Nuovo Regolamento Ue sulla privacy: dal Garante la prima Guida applicativa

ilnuovoregUEPRIVACYIl Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L’obiettivo della Guida è duplice:

  • da una parte offrire un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy;
  • dall’altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche:

  1. Fondamenti di liceità del trattamento;
  2. Informativa;
  3. Diritti degli interessati;
  4. Titolare, responsabile, incaricato del trattamento;
  5. Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
  6. Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre  nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

Trasferimento dati in USA: decaduta l’autorizzazione “Approdo sicuro”

CALTECH-UVIC-100GB-Data-Transfer-NetworkLe imprese dovranno mettere in campo altri strumenti per tutelare i dati delle persone

Il Garante per la privacy ha dichiarato decaduta l’autorizzazione emanata a suo tempo con la quale si consentivano i trasferimenti di dati verso gli Stati Uniti sulla base del cosiddetto accordo “Safe Harbor”. Per poter trasferire dati oltreoceano, società multinazionali, organizzazioni e imprese italiane dovranno di conseguenza ricorrere alle altre possibilità previste dalla normativa sulla protezione dei dati personali.

Il provvedimento (in corso di pubblicazione sulla Gazzetta ufficiale) è stato adottato dal Garante a seguito della recente sentenza della Corte di Giustizia dell’Unione Europea, che ha dichiarato invalido il regime introdotto in virtù dell’accordo “Approdo sicuro” (Safe Harbor), facendo venire meno il presupposto di legittimità per il trasferimento negli Usa di dati personali dei cittadini europei per chi utilizzava questo strumento. La decisione presa dal Garante è in linea con quanto concordato nelle settimane scorse nell’ambito del Gruppo che riunisce le Autorità della privacy dell’Ue.

Strumenti alternativi per il trasferimento

In attesa delle prossime decisioni che verranno assunte in sede europea, le imprese potranno dunque trasferire lecitamente i dati delle persone solo avvalendosi di strumenti quali, ad esempio:

L’Autorità si è comunque riservata di effettuare controlli per verificare la liceità e la correttezza del trasferimento dei dati da parte di chi esporta i dati.

Telecamere “intelligenti”: sì del Garante a Bankitalia

video_surveillance_and_physical_security_212463Telecamere “intelligenti”ammesse per tutelare la sicurezza di edifici e beni

Il Garante per la privacy ha accolto [doc. web n. 3230814] la richiesta di verifica preliminare presentata dalla Banca d’Italia relativa all’uso di sistemi di videosorveglianza intelligente da istallarsi presso le sedi dell’Amministrazione centrale e delle filiali. Lo scopo della Banca è garantire la sicurezza degli edifici e dei beni dell’Istituto in relazione agli specifici rischi connessi allo stoccaggio e alla gestione di elevate quantità di valori.

Gli impianti sottoposti alla verifica del Garante prevedono un  sistema di “alert” che si attiva a fronte:

  • del superamento di una barriera virtuale predefinita
  • o dell’accesso a determinate aree interdette
  • o del riconoscimento della presenza di persone.

Le ulteriori funzionalità del sistema che Bankitalia intende installare  (tra le quali la lettura targhe e identificazione mezzi e il conteggio delle persone)  non rientrano invece tra le ipotesi per le quali è necessario richiedere la verifica preliminare perché non prevedono la generazione di allarmi.

Anche le funzioni di “riconoscimento oggetto abbandonato” e “mancanza oggetto”, pur prevedendo l’attivazione di un allarme, non richiedono la verifica preliminare, in quanto non comportano un trattamento di dati personali.

green_globe_ok_tic_584Proporzionalità del trattamento

Alla luce della verifica effettuata, il Garante ritiene proporzionato e quindi ammissibile il trattamento dei dati personali che la Banca d’Italia intende effettuare. Esso infatti non comporta un pregiudizio rilevante per gli interessati dal momento che i sistemi sono volti esclusivamente a richiamare l’attenzione degli addetti al controllo e non ad attivare ulteriori funzionalità (ad esempio la geolocalizzazione o il confronto con dati biometrici).

In ogni caso, sulla base del Codice privacy e del provvedimento generale sulla videosorveglianza del 2010, il Garante ha richiamato la Banca d’Italia al rispetto delle  prescrizioni relative alle misure minime di sicurezza, delle indicazioni in materia di informativa agli interessati e delle garanzie previste sul controllo a distanza dei lavoratori.

Si a telecamere “intelligenti” per impianti in zone isolate

video_surveillance_and_physical_security_212463Il Garante per la privacy ha accolto le richieste avanzate da un gruppo industriale di installare un sistema di videosorveglianza “intelligente”, dotato di riconoscimento dei movimenti, per proteggere cinque complessi fotovoltaici posizionati in zona isolate.

