Diritto all’oblio: il tempo non è l’unico elemento da considerare

Ruolo pubblico svolto e attualità della notizia sono importanti fattori da prendere in esame: il trascorrere del tempo è senz’altro l’elemento più importante per valutare l’accoglimento di una richiesta ad “essere dimenticati”, ma l’esercizio del cosiddetto “diritto all’oblio” può incontrare altri rilevanti limiti, come precisato dalla giurisprudenza comunitaria e dal lavoro condotto dal Gruppo dei Garanti europei.

Proprio queste ulteriori circostanze ha dovuto prendere in considerazione l’Autorità italiana nell’esaminare il ricorso presentato da un alto funzionario pubblico che chiedeva la rimozione di alcuni url dai risultati di ricerca ottenuti digitando il proprio nominativo su Google.

Questi url, infatti, rinviavano ad articoli nei quali erano riportate notizie relative ad una vicenda giudiziaria nella quale lo stesso era stato coinvolto e che si era conclusa con la sua condanna.

Si trattava di una vicenda molto risalente nel tempo (circa 16 anni fa) e l’interessato era stato nel frattempo integralmente riabilitato [doc. web n. 6692214].

• Uno degli articoli di cui si chiedeva la rimozione era stato pubblicato nell’imminenza dei fatti,
• altri, invece, più recenti, avevano ripreso la notizia originaria riproponendola in occasione dell’assunzione di un importante incarico da parte dell’interessato.

Prima di entrare nel merito, il Garante ha affermato – contrariamente a quanto sostenuto dalla difesa di Google – che era necessario prendere in esame tutti i risultati di ricerca ottenuti a partire dal nome e cognome dell’interessato, anche quelli associati ad ulteriori specificazioni, quali il ruolo ricoperto o la circostanza dell’avvenuta condanna.

Tale interpretazione è in linea con la sentenza “Google Spain”, nella quale si afferma che

le istanze di deindicizzazione devono essere prese in considerazione per tutti gli url raggiungibili effettuando una ricerca “a partire dal nome”, senza escludere  quindi la possibilità che ad esso possano essere associati ulteriori termini volti a circoscrivere la ricerca stessa.

---

Url che rinvia alla notizia diretta

Chiarito questo punto rilevante, l’Autorità è entrata nel merito ed ha ordinato a Google di deindicizzare l’url che rinviava all’unico articolo avente ad oggetto, in via diretta, la notizia della condanna penale inflitta al ricorrente, il quale all’epoca ricopriva un ruolo diverso da quello attualmente svolto.

L’Autorità ha ritenuto infatti che, considerato il tempo trascorso e l’intervenuta riabilitazione, la notizia non risultasse più rispondente alla situazione attuale.

---

Url che rinviano ad altri articoli

Viceversa, con riguardo agli articoli ai quali rinviavano gli ulteriori url indicati dal ricorrente, il Garante ha riconosciuto che questi, pur richiamando la medesima vicenda giudiziaria, “inseriscono la notizia in un contesto informativo più ampio, all’interno del quale sono fornite anche ulteriori informazioni” legate al ruolo istituzionale attualmente ricoperto dall’interessato e che tali risultati erano di indubbio interesse pubblico “anche in ragione del ruolo nella vita pubblica rivestito dal ricorrente, che ricopre incarichi istituzionali di alto livello”.

Pertanto, riguardo alla richiesta di una loro rimozione, ha dichiarato il ricorso infondato.

Cure odontoiatriche, stop alle telefonate indesiderate

Bloccato un database con circa un milione di utenze fisse e mobili

Il Garante privacy ha vietato [doc. web n. 6629169] a due società che operano nel settore sanitario odontoiatrico l’ulteriore trattamento a fini di telemarketing di circa un milione di utenze telefoniche fisse e mobili utilizzate senza rispettare la disciplina in materia di privacy.

