Garante a Yahoo!: via il link alla pagina web con dati inesatti e superati

yahoo-privacy-eagle-communicationsYahoo! Emea Limited dovrà rimuovere il link alla pagina web di un sito statunitense in cui sono pubblicate informazioni inesatte e non aggiornate relative ad un cittadino italiano coinvolto in una vicenda giudiziaria accaduta in territorio americano.

Lo ha stabilito il Garante privacy accogliendo il ricorso di un uomo che si era visto pubblicare propri dati personali (alcuni persino attinenti alle caratteristiche fisiche) su un sito che riporta gli arresti compiuti ogni giorno negli Stati Uniti [doc. web n. 6026501].

Il ricorrente – già rivoltosi, senza esito, oltre che al motore di ricerca anche a Microsoft e Aol –  lamentava il danno derivante dalla pubblicazione di notizie inesatte e obsolete relative ad un arresto subito nel 2015 per un reato poi derubricato in uno di minore gravità.

Circostanza, quest’ultima, non riportata nel sito, in cui risultavano ancora le notizie relative alla prima ipotesi di reato e non venivano fornite informazioni sui successivi sviluppi della vicenda archiviata “con un non luogo a provvedere nell’immediato futuro”.

Il Garante, anche alla luce della direttiva 95/46/CE e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale sulla base del principio di stabilimento.

Tale decisione è stata confermata anche da una recente sentenza pronunciata dal Tribunale di Milano nell’ambito di un giudizio di opposizione attivato da Yahoo! contro un precedente provvedimento del Garante in cui si stabilivano principi analoghi.

Il Tribunale, oltre a confermare la giurisdizione dell’Autorità italiana alla luce della direttiva europea 95/46/CE così come interpretata dalla Corte di Giustizia, ha affermato che alla stessa conclusione si può comunque pervenire attraverso la necessità di garantire il principio della effettività della tutela “a fronte di una lesione derivante da un illecito trattamento di dati personali avvenuti on line e i cui effetti dannosi si sono verificati in Italia”.

Nell’accogliere il ricorso, l’Autorità ha dunque:

  • ritenuto illecita la diffusione di informazioni non aggiornate e inesatte riferite al ricorrente, perché in contrasto con la normativa europea e nazionale, e
  • ordinato a Yahoo!  di provvedere alla rapida rimozione, in associazione con il nome e cognome dell’uomo, dell’Url alla pagina web.

L’Autorità, infine, ha dichiarato non luogo a provvedere sul ricorso nei confronti di Microsoft e di Aol che hanno provveduto a rimuovere il link nel corso del procedimento. 

Annunci

Lotta alle violazioni della privacy: cresce l’attività ispettiva del Garante

Per il 2014 programmati controlli su call center all’estero e mobile payment

privacy_professionalsA che punto è il rispetto della privacy in Italia?

Una risposta può venire dal resoconto sull’attività ispettiva e sanzionatoria del Garante nel 2013 dalla quale risulta che

  • utenti e cittadini vengono  ancora poco informati da aziende e Pa sull’uso dei loro dati personali,  
  • sono ancora troppi i casi in cui le informazioni personali vengono usate senza il consenso degli interessati
  • c’è ancora poca attenzione alla messa in sicurezza dei dati personali da parte di chi li raccoglie, li usa e li gestisce.

 

garanteBilancio dei controlli del Garante

Il bilancio dei controlli del Garante nello scorso anno ha registrato un incremento in tutti i settori: le ispezioni effettuate sono state 411 e le somme riscosse dall’erario da parte di soggetti pubblici e privati sono state di oltre 4 milioni di euro. In forte crescita le segnalazioni all’Autorità giudiziaria  per violazioni penali che sono state 71.

Settori più controllati

I 411 accertamenti (+4% rispetto al 2012), effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato settori sui quali il Garante concentra da tempo una particolare attenzione:

  • call center e telefonate promozionali indesiderate
  • banche dati del fisco
  • credito al consumo
  • “centrali rischi”
  • sistema informativo dell’Inps
  • sanità.
  • reti telematiche con ispezioni sull’uso dei sistemi di localizzazione satellitare (gps) nell’ambito del rapporto di lavoro
  • nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment),
  • sulle violazioni delle banche dati dei gestori tlc (data breaches)

 

pro_civProcedimenti e sanzioni

Significativo il numero di procedimenti sanzionatori avviati: 850 procedimenti, a fronte dei 578 del 2012 (con un aumento quindi del 47%).

