Wi-fi libero, sanità elettronica, imprenditori: il Garante privacy bacchetta il Governo

++ PRIVACY: SORO, IN ARRIVO NORME SU INTERCETTAZIONI ++Informazioni personali tracciate per chi accede a Internet via wi-fi, troppi dati sanitari a Ministeri e Regioni, perdita di tutele per gli imprenditori: in una segnalazione a Governo e Parlamento i possibili rischi per la privacy dei cittadini

In una segnalazione inviata a Governo e Parlamento, il Garante per la protezione dei dati personali ha richiamato l’attenzione sui rischi per la privacy dei cittadini che potrebbero derivare da alcune norme contenute nel recentissimo “Decreto del Fare” e nel Disegno di legge sulle semplificazioni.

Due gli articoli del primo decreto che hanno suscitano forti perplessità da parte dell’Autorità: quello sul cosiddetto “wi-fi libero” e quello sul Fascicolo sanitario elettronico.

 

free-wi-fiWi-fi libero

L’articolo 10 del decreto legge n.69 del 21 giugno scorso prevede, come già avviene adesso, che quanti offrono accessi a Internet tramite wi-fi (es. bar, ristoranti, alberghi) non debbano più identificare i clienti che utilizzano il terminale.

Ma stabilisce al contempo l’obbligo di tracciare alcune informazioni relative all’accesso alla rete (come il cosiddetto “indirizzo fisico” del terminale, MAC Address) che, a differenza di quanto sostenuto nella norma, sono – ai sensi della Direttiva europea sulla riservatezza e del Codice privacy – dati personali, in quanto molto spesso riconducibili all’utente che si è collegato a Internet.

Peraltro, l’adempimento richiesto, sottolinea il Garante, non solo grava su una platea considerevole di imprese, ma reintroduce obblighi di monitoraggio e registrazione dei dati che, stabiliti a suo tempo dal decreto Pisanu per categorie di gestori diverse da quanti offrono accesso ad Internet con modalità wireless, sono stati successivamente soppressi anche in ragione delle difficoltà e degli oneri legati alla loro applicazione. Il Garante auspica lo stralcio della norma e l’approfondimento di questi aspetti nell’ambito di un provvedimento che non abbia carattere d’urgenza.

 

1342164699Fascicolo sanitario elettronico (Fse)

L’art.17 dello stesso decreto, poi, modificando precedenti disposizioni in materia di Fascicolo sanitario elettronico (Fse), prevede che, a fini di ricerca epidemiologica e di programmazione e controllo della spesa sanitaria, le Regioni e le Province autonome, il Ministero del Lavoro e il Ministero della Salute possano accedere alle informazioni sanitarie presenti nel Fse di tutti gli assistiti, compresi i documenti clinici prima espressamente esclusi. In questo modo tali amministrazioni si troverebbero ad utilizzare una enorme mole di dati sensibili (ricoveri, accessi ambulatoriali, referti, risultati di analisi cliniche, farmaci prescritti) che, per quanto non immediatamente riconducibili agli interessati, non sono indispensabili per il raggiungimento di finalità diverse da quella della cura.

L’Autorità chiede che la norma venga modificata affinché i soggetti pubblici interessati possano accedere alle sole informazioni effettivamente necessarie per lo svolgimento di tali finalità.

 

shutterstock_93304129-830x1024Perdita di tutele per gli imprenditori

Il Garante ha infine espresso la sua contrarietà alla possibile riproposizione di disposizioni che risulterebbero inserite nel disegno di legge sulle semplificazioni di recente approvato dal Consiglio dei ministri, volte ad escludere gli imprenditori dall’applicazione del Codice privacy.

Tali norme privano di fatto le persone fisiche – sia pure quando agiscano nell’esercizio della propria attività imprenditoriale – del diritto alla protezione dei dati, con conseguenze paradossali e non certo semplificatorie.

E anzi perfino pregiudizievoli per la stessa attività d’impresa, stante la difficoltà di distinguere, nella vita concreta, il dato della persona fisica da quello riferito alla sua qualità di imprenditore. In questo modo, gli imprenditori si  troverebbero ad avere meno diritti (ad esempio non potrebbero più rivolgersi al Garante per tutelarsi in caso di informazioni non corrette presenti nelle banche dati), ma gli stessi oneri ai quali erano prima soggetti.

La disposizione, peraltro, ricorda il Garante, si porrebbe in netto contrasto con la Direttiva europea con la conseguenza di costringere l’Autorità a sollevare la questione in sede comunitaria.

 

 

Annunci

Internet: Garante privacy, presto più trasparenza sui cookie

google cookie monsterAvviata una consultazione, entro 90 giorni i contributi di gestori e consumatori su informativa per gli utenti.