Le domande di verifica preliminare presentate traggono origine dalle peculiari esigenze organizzative e di sicurezza dei siti produttivi che si trovano in ampie aree lontano da centri abitati e solitamente non richiedono la presenza di personale sul posto.

Le società che gestiscono gli impianti hanno quindi chiesto di poter abbinare al normale sistema di videosorveglianza, dotato di telecamere fisse e “speed-dome” (brandeggiabili e dotate di zoom), una funzione di “motion control” in grado di rilevare automaticamente eventuali movimenti all’interno dell’area ripresa e di allertare immediatamente il personale di controllo. Le nuove funzionalità consentirebbero alle imprese di:

  • garantire la sicurezza delle infrastrutture da intrusioni e danneggiamenti,
  • monitorare costantemente il corretto funzionamento degli impianti in modo da richiedere l’intervento di addetti sul posto solo in caso di eventi anomali.

 

original_S3I_Integrated_Video_surveillance_Security_System_Solution_3_HLe misure privacy da adottare

L’Autorità ha riconosciuto le specifiche necessità del gruppo e ha autorizzato l’attivazione delle nuove tecnologie con l’obbligo, però, di adottare adeguate tutele per la privacy:

  • le telecamere dovranno essere opportunamente segnalate e potranno inquadrare solo le aree interne dell’impianto e l’area immediatamente attigua la recinzione;
  • L’accesso via internet alle immagini conservate nei computer degli impianti potrà avvenire solo tramite connessioni protette (con rete VPN) e trasmissioni criptate;
  • i dati potranno essere consultati solo da personale appositamente incaricato e dotato di utenze di accesso individuale.

 

eyeGaranzie per il Lavoratori

Il Garante ha infine sottolineato che, siccome le telecamere potrebbero riprendere l’attività del personale inviato a operare sul posto, le aziende coinvolte dovranno comunque operare nel rispetto dello Statuto dei lavoratori. Prima di avviare l’attività di videosorveglianza, le società dovranno quindi attendere l’apposito nulla osta già richiesto alle competenti Direzioni provinciali del lavoro. In ogni caso, le riprese potranno essere utilizzate solo per finalità connesse alla tutela del patrimonio aziendale e non per il controllo a distanza dei lavoratori o per altri scopi non previsti.

 

USA e la Privacy: il re è nudo

l43-barack-obama-130417212604_mediumUSA, tutti spiati dalla NSA: sotto controllo carte di credito, web e cellulari.

Chi mai ha avuto realmente qualche dubbio circa la tentazione (a portata di mano) del Governo americano di mettere il naso nelle vite più o meno private che pullulano nel web?

Cosa succede? 

Apriamo il Sole 24 Ore: Obama: così si previene il terrorismo

Il Garante italiano batte un colpo

“Preoccupa l’azione della National Security Agency statunitense, che a quanto si apprende avrebbe raccolto tabulati telefonici di milioni di cittadini, probabilmente non solo statunitensi”.

Lo afferma Antonello Soro, Presidente dell’Autorità garante per la privacy interpellato dall’Ansa sul caso Verizon. 

“Desta perplessità – continua Soro – soprattutto il carattere indiscriminato della captazione, che sembrerebbe prescindere da indizi di reato in quanto coinvolge i cittadini solo perché abbonati alla compagnia Verizon. Né il fatto che riguardi solo i dati “esterni” delle comunicazioni – continua Soro – rende questa attività meno lesiva della privacy, in quanto dai dati di traffico possono ricostruirsi aspetti rilevantissimi della vita privata”.

Secondo il Presidente dell’Autorità per la privacy “preoccupa poi il fatto che tra i soggetti intercettati possano esservi anche cittadini europei, ai quali le discipline interne garantirebbero un livello di tutela ben più elevato. La difesa della democrazia passa sempre attraverso il consolidamento delle libertà e non deve essere affidata alle scorciatoie di una sorveglianza generalizzata della vita dei cittadini. Come lo stesso Presidente Obama ha più volte riconosciuto”.

La nuova guida del Garante privacy per aiutare le imprese

downloadProposte 10 pratiche aziendali per migliorare il business e valorizzare il corretto utilizzo dei dati

La corretta adozione di semplici misure a protezione dei dati personali può contribuire a rendere più efficiente l’organizzazione dell’impresa e a ridurre sensibilmente i potenziali rischi a cui la stessa si espone sul mercato, ma può rappresentare anche un vantaggio competitivo.

Per questi motivi, l’Autorità ha predisposto una breve guida – “La privacy dalla parte dell’impresa – Dieci pratiche aziendali per migliorare il proprio business”.