Le sanzioni hanno riguardato, innanzitutto,

  • la omessa o inidonea informativa (476)
  • il trattamento illecito dei dati (277), legato principalmente al telemarketing e all’uso dei dati personali senza consenso

Ma i procedimenti avviati sono relativi anche :

  • alla mancata adozione di misure di sicurezza
  • alle violazioni connesse alla conservazione dei dati di traffico telefonico
  • all’omessa notificazione al Garante
  • all’inosservanza dei provvedimenti dell’Autorità

Sono aumentate in maniera rilevante le segnalazioni all’Autorità giudiziaria salite, come detto, a 71 (con una crescita del 27% rispetto al 2012), in particolare per mancata adozione delle misure minime di sicurezza a protezione dei dati personali, per violazioni riguardanti il  controllo a distanza dei lavoratori, per trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell’Authority.

 

open-data-120214180002_mediumIl piano ispettivo per il primi sei mesi del 2014

Il Garante ha varato anche il piano ispettivo per il primo semestre 2014.

Il piano prevede  la prosecuzione di controlli avviati lo scorso anno:

  • grandi banche dati pubbliche, in particolare di enti previdenziali e dell’amministrazione finanziaria
  • gestione delle reti pubbliche di accesso a Internet in  wi-fi
  • marketing telefonico
  • mobile payment

Il piano prevede anche  l’avvio di ispezioni in ambiti particolarmente significativi per numero o delicatezza dei dati trattati:

  • i call center delocalizzati in Paesi extra Ue
  • i sistemi di profilazione dei consumatori
  • le aziende farmaceutiche
  • i centri di assistenza tecnica e recupero dati

Accertamenti verranno svolti anche sul rispetto dei nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazione ai loro data base a causa di attacchi informatici o eventi avversi (data breaches).

Circa 200 gli accertamenti ispettivi programmati, che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa.

No al far west nel mercato del lavoro su Internet

ricerca-lavoro-onlineIntervento a tutela di migliaia di aspiranti lavoratori iscritti ad un sito web: maggiore trasparenza e correttezza nel mercato del lavoro via Internet.

E’ quanto chiede il Garante privacy [doc. web n. 2865637] che ha vietato ad una società l’uso dei dati personali di oltre 400 mila aspiranti lavoratori raccolti e gestiti in modo illecito.

La società che svolgeva attività di intermediazione attraverso il proprio sito web senza la prescritta autorizzazione ministeriale, non aveva neppure conferito, come necessario, i dati dei candidati a Cliclavoro, il portale del Ministero del lavoro che costituisce la Borsa continua nazionale del lavoro. 

L’azienda raggiunta dal divieto del Garante non si limitava a mettere a disposizione una mera “bacheca digitale” in cui rendere pubbliche le offerte di lavoro e le candidature, ma offriva veri e propri servizi di intermediazione (consultazione di un database con centinaia di migliaia di curricula, comunicazione di informazioni sui candidati, invio di offerte di lavoro “su misura”, ecc.). Un’attività effettuata, peraltro, senza fornire agli utenti che si registravano al sito una informativa trasparente con l’indicazione di tutte le operazioni realmente svolte.

La grave situazione è emersa nel corso di verifiche ispettive disposte dall’Autorità a seguito di alcune segnalazioni in cui si lamentavano irregolarità nel trattamento dei dati personali. I candidati denunciavano il fatto che per poter completare la procedura di registrazione al sito e concorrere così alle offerte di lavoro erano obbligati a dare il consenso, tramite un’opzione preselezionata, alla ricezione di informazioni promozionali per posta, telefono, email, sms.

Judge_HammerAlla luce delle verifiche svolte, il Garante:

  • oltre ad inibire l’uso dei dati raccolti senza autorizzazione,
  • ha dichiarato illeciti e ha vietato anche questi trattamenti perché effettuati in violazione della norma del Codice privacy che garantisce a chiunque la possibilità di esprimere un consenso libero e informato per ogni tipo di operazione che la società intende svolgere.