Chi naviga on line potrà presto decidere in maniera libera e consapevole se far usare o no le informazioni sui siti visitati per ricevere pubblicità mirata. Lo aiuterà un’informativa semplice, chiara e di immediata comprensione sull’uso dei cookie che il Garante sta mettendo a punto.

Sulla base di quanto previsto dalla direttiva europea 2009/136, recepita di recente in Italia, l’Autorità ha infatti avviato una consultazione pubblica (Pubblicato sulla Gazzetta Ufficiale n. 295 del 19 dicembre 2012) diretta a tutti i gestori, grandi e piccoli, dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti.

Per fornire prime indicazioni sul tema e per agevolare l’elaborazione dei contributi e l’individuazione di una valida ed efficace informativa l’Autorità ha messo a punto, disponibile sul proprio sito, un documento contenente alcuni chiarimenti sulle principali questioni in materia di cookie.

cookie

Cosa sono i cookie

I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook ecc.) dell’utente, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva.

Sono usati per eseguire:

  • autenticazioni informatiche
  • monitoraggio di sessioni
  • memorizzazione di informazioni riguardanti la navigazione on line (senza l’uso dei cookie “tecnici” alcune operazioni risulterebbero molto complesse o impossibili da eseguire)…

… ma sono molto spesso utilizzati dai siti per raccogliere importanti e delicate informazioni all’insaputa degli utenti sui loro gusti, sulle loro abitudini, sulle loro scelte.

Informativa e consenso: cookie “tecnici” e cookie “non tecnici”

Cookie tecnici: con le nuove regole europee i cookie “tecnici” possono essere utilizzati anche senza consenso, ma rimane naturalmente fermo per i gestori dei siti l’obbligo di informare gli utenti della loro presenza in maniera il più possibile semplice, chiara e comprensibile.

Cookie non tecnici: è obbligatorio invece il consenso preventivo e informato dell’utente per tutti i cookie “non tecnici”, quelli cioè che, monitorando i siti visitati, raccolgono dati personali che consentono la costruzione di un dettagliato profilo del consumatore, e che proprio per questo motivo presentano maggiori criticità per la privacy degli utenti.

I gestori dei siti non possono, dunque, installare cookie per finalità di profilazione e marketing sui terminali degli utenti senza averli prima:

  1. adeguatamente informati e
  2. aver acquisito un valido consenso.

La consultazione avviata dal Garante si concluderà entro 90 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale. Le proposte relative all’informativa semplificata potranno essere inviate all’Autorità per posta o in via telematica alla e-mail consultazionecookie@gpdp.it.

Il Garante si è riservato di valutare anche eventuali proposte che potrebbero pervenire da università e centri di ricerca.

 

Nuove regole per la sicurezza dei dati in rete e nelle TLC

In caso di distruzione o perdita dei dati personali (data breaches) società telefoniche e Internet provider avranno l’obbligo di avvisare gli utenti

Società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro data base che dovessero comportare perdita, distruzione o diffusione indebita di dati.

In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall’Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le “violazioni di dati personali” (“data breaches”) che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.

Le Linee guida adottate dal Garante stabiliscono chi deve adempiere all’obbligo di comunicare, in quali casi scatta l’obbligo di avvisare gli utenti, le misure di sicurezza tecniche e organizzative da mettere in atto per avvisare l’Autorità e gli utenti di un avvenuto “data breach”, i tempi e i contenuti della comunicazione.

Al fine di armonizzare le procedure e le modalità di notifica, l’Autorità ha comunque deciso di avviare una consultazione pubblica (con pubblicazione sulla G.U.), per acquisire da parte delle società telefoniche e degli Isp elementi utili a valutare l’adeguatezza delle misure individuate.

Ecco in sintesi i punti principali delle Linee guida del Garante.

Chi deve comunicare le violazioni

L’obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L’adempimento non riguarda quindi:

  • le reti aziendali,
  • gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione),
  • i motori di ricerca,
  • i siti Internet che diffondono contenuti.

La comunicazione al Garante

La comunicazione della violazione dovrà avvenire in maniera tempestiva: entro 24 ore dalla scoperta dell’evento, aziende tlc e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione più dettagliata. Per agevolare l’adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito (http://www.garanteprivacy.it)

All’esito delle verifiche, i provider dovranno comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove.

La comunicazione agli utenti

Nei casi più gravi, oltre al Garante, le società telefoniche e gli Isp avranno l’obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi:

  • sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione),
  • sulla attualità dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati),
  • sulla qualità dei dati (finanziari, sanitari, giudiziari etc.),
  • sulla quantità dei dati coinvolti.

La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.

I controlli del Garante

Per consentire l’attività di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.

Le sanzioni

  • Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25mila a 150mila euro.
  • La omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: espone  a una sanzione che va da 150 euro a 1000 euro per ogni società o persona interessata
  • La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.