Il Garante a Facebook: stop ai fake e trasparenza sui dati

Prima pronuncia dell’Autorità italiana nei confronti di Menlo Park, applicabile la normativa nazionale: Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano – informazioni personali, fotografie, post – anche quelli inseriti e condivisi da un falso account, il cosiddetto “fake”.

Facebook_news

Non solo: la società di Menlo Park dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura. Lo ha stabilito il Garante per la protezione dei dati personali nella sua prima pronuncia nei confronti del colosso web [doc. web n. 4833448], nella quale afferma la propria competenza a intervenire a tutela degli utenti italiani.

Il social network dovrà, inoltre, fornire all’iscritto, in modo chiaro e comprensibile, informazioni anche:

  • sulle finalità, le modalità e la logica del trattamento dei dati,
  • i soggetti cui sono stati comunicati o che possano venirne a conoscenza.

Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente. L’iscritto lamentava di essere stato vittima di minacce, tentativi di estorsione, sostituzione di persona  da parte di un altro utente di Facebook, il quale, dopo aver chiesto e ottenuto la sua “amicizia”, avrebbe inizialmente intrattenuto una corrispondenza confidenziale, poi sfociata nei tentativi di reato.

Il ricorrente sosteneva, inoltre, che il “nuovo amico” – visto il suo rifiuto di sottostare alle richieste di denaro – avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul suo profilo, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotomontaggi di fotografie e video gravemente lesivi dell’onore e del decoro oltre che della sua immagine pubblica e privata.

L’interessato chiedeva quindi la cancellazione e il blocco del falso account, nonché la  comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake.

Prima di intervenire nel merito, il Garante, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale.

La multinazionale, infatti, è presente sul territorio italiano con un’organizzazione stabile, Facebook Italy srl, la cui attività è inestricabilmente connessa con quella svolta da Facebook Ireland ltd  che ha effettuato il trattamento di dati contestato. Il Garante ha accolto le tesi del ricorrente ritenendolo, in base alla normativa italiana, legittimato ad accedere a tutti i dati che lo riguardano compresi quelli presenti e condivisi nel falso account.

Ha quindi ordinato a Facebook di comunicare all’interessato tutte le informazioni richieste entro un termine preciso.

L’Autorità non ha invece ritenuto opportuno ordinare alla società la  cancellazione  delle informazioni, poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati. Ha di conseguenza  imposto a Menlo Park di non effettuare alcun ulteriore trattamento dei dati del ricorrente e di conservare quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria. 

Annunci

Il Garante privacy fissa le regole per partiti e movimenti politici

Elezioni-Europee-2014-634x396Partiti e movimenti politici più trasparenti sull’uso dei dati personali di iscritti, simpatizzanti, partecipanti alle “primarie”, semplici cittadini. Cittadini informati e messi in condizione di esercitare agevolmente i loro diritti.

Con un intervento a carattere generale il Garante per la privacy ha fissato un quadro organico di regole per la tutela della riservatezza in un ambito delicato e cruciale come quello dei partiti politici.

Queste, in sintesi, le regole alle quale le formazioni politiche dovranno attenersi nello svolgimento della loro normale attività e non solo in occasione degli appuntamenti elettorali.

 

Uso dei dati di aderenti e cittadini che hanno contatti regolari con i partiti

Partiti, movimenti, comitati per le “primarie” possono utilizzare senza consenso i dati di aderenti o di cittadini con cui intrattengono contatti regolari, purché gli scopi che intendono raggiungere siano individuati nello statuto o nell’atto costitutivo.

Serve invece il consenso scritto per comunicare i dati all’esterno (ad. es., ad altri partiti appartenenti alla stessa coalizione) o per diffonderli. La stessa regola vale per i comitati di promotori o sostenitori che devono avere il consenso degli aderenti per comunicare i dati a terzi.