Le irregolarità sono emerse nel corso delle verifiche effettuate dal Garante presso le società a seguito della segnalazione di alcune persone che avevano ricevuto telefonate indesiderate sul proprio cellulare con le quali si promuovevano visite odontoiatriche gratuite.

Dagli accertamenti è risultato che le società hanno trattato in modo illecito sia i dati acquistati da un fornitore di liste stabilito al di fuori del territorio nazionale, riferiti a circa un milione di utenti, sia quelli tratti da elenchi telefonici pubblici.

Le società, infatti,  non sono state in grado di dimostrare:

• l’acquisizione del consenso degli interessati,
• l’effettuazione delle dovute verifiche sul Registro pubblico delle opposizioni per appurare l’iscrizione di eventuali utenti che non volessero ricevere telefonate promozionali,
• né l’esistenza di un’altra base giuridica per l’utilizzo dei dati.

Il Garante, inoltre, ha ritenuto incompleta e poco chiara l’informativa fornita agli utenti che si prenotavano on line e insufficiente il riscontro dato ad un segnalante che chiedeva di conoscere la  provenienza dei suoi dati e al quale sono state fornite informazioni vaghe e non veritiere.

L’Autorità ha quindi vietato alle società l’uso dei numeri di telefono a fini di marketing e ha prescritto loro l’adozione di misure tecniche e organizzative per assicurare agli utenti la piena e tempestiva attuazione dei diritti riconosciuti dal Codice privacy (conoscere l’origine dei dati, le modalità e le finalità del trattamento, aggiornare, rettificare, cancellare i dati).

Le società dovranno adottare idonee misure tecnologiche per consentire agli utenti del sito di manifestare liberamente il proprio consenso e dovranno riformulare il modello di informativa, indicando chiaramente l’ambito di circolazione dei dati e il soggetto cui indirizzare le istanze per l’esercizio dei diritti.

Con autonomo procedimento il Garante si è riservato di contestare sanzioni amministrative per gli illeciti rilevati.

Lavoro e dati giudiziari dei dipendenti

L’azienda può trattarli, ma solo se autorizzata dalla legge o dal Garante

Il Garante per la protezione dei dati personali ha rigettato l’istanza di una società che chiedeva di essere autorizzata ad effettuare un trattamento di dati giudiziari dei propri dipendenti non previsto da una adeguata base giuridica [doc. web n. 6558837].

La società, che gestisce ed eroga servizi per clienti pubblici e privati, al dichiarato fine di ottemperare ad una richiesta contrattuale, intendeva infatti raccogliere e utilizzare le informazioni presenti nel casellario giudiziale fornito dai propri lavoratori e comunicarle a una ditta appaltante.

Il trattamento dei dati giudiziari era finalizzato a consentire alla ditta appaltante di poter esprimere il proprio gradimento o meno sui lavoratori impiegati nello svolgimento dei servizi, nel caso specifico a bordo dei treni, inquadrati come manovale e pulitore.

Nel respingere l’istanza, l’Autorità ha ribadito che i soggetti privati possono trattare i dati giudiziari soltanto se:

• autorizzati da una espressa disposizione di legge o
• da un provvedimento del Garante in cui siano indicate le finalità di rilevante interesse pubblico del trattamento, i tipi di dati e le operazioni eseguibili.

Nel caso esaminato dal Garante,  la società non ha indicato, né risulta esservi, una base giuridica (legislativa, regolamentare o contrattuale) adeguata a legittimare quel determinato trattamento di dati giudiziari.

Nel Ccnl e nel contratto aziendale di gruppo inoltre, non vi sono disposizioni da cui emerge l’indispensabilità del trattamento dei dati giudiziari dei dipendenti per lo svolgimento delle attività nelle quali saranno impiegati i lavoratori.

La società infine, non ha indicato e comunque non risulta una base giuridica che autorizzi la comunicazione di dati alla società appaltante.

Un post su Facebook non è mai per i soli “amici”

Un post su Facebook non è mai veramente riservato ai soli “amici”, anche se è pubblicato in un profilo “chiuso”.