L’obiettivo è quello di aiutare le imprese a valorizzare il proprio patrimonio dati, trasformando la privacy da costo a risorsa, senza per questo ridurre le tutele dei diritti fondamentali della persona.

Il Garante per la privacy ha individuato dieci “best practice” che possono migliorare:

  • non solo l’immagine dell’impresa, come soggetto attento al principio di “responsabilità sociale”,
  • ma anche la propria capacità di business, aumentando la fiducia di utenti e consumatori nella serietà e affidabilità dell’attore economico.

Il vademecum richiama regole fondamentali e consigli pratici – che vanno dalla selezione del personale all’uso delle nuove tecnologie, dalla trasparenza alle misure di sicurezza – per utilizzare e proteggere al meglio i dati personali trattati. L’imprenditore potrà trovare anche riferimenti alle principali modalità semplificate che l’Autorità ha, nel tempo, indicato alle aziende per ottenere una conformità sostanziale alla protezione dei dati, evitando attività inutili e meramente formali.

La guida
La guida è suddivisa in dieci brevi capitoli:

  1. “Il valore dei dati”
  2. “A ciascuno le sue responsabilità”
  3. “Trasparenza e correttezza nel business”
  4. “Curriculum & Co.”
  5. “Trattamenti “a rischio”
  6. “Tecnologie per l’impresa”
  7. “Difesa del patrimonio dati”
  8. “Controllo del “controllore informatico”
  9. “L’ “export” dei dati”
  10. “Verso una “customer care dei dati”

Ogni capitolo affronta una differente pratica aziendale e alcuni dei benefici diretti e indiretti generati dalle misure adottate per tutelare i dati personali.

La nuova guida sarà distribuita al Forum Pa, in programma dal 28 al 30 maggio 2013 al Palazzo dei Congressi di Roma, presso lo stand del Garante.

Google: il Garante per la privacy avvia un’istruttoria sul rispetto della normativa italiana

google_privacy01Azione coordinata con le Autorità di protezione dati di altri 5 paesi europei

Il Garante per la privacy italiano ha aperto un’istruttoria nei confronti di Google Inc. per verificare il rispetto della disciplina sulla protezione dei dati personali e, in particolare, la conformità dei trattamenti effettuati dalla società di Mountain View a:

  • principi di pertinenza, necessità e non eccedenza dei dati trattati nonché
  • agli obblighi riguardanti l’informativa agli utenti e l’acquisizione del loro consenso.

Tale iniziativa è stata assunta nell’ambito di un’azione congiunta intrapresa dalla task force, appositamente costituita, composta dalle Autorità per la protezione dei dati di Francia, Italia, Germania, Regno Unito, Paesi Bassi e Spagna.

Tra il marzo e l’ottobre 2012 il Gruppo che riunisce le Autorità della privacy dei 27 Paesi dell’Ue ha, infatti, analizzato la privacy policy di Google per stabilire se fosse in linea con i requisiti fissati nella Direttiva europea sulla protezione dei dati (Direttiva 95/46/CE). Le nuove regole privacy adottate da Google consentono, tra l’altro, alla società californiana di incrociare in via generalizzata i dati degli utenti che utilizzano i servizi offerti (da Gmail a YouTube a Google Maps solo per citarne alcuni).

Alla luce dei risultati di questa analisi, i Garanti europei hanno chiesto a Google Inc. di adottare, entro 4 mesi, una serie di modifiche ritenute necessarie per assicurare la conformità dei trattamenti alle disposizioni vigenti.

Decorso tale periodo, alcuni rappresentanti di Google Inc. hanno chiesto un incontro con la task force che si è tenuto il 19 marzo scorso, a seguito del quale tuttavia la società, nonostante avesse manifestato la propria disponibilità, non ha ancora adottato alcuna concreta iniziativa nel senso auspicato.

Ciascuna delle sei Autorità coinvolte condurrà, pertanto, ulteriori accertamenti con il formale avvio di procedimenti distinti anche se simultanei ed in stretto coordinamento tra loro.

Google non può raccogliere e trattare i dati personali dei cittadini europei senza tenere conto del fatto che nell’Unione europea vigono norme precise a tutela dei diritti fondamentali dei cittadini dell’Ue. L’azione congiunta dei Garanti europei mira a riaffermare questo principio e a far sì che questi diritti vengano garantiti”  – ha commentato il Presidente Antonello Soro.  “Il Garante  italiano è da tempo impegnato sul fronte internazionale proprio per operare affinché la privacy dei cittadini europei venga rispettata, non solo dalle imprese dell’Ue, ma anche da parte dei big della Rete e da tutte le società che operano nel settore delle comunicazioni elettroniche, ovunque esse siano stabilite. Vogliamo impedire che esistano zone franche in materia di diritti fondamentali – ha concluso Soro.