 

Uso dei dati di simpatizzanti e partecipanti a singole iniziative

I dati personali raccolti in occasione di petizioni, proposte di legge, richieste di referendum possono essere utilizzati ed eventualmente comunicati e diffusi solo con il consenso scritto dei cittadini e a condizione che abbiano ricevuto una informativa dettagliata. Stessa regola vale per la comunicazione a terzi e la diffusione dei dati di coloro che erogano finanziamenti e contributi, salvo i casi previsti dalla legge (ad es. obbligo per i partiti di tramettere alla Presidenza della Camera dei deputati l’elenco dei propri sovventori).

 

Informativa chiara e puntuale: predisposto anche un modello dal Garante

L’informativa deve essere resa al momento dell’adesione al partito o al movimento politico o prima della raccolta dei dati  in occasione  di singole iniziative (petizioni, proposte di legge, referendum). Nell’informativa devono essere indicate le finalità della raccolta dei dati, l’ambito di circolazione all’interno del partito o del movimento e l’eventuale possibilità di comunicazione all’esterno. Per agevolare il compito il Garante ha predisposto e messo a disposizione il seguente modello di informativa agile e di immediata comprensione.

INFORMATIVA

(art. 13 del Codice in materia di protezione dei dati personali)

“I dati da Lei conferiti (per es. all’atto dell’iscrizione al partito, della sottoscrizione di una petizione) saranno utilizzati, anche con strumenti informatici, da (indicare il titolare e l’/gli eventuale/i co-titolare/i del trattamento) a fini di (indicare le specifiche finalità) e non saranno comunicati a terzi o resi a loro conoscibili (in alternativa, indicare sinteticamente i soggetti o le categorie di soggetti destinatari dei dati, nell‘eventuale veste di responsabili o di autonomi titolari), né diffusi (in alternativa, specificare l’ambito della diffusione).

Il conferimento dei Suoi dati è (specificare se obbligatorio o facoltativo) ed un Suo eventuale rifiuto potrebbe (specificare le conseguenze, es. compromettere l’espletamento di determinate attività).

Le ricordiamo che potrà esercitare i diritti di cui all’art. 7 del Codice (es. accedere in ogni momento ai Suoi dati, chiederne l’origine, l’aggiornamento, la rettificazione, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge) rivolgendosi a (indicare le coordinate del titolare o del responsabile, ove designato, per il riscontro all’interessato in caso di esercizio dei diritti di cui all’art. 7).

L’elenco aggiornato dei responsabili del trattamento, è disponibile presso (indicare il sito web o le modalità per prenderne conoscenza)”.

 

Garanzie per i cittadini e misure di sicurezza

L’iscritto, l’aderente, il semplice cittadino, chi sovvenziona il partito o il movimento ha diritto di accedere ai propri dati personali, ad aggiornarli o rettificarli; può conoscere i soggetti cui possono essere comunicati, e opporsi, in ogni momento, alla ricezione di materiale elettorale.

 

Regole per la propaganda elettorale

Confermate in massima parte le regole già stabilite per precedenti consultazioni elettorali:

  • utilizzabili liberamente le liste elettorali;
  • serve il consenso per sms, e-mail, mms, telefonate preregistrate e fax;
  • non possono essere mai utilizzati gli archivi dello stato civile, l’anagrafe dei residenti, le liste elettorali già utilizzate nei seggi o in cui vi siano dati annotati dagli scrutatori.

Nel caso in cui si avvalgano di  società che forniscono liste di nominativi o servizi di propaganda elettorale, i partiti hanno l’obbligo di verificare il corretto trattamento dei dati.

In un’ottica di semplificazione e contemperamento degli interessi, l’Autorità ha esonerato in via definitiva partiti, movimenti, comitati e singoli candidati, che fanno propaganda elettorale utilizzando fonti pubbliche (ad es. le liste elettorali), dall’obbligo di rendere l’informativa dal sessantesimo giorno precedente la data delle consultazioni politiche, amministrative, referendarie o delle “primarie” al sessantesimo giorno successivo. Nel materiale inviato dovrà essere comunque indicato un recapito per l’esercizio dei diritti riconosciuti dal Codice privacy.