Se poi si “postano” informazioni su minori l’attenzione deve essere massima. Il principio è stato affermato dal Garante privacy in un provvedimento [doc. web n. 6163649] con il quale ha ordinato a una donna la rimozione dalla propria pagina Facebook di due sentenze, sulla cessazione degli effetti civili del matrimonio, in cui erano riportati delicati aspetti di vita familiare che riguardavano anche la figlia minorenne.

L’Autorità – intervenuta  su segnalazione dell’ex marito che lamentava una violazione del diritto alla riservatezza della figlia – ha ritenuto che la divulgazione dei provvedimenti giurisdizionali in questione fosse incompatibile con quanto stabilito dal Codice privacy.

Il Codice vieta infatti:

• la pubblicazione “con qualsiasi mezzo” di notizie che consentano l’identificazione di un minore coinvolto in procedimenti giudiziari, nonché
• la diffusione di informazioni che possano rendere identificabili, anche indirettamente, i minori coinvolti e le parti in procedimenti in materia di famiglia.

Secondo il Garante, poi, l’estrema pervasività della divulgazione su Internet aggrava notevolmente la violazione di diritti della persona, in questo caso per giunta minore di età.

Non può essere provata infatti, sempre secondo il Garante, la persistente natura chiusa del profilo e la sua accessibilità a un gruppo ristretto di “amici”, perché il profilo è facilmente modificabile, da “chiuso” ad “aperto”, in ogni momento da parte dell’utente.

Vi è, inoltre, la possibilità che un “amico” condivida il post con le sentenze sulla propria pagina, rendendolo visibile ad altri iscritti, determinando così una possibile conoscibilità “dinamica”, più o meno ampia, del contenuto che può estendersi potenzialmente a tutti gli iscritti a Facebook.

Nel disporre la rimozione, l’Autorità ha sottolineato infine, che le sentenze consentono di rendere identificabile la bambina nella cerchia di persone che condividono le informazioni “postate” dalla madre sul proprio profilo e contengono dettagli molto delicati, anche inerenti alla sfera sessuale, al vissuto familiare e a disagi personali della piccola.

Il diritto alla portabilità dei dati (art. 20 RGPD): infografica del Garante e linee guida

Linee-guida sul diritto alla “portabilità dei dati” – WP242
adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016

english version

Le risposte alle domande più frequenti – FAQ
Allegato alle Linee-guida sul diritto alla “portabilità dei dati” – WP242

english version

Privacy: nuovo Regolamento Ue, prime Linee guida dei Garanti europei

Il Gruppo dei Garanti Ue (WP 29) ha approvato lo scorso 13 dicembre tre documenti con indicazioni e raccomandazioni su importanti novità del Regolamento 2016/679 sulla protezione dei dati, in vista della sua applicazione da parte degli Stati membri a partire dal maggio 2018.

Le linee guida, alla cui elaborazione il Garante italiano ha attivamente partecipato, riguardano:

• il “responsabile per la protezione dei dati” (Data Protection Officer  – DPO),
• il diritto alla portabilità dei dati,
• l’“autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.

Data Protection Officer  – DPO)

Le Linee guida sul DPO specificano i requisiti soggettivi e oggettivi di questa figura, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri che il Gruppo ha chiarito nel documento. Nel documento vengono illustrate (anche attraverso esempi concreti) le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.

Diritto alla portabilità

Per quanto riguarda il diritto alla portabilità, il Gruppo evidenzia il suo valore di strumento per l’effettiva  libertà di scelta dell’utente, che potrà decidere di trasferire altrove i dati personali forniti direttamente al titolare del trattamento (piattaforma di social network, fornitore di posta elettronica etc.) oppure generati dall’utente stesso navigando o muovendosi sui siti o le piattaforme messe a sua disposizione. Il documento esamina anche gli aspetti tecnici legati soprattutto ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio del diritto.