Dopo l’intervento del Garante la società non potrà più utilizzare le informazioni raccolte né per attività di intermediazione né per attività promozionali.

I dati potranno essere solo conservati in vista di un’eventuale acquisizione da parte dell’autorità giudiziaria o per la tutela dei diritti in sede giudiziaria. L’Autorità si è riservata l’applicazione di una sanzione amministrativa per l’inidonea informativa agli utenti. Il provvedimento è stato inviato al Ministero del lavoro per le valutazioni di competenza

 

Redditometro: concluso l’esame del Garante

redditometroIl Garante per la privacy ha dato il via libera al cosiddetto “redditometro”, ma ha prescritto all’Agenzia delle entrate l’adozione di una serie di misure e accorgimenti per ridurre al minimo i rischi per la privacy delle persone e nel contempo rendere lo strumento di accertamento più efficace nella lotta all’evasione fiscale.

Va ricordato che per calcolare lo scostamento tra i redditi dichiarati e le spese effettuate e per selezionare i contribuenti da sottoporre a controlli, il nuovo redditometro si fonda:

  • sul trattamento automatizzato di dati personali in possesso dell’Agenzia delle entrate – comunicati dallo stesso contribuente o da soggetti esterni (es. società telefoniche, assicurazioni) – e
  • sull’imputazione anche di spese presunte, determinate sulla base dell’attribuzione automatica al contribuente di un determinato “profilo”.

Questo tipo di trattamento, che comporta la “profilazione” dei contribuenti e presenta rischi specifici per i diritti fondamentali delle persone, ha reso necessaria la verifica preliminare del redditometro da parte del Garante.

L’Amministrazione finanziaria ha scelto di quantificare le spese presunte anche ricorrendo alle cosiddette “spese medie Istat” ricavate dall’appartenenza del contribuente ad una specifica tipologia di famiglia e alla residenza in una determinata aera geografica.

Criticità

Nel corso della complessa e approfondita verifica preliminare svolta dal Garante sul sistema di accertamento sintetico del reddito dei contribuenti, sono emersi, anche a seguito di accertamenti ispettivi, numerosi profili di criticità (derivanti, peraltro, anche dallo stesso Decreto ministeriale di attuazione del nuovo redditometro) che rendevano il sistema non conforme alle norme sulla privacy.

In particolare, riguardo:

  • alla qualità ed esattezza dei dati utilizzati dall’Agenzia delle entrate;
  • all’individuazione in via presuntiva della spesa sostenuta da ciascun contribuente riguardo ad ogni aspetto della vita quotidiana (tempo libero, libri, pasti fuori casa etc.) mediante l’attribuzione alla generalità dei soggetti censiti nell’anagrafe tributaria della spesa media rilevata dall’Istat;
  • all‘informativa da rendere al contribuente.

Alcune di queste criticità  sono state risolte già nel corso della verifica preliminare mediante i correttivi apportati dall’Agenzia delle entrate, anche su indicazione del Garante. Ulteriori misure a garanzia dei contribuenti sono state invece prescritte dall’Autorità con il provvedimento odierno.

Le nuove misure prescritte dal Garante

Ecco in sintesi le misure che renderanno il nuovo redditometro conforme alla normativa sulla privacy.

Profilazione
Il reddito del contribuente potrà essere ricostruito utilizzando unicamente spese certe e spese che valorizzano elementi certi (possesso di beni o utilizzo di servizi e relativo mantenimento) senza utilizzare spese presunte basate unicamente sulla media Istat.

Spese medie Istat
I dati delle spese medie Istat non possono essere utilizzati per determinare l’ammontare di spese frazionate e ricorrenti (es. abbigliamento, alimentari, alberghi etc.) per le quali il fisco non ha evidenze certe. Tali dati infatti, riferibili allo standard di consumo medio familiare, non possono essere ricondotti correttamente ad alcun individuo, se non con notevoli margini di errore in eccesso o in difetto.