 

Bankitalia: ammissibile il ricorso al Garante per i segnalati nella Cai (Centrale d’allarme interbancaria)

bancaditaliaChi è iscritto nella Centrale d’allarme interbancaria (Cai) della Banca d’Italia può esercitare i diritti in materia di protezione dati personali direttamente anche nei confronti della Banca centrale, oltre che rivolgersi alla banca segnalante e, in caso di risposta insoddisfacente, proporre ricorso al Garante privacy.

Spetta quindi alla Banca d’Italia, in quanto titolare del trattamento dei dati, il compito di soddisfare le richieste dell’interessato (ad es., avere accesso alle informazioni censite, chiedere il loro aggiornamento, sollecitare la cancellazione se trattate in violazione di legge).

Lo ha precisato il Garante privacy nel definire il ricorso [doc. web n. 2536446] presentato in via d’urgenza da un cittadino iscritto nella Cai – l’archivio informatizzato degli assegni bancari e postali e delle carte di pagamento irregolari – per chiedere la cancellazione del proprio nominativo, sostenendo che l’iscrizione fosse illecita, perché l’assegno segnalato era stato immediatamente sostituito con un altro di pari importo, tratto su un altro conto corrente e regolarmente incassato.

Secondo la Banca d’Italia il ricorso, oltre a non aver ragion d’essere in quanto il nominativo del ricorrente non risultava più iscritto nella Cai, doveva ritenersi inammissibile  perché la normativa che regola il funzionamento della Cai assegna alle banche o agli uffici postali, e non alla Banca d’Italia, il compito di aggiornare l’archivio.

Di diverso avviso l’Autorità che ha invece ritenuto ammissibile il ricorso nei confronti della Banca d’Italia  in  base alla legge n. 386 del 1990 in materia di assegni bancari che attribuisce esplicitamente alla stessa la qualità di titolare del trattamento dei dati.

 

Smart o Professional? I nuovi Servizi di Studio Mazzolari

Studio MazzolariSemplificazione nell’elevata Tutela

Sviluppare soluzioni personalizzate e flessibili per soddisfare ogni tipo di esigenza, fornire assistenza professionale di assoluta qualità ed affidabilità: questa la nostra Mission.

Dopo il nuovo recente inasprimento delle sanzioni privacy, Studio Mazzolari propone i nuovi Servizi SmartConsulting® e ProfessionalConsulting® per l’adeguamento di Aziende, Studi Professionali ed Enti Pubblici alle misure di sicurezza minime e necessarie previste dal DLgs 196/2003 (Codice privacy), dai più recenti Provvedimenti del Garante oltre che dalle Normative di settore.

Smart o Professional? Le nostre Soluzioni personalizzate

LightWeight Icon

SmartConsulting®

Consigliata per Piccole Imprese, la soluzione SmartConsulting® consente l’adeguamento alla normativa privacy in tempi brevi e a costi contenuti. Vai all’Offerta

product_performance_report_icon_1

ProfessionalConsulting®

Principalmente rivolta a PMI ed Enti Pubblici, la soluzione ProfessionalConsulting® garantisce la presenza di un nostro Professionista sia nella fase iniziale di checkup e raccolta informazioni, sia nella messa a regime del Modello Privacy da noi predisposto. Vai all’Offerta

 

Inoltre: desideri finanziare il Nostro Intervento?

iStock_000002266764Small

Le attività realizzate da Studio Mazzolari sono finanziabili attraverso l’accesso a Fondi legati alla Legge n 236/93 o ai Fondi Paritetici interprofessionali (Fpi), in relazione al fabbisogno formativo proprio del Cliente.

Per saperne di più: la nostra Formazione finanziata

 

 

Internet: Garante privacy, presto più trasparenza sui cookie

google cookie monsterAvviata una consultazione, entro 90 giorni i contributi di gestori e consumatori su informativa per gli utenti.