Sportello unico

Infine, i Garanti Ue hanno chiarito i criteri per la individuazione della “Autorità capofila” che deve fungere da “sportello unico” per i trattamenti transnazionali (se il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento).  Si tratta di un elemento importante del nuovo quadro normativo, e le Linee guida vogliono aiutare i titolari o responsabili del trattamento a individuare correttamente l’Autorità competente in questi casi così da evitare controversie e garantire un’attuazione efficace del Regolamento.

Su ciascuno di questi documenti, disponibili per ora solo in lingua inglese, il Garante predisporrà delle apposite schede di approfondimento volte a far meglio comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento.

Lavoro: no al controllo indiscriminato di e-mail e navigazione Internet

Verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a un’università il monitoraggio massivo delle attività in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’Ateneo.

Nel corso dell’istruttoria, l’amministrazione ha respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura. L’Università aveva inoltre aggiunto che non venivano trattati dati personali  dei dipendenti che si connettevano alla rete.

L’istruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.

L’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei lavoratori – anche nella nuova versione modificata dal cosiddetto “Jobs Act” – che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per il lavoratore.

Nel provvedimento il Garante ha rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus.

In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.

L’Autorità ha infine riscontrato che l’Università non aveva fornito agli utilizzatori della rete un’idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali.

L’Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte della magistratura.

Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy

Per combattere i furti di identità o le frodi nell’internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti, quali la pressione sul touch screen o i movimenti del mouse,  in occasione della loro “navigazione” nell’area privata del proprio sito web.

Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web n. 5252271], si propone di innalzare i livelli di tutela attualmente previsti (come password per l’accesso al conto corrente on line, oppure one time password per bonifici e altre operazioni) con nuove modalità di “identificazione” dell’utente.

Per raggiungere tale obiettivo, l’istituto di credito ha chiesto a un partner tecnologico di generare profili univoci dei propri clienti basati sull’analisi del loro comportamento durante le operazioni svolte nell’area riservata del sito di internet banking.

La società, in una prima fase, raccoglie informazioni su azioni spontanee dell’utente, come i movimenti del mouse (incluse reazioni inconsce a “interferenze” prodotte appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri del sistema operativo e del browser di navigazione.

Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Il Garante ha riconosciuto l’importanza delle finalità perseguite dalla banca a garanzia della sicurezza dei servizi on-line ma, proprio per la delicatezza dei dati personali trattati, ha vincolato l’attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, ad esempio, potrà attivare il sistema di verifica biometrico-comportamentale solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso.

Dovrà inoltre valutare con attenzione l’effettiva pertinenza e non eccedenza di tutti i “dati di navigazione” astrattamente utilizzabili, configurando il sistema in modo tale da acquisire e trattare, fin dall’inizio, solo quelli strettamente necessari all’esecuzione del servizio.

Il partner tecnologico:

• non avrà accesso alle schede anagrafiche dei clienti dell’istituto di credito in modo tale da non poter risalire alla loro identità e, in ogni caso,
• non potrà interconnettere i profili comportamentali con le informazioni contenute in altre banche dati, così da scongiurare il rischio di trattamenti illeciti.

Sono state inoltre definite precise misure di sicurezza e limiti ai tempi di conservazione dei dati raccolti per la fornitura del servizio, garantendo comunque gli adempimenti previsti da specifiche normative di settore e la tutela di eventuali diritti in sede giudiziaria.

Regolamento europeo in materia di protezione dei dati personali – Prima guida informativa

 

SCARICA LA GUIDA

L’INFOGRAFICA

Data breach: chi deve comunicarli al Garante?

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.

Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati.

Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati.

Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

I casi e gli adempimenti previsti dai provvedimenti del Garante

• Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) – 4 aprile 2013
• Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014
• Linee guida in materia di Dossier sanitario – 4 giugno 2015
• Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche – 2 luglio 2015

Clicca per l’infografica che offre un prospetto sintetico sulla materia.