione per le libertà civili, la giustizia e gli affari interni (LIBE), alla quale ha partecipato anche un rappresentante dell’Ufficio del Garante italiano.

Questi, in sintesi, i punti di maggior rilievo della proposta di Regolamento e-Privacy:

Applicazione delle norme

Le norme europee verranno estese anche agli OTT (Over The Top), cioè i fornitori di servizi come WhatsApp, Facebook, Messenger e Skype, che saranno tenuti al rispetto delle regole e a garantire lo stesso livello di tutele dei più tradizionali operatori di telecomunicazione. 

Metadati

Non soltanto i dati, ma anche il contenuto delle comunicazioni e i metadati, cioè gli elementi accessori e di contorno di una informazione, godranno dello stesso livello di protezione: ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati.

Sarà richiesto il consenso degli utenti finali per la fornitura di servizi accessori (es. antivirus o ricerca di parole testuali nelle mail) e per il conseguimento di specifiche finalità ulteriori rispetto alla fornitura del servizio, che non possono essere ottenute utilizzando dati anonimi. Molto ampia, inoltre, la protezione del dispositivo utilizzato: si prevede che ogni interferenza con i terminali richieda il consenso dell’utente.

IOT

Viene per la prima volta menzionata la specificità dell’internet delle cose al fine di estendere il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine.

Cookies

L’utente potrà compiere una scelta unica, accettando o rifiutando in blocco l’installazione dei cookie tramite un settaggio preliminare del browser. Il consenso non sarà invece necessario per l’installazione dei cookie cd. analytics, quelli utilizzati ad esempio per contare gli utenti che visitano uno specifico sito web o per tener traccia degli acquisti nel proprio carrello elettronico.

Telemarketing

La proposta prevede che per l’effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovrà  obbligatoriamente essere mostrato in chiaro.

Informativa e acquisizione del consenso

Dovranno essere maggiormente user friendly anche mediante  l’impiego di icone stardardizzate.

Lavoro: geolocalizzazione flotte aziendali, sì con accordo sindacale

Illustration of a map mark icon with a  delivery truckPer i sistemi di geolocalizzazione rimane necessario l’accordo sindacale – come previsto dallo Statuto dei lavoratori – e va garantita la riservatezza dei dipendenti.

Questa la decisione del Garante della privacy [doc. web n. 6275314] in merito alla richiesta di verifica preliminare presentata da una compagnia che offre servizi idrici e assistenza in caso di problemi alla rete.

In base alla documentazione presentata, la localizzazione geografica dei veicoli utilizzati per gli interventi sarà attivata per molteplici scopi come:

  • l’ottimizzazione delle richieste di intervento o delle emergenze,
  • l’innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti,
  • la corretta manutenzione dei veicoli,
  • la tutela del patrimonio aziendale,
  • il calcolo del tempo di lavoro effettivo,
  • la gestione di eventuali incidenti stradali o di sanzioni subite per violazioni del codice della strada.

Nel corso dell’istruttoria l’Autorità ha riconosciuto il legittimo interesse della società a rilevare la posizione dei propri mezzi per le molteplici finalità indicate, ma solo nel pieno rispetto della privacy dai lavoratori.

Visto che tale sistema potrebbe consentire il controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act, per poterlo attivare dovrà prima essere raggiunto un apposito accordo con le rappresentanze sindacali o, in sua assenza, si dovrà richiedere l’autorizzazione all’Ispettorato nazionale del lavoro.

Dovranno inoltre essere attentamente definite le modalità di raccolta, di elaborazione e di conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita.

Ad esempio, se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per cinque anni.

I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione.

Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati.

Deve essere inoltre escluso il monitoraggio dei tracciati percorsi, salvo il possibile trattamento dei relativi dati in forma aggregata o anonima per finalità statistiche e di programmazione del lavoro.

Dovranno essere adottate anche precise misure di sicurezza e l’accesso ai dati trattati dovrà essere consentito al solo personale incaricato, definendo per i dati di geolocalizzazione appositi profili autorizzativi individuali per ogni singolo utente.

La società potrà comunque avviare il trattamento delle informazioni sulla posizione geografica dei veicoli di lavoro solo dopo:

  • aver effettuato la notificazione al Garante e
  • aver fornito un’informativa completa ai dipendenti

Un post su Facebook non è mai per i soli “amici”

Un post su Facebook non è mai veramente riservato ai soli “amici”, anche se è pubblicato in un profilo “chiuso”.Schermata-2013-03-08-alle-11.30.02

Se poi si “postano” informazioni su minori l’attenzione deve essere massima. Il principio è stato affermato dal Garante privacy in un provvedimento [doc. web n. 6163649] con il quale ha ordinato a una donna la rimozione dalla propria pagina Facebook di due sentenze, sulla cessazione degli effetti civili del matrimonio, in cui erano riportati delicati aspetti di vita familiare che riguardavano anche la figlia minorenne.

L’Autorità – intervenuta  su segnalazione dell’ex marito che lamentava una violazione del diritto alla riservatezza della figlia – ha ritenuto che la divulgazione dei provvedimenti giurisdizionali in questione fosse incompatibile con quanto stabilito dal Codice privacy.

Il Codice vieta infatti:

  • la pubblicazione “con qualsiasi mezzo” di notizie che consentano l’identificazione di un minore coinvolto in procedimenti giudiziari, nonché
  • la diffusione di informazioni che possano rendere identificabili, anche indirettamente, i minori coinvolti e le parti in procedimenti in materia di famiglia.

Secondo il Garante, poi, l’estrema pervasività della divulgazione su Internet aggrava notevolmente la violazione di diritti della persona, in questo caso per giunta minore di età.

Non può essere provata infatti, sempre secondo il Garante, la persistente natura chiusa del profilo e la sua accessibilità a un gruppo ristretto di “amici”, perché il profilo è facilmente modificabile, da “chiuso” ad “aperto”, in ogni momento da parte dell’utente.

Vi è, inoltre, la possibilità che un “amico” condivida il post con le sentenze sulla propria pagina, rendendolo visibile ad altri iscritti, determinando così una possibile conoscibilità “dinamica”, più o meno ampia, del contenuto che può estendersi potenzialmente a tutti gli iscritti a Facebook.

Nel disporre la rimozione, l’Autorità ha sottolineato infine, che le sentenze consentono di rendere identificabile la bambina nella cerchia di persone che condividono le informazioni “postate” dalla madre sul proprio profilo e contengono dettagli molto delicati, anche inerenti alla sfera sessuale, al vissuto familiare e a disagi personali della piccola.