Chi naviga on line potrà presto decidere in maniera libera e consapevole se far usare o no le informazioni sui siti visitati per ricevere pubblicità mirata. Lo aiuterà un’informativa semplice, chiara e di immediata comprensione sull’uso dei cookie che il Garante sta mettendo a punto.

Sulla base di quanto previsto dalla direttiva europea 2009/136, recepita di recente in Italia, l’Autorità ha infatti avviato una consultazione pubblica (Pubblicato sulla Gazzetta Ufficiale n. 295 del 19 dicembre 2012) diretta a tutti i gestori, grandi e piccoli, dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti.

Per fornire prime indicazioni sul tema e per agevolare l’elaborazione dei contributi e l’individuazione di una valida ed efficace informativa l’Autorità ha messo a punto, disponibile sul proprio sito, un documento contenente alcuni chiarimenti sulle principali questioni in materia di cookie.

cookie

Cosa sono i cookie

I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook ecc.) dell’utente, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva.

Sono usati per eseguire:

  • autenticazioni informatiche
  • monitoraggio di sessioni
  • memorizzazione di informazioni riguardanti la navigazione on line (senza l’uso dei cookie “tecnici” alcune operazioni risulterebbero molto complesse o impossibili da eseguire)…

… ma sono molto spesso utilizzati dai siti per raccogliere importanti e delicate informazioni all’insaputa degli utenti sui loro gusti, sulle loro abitudini, sulle loro scelte.

Informativa e consenso: cookie “tecnici” e cookie “non tecnici”

Cookie tecnici: con le nuove regole europee i cookie “tecnici” possono essere utilizzati anche senza consenso, ma rimane naturalmente fermo per i gestori dei siti l’obbligo di informare gli utenti della loro presenza in maniera il più possibile semplice, chiara e comprensibile.

Cookie non tecnici: è obbligatorio invece il consenso preventivo e informato dell’utente per tutti i cookie “non tecnici”, quelli cioè che, monitorando i siti visitati, raccolgono dati personali che consentono la costruzione di un dettagliato profilo del consumatore, e che proprio per questo motivo presentano maggiori criticità per la privacy degli utenti.

I gestori dei siti non possono, dunque, installare cookie per finalità di profilazione e marketing sui terminali degli utenti senza averli prima:

  1. adeguatamente informati e
  2. aver acquisito un valido consenso.

La consultazione avviata dal Garante si concluderà entro 90 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale. Le proposte relative all’informativa semplificata potranno essere inviate all’Autorità per posta o in via telematica alla e-mail consultazionecookie@gpdp.it.

Il Garante si è riservato di valutare anche eventuali proposte che potrebbero pervenire da università e centri di ricerca.

 

Voli aerei: sì del Garante al “fast boarding” con impronte digitali, ma servono più garanzie per i passeggeri

Il sistema riservato ai clienti “Millemiglia” prevede che il codice criptato dei dati biometrici resti solo nella smart card del cliente.

I passeggeri aerei Alitalia aderenti al programma “Millemiglia” potranno tra non molto usufruire di un sistema di identificazione ai gate di imbarco più veloce, ma per l’avvio del nuovo sistema sono necessari più elevati standard di sicurezza.

Il Garante privacy ha ritenuto conforme alle norme in materia di protezione dei dati personali il nuovo servizio di “fast boarding” realizzato dalla compagnia italiana che prevede l’uso, su base esclusivamente volontaria e sotto forma di codice criptato, delle impronte digitali. L’Autorità ha però prescritto ad Alitalia l’adozione di ulteriori garanzie per una maggiore tutela dei dati dei passeggeri.

Il sistema che Alitalia intende installare ha come obiettivo lo snellimento delle procedure di imbarco e di verifica dell’identità dei passeggeri, sulla scia di quanto si sta già sperimentando da parte di altre compagnie europee.

Gli iscritti al programma “Millemiglia”, interessati all’accesso agevolato, riceveranno una smart card a radiofrequenza (Rfid) nel cui microchip verranno inseriti, oltre ai dati identificativi del cliente già in possesso di Alitalia, anche i template delle impronte digitali.

Al momento dell’accesso al gate di imbarco, i passeggeri verranno identificati attraverso un sistema che confronta le loro impronte digitali con i template memorizzati sulle carte elettroniche. Non sarà creata alcuna banca dati perché il codice criptato dei dati biometrici rimarrà solo sulla smart card e quindi nell’esclusiva disponibilità dei clienti.

I dati nella carta verranno protetti con specifiche misure di sicurezza per minimizzare i rischi di accesso abusivo a queste informazioni particolarmente delicate. Il sistema sarà alternativo e non sostitutivo rispetto a quello di identificazione tradizionale e i passeggeri potranno usufruirne solo dopo aver dato il proprio consenso scritto.

Le misure di sicurezza ulteriori

Il Garante ha comunque prescritto, come condizione per l’avvio del sistema, una serie di misure ulteriori a protezione dei dati dei passeggeri:

  • sulla smart card non dovrà essere riportata alcuna indicazione che renda immediatamente identificabile il passeggero
  • l’informativa resa ai clienti dovrà esser integrata indicando chiaramente le finalità che si intendono perseguire con il nuovo sistema
  • Alitalia dovrà utilizzare i dati biometrici solo nella fase del loro “caricamento” nella carta
  • la compagnia dovrà, infine, adottare idonee misure per inibire immediatamente tutte le funzioni della carta elettronica in caso di furto o smarrimento e dovrà fornire adeguate istruzioni ai passeggeri sulla corretta custodia della carta e sugli adempimenti in caso di perdita.

Banche: cassette di sicurezza “self service” con le impronte digitali

Sì del Garante, ma il dato biometrico criptato deve essere solo nella smart card del cliente

Il Garante privacy ha autorizzato una banca ad installare un sistema automatizzato per la gestione delle cassette di sicurezza che consente ai clienti, attraverso l’uso delle impronte digitali, l’accesso tutti i giorni dell’anno, 24 ore su 24,  senza l’intervento del personale dell’istituto di credito.

Il sistema, sottoposto a verifica preliminare dell’Autorità,  non comporta la creazione di un archivio centralizzato di dati biometrici, poiché l’impronta digitale, o meglio il codice numerico (template) da essa ricavato alla prima rilevazione, è conservato esclusivamente nella smart card in possesso del cliente.

Per accedere alle cassette di sicurezza  il cliente deve procedere alla propria “autenticazione”mediante un codice PIN e al confronto tra la propria impronta digitale e il template  memorizzato sulla smart card. A quanti, invece, non vogliono o non possono avvalersi del sistema di riconoscimento biometrico sarà comunque garantita una modalità di accesso alternativo alle cassette di sicurezza, in tal caso però fruibile solo durante l’orario di sportello e previa identificazione personale.

Liceità del trattamento

Nel dare il via libera al progetto, l’Autorità ha ritenuto lecito e proporzionato il trattamento di dati biometrici dei clienti, ai quali va richiesto un consenso scritto.

In particolare è lecita – secondo il Garante – la finalità perseguita dalla banca di voler innalzare il livello di sicurezza e poter così coniugare la tutela dei beni  conservati nelle cassette con l’utilità di garantire alla clientela un servizio continuativo.

Proporzionalità del trattamento

Il trattamento inoltre – sempre a parere del Garante –  è risultato proporzionato, poiché non è prevista la conservazione dei dati biometrici in archivi centralizzati ma il dato criptato dell’impronta è memorizzato esclusivamente nella smart card. 

Previsione di una procedura alternativa

All’istituto di credito è stato inoltre prescritto di informare chiaramente i clienti  della possibilità di un accesso alternativo alle cassette di sicurezza  senza rilevazione delle impronte e  di notificare all’Autorità il trattamento dei dati biometrici prima dell’inizio delle operazioni.

La banca dovrà infine designare per iscritto il personale incaricato del trattamento dei dati e fornire loro adeguate istruzioni alle quali attenersi.