Fitto figurativo
Il cosiddetto “fitto figurativo” (attribuito al contribuente in assenza di abitazione in proprietà o locazione nel comune di residenza) non verrà utilizzato per selezionare i contribuenti da sottoporre ad accertamento, ma solo ove necessario a seguito del contraddittorio. Il “fitto figurativo” dovrà essere attribuito solo una volta verificata la corretta composizione del nucleo familiare, per evitare le incongruenze riscontrate dal Garante (che comportavano l’attribuzione automatica a 2 milioni di minori della spesa fittizia per l’affitto di una abitazione).

Esattezza dei dati
L’Agenzia dovrà porre particolare attenzione alla qualità e all’esattezza dei dati al fine di prevenire e correggere le evidenti anomalie riscontrate nella banca dati o i disallineamenti tra famiglia fiscale e anagrafica. La corretta composizione della famiglia è infatti rilevante per la ricostruzione del reddito familiare, l’individuazione della tipologia di famiglia o l’attribuzione del fitto figurativo.

Informativa ai contribuenti
Il contribuente dovrà essere informato, attraverso l’apposita informativa allegata al modello di dichiarazione dei redditi e disponibile anche sul sito dell’Agenzia delle entrate, del fatto che i suoi dati personali saranno utilizzati anche ai fini del redditometro.

Contraddittorio
Nell’invito al contraddittorio dovrà essere specificata chiaramente al contribuente  la natura obbligatoria o facoltativa degli ulteriori dati richiesti dall’Agenzia (es. estratto conto) e le conseguenze di un eventuale rifiuto anche parziale a rispondere.

Dati presunti di spesa, non ancorati ad alcun elemento certo e quantificabili esclusivamente sulla base delle spese Istat, non potranno costituire oggetto del contraddittorio. E questo perché la richiesta di tali dati  – relativi ad ogni aspetto della vita quotidiana, anche risalenti nel tempo – entra in conflitto con i principi generali di riservatezza e protezione dati sanciti in particolare dalla Convenzione europea dei diritti dell’uomo.

Videosorveglianza nei supermercati senza ledere la dignità dei lavoratori

tvcc3Nel mirino del Garante le società della grande distribuzione con sistemi di videosorveglianza non a norma.

La legittima esigenza di tutelare il patrimonio, di proteggersi da furti e rapine con impianti di videosorveglianza, non autorizza i supermercati a operare in violazione delle libertà fondamentali e della dignità di dipendenti e clienti.

Lo ribadisce il Garante in seguito ai risultati di un’attività ispettiva  nel settore della grande distribuzione, che ha rilevato come numerose società non avevano rispettato le garanzie previste:

  • dallo Statuto dei lavoratori,
  • dalla normativa sulla privacy
  • dal provvedimento generale in materia di videosorveglianza predisposto dalla stessa Autorità.

Dagli accertamenti disposti dal Garante, è emerso, ad esempio, che tra le società sottoposte ad ispezione, cinque non avevano ottenuto un preventivo accordo sindacale o richiesto l’apposita autorizzazione al competente ufficio del Ministero del lavoro [doc. web n. 26052902578071257720325772272691507].

A tal proposito, l’Autorità ha sottolineato che non è sufficiente che i lavoratori siano stati informati o che abbiano addirittura acconsentito all’installazione del telecamere per far venir meno le specifiche tutele previste dalla normativa o lo stesso divieto di controllo a distanza.

Una sesta società [doc. web n. 2683203], a differenza dalle precedenti, aveva sì ottenuto l’autorizzazione dell’ufficio ministeriale ad installare l’impianto di videosorveglianza, ma non ne aveva poi rispettato tutte le prescrizioni.

Dalle verifiche condotte, sia a campione sia in seguito a segnalazioni, dal Nucleo Speciale Privacy della Guardia di Finanza, sono state riscontrate anche altre violazioni: alcuni esercizi commerciali conservavano le immagini per un arco temporale non giustificato da esigenze specifiche (ad esempio, per ripetuti furti o rapine) così come invece stabilito dal provvedimento generale del Garante in materia di videosorveglianza.

Due dei supermercati controllati dal Garante, inoltre, non avevano provveduto a segnalare adeguatamente la presenza delle telecamere con appositi cartelli o avevano omesso di indicare chi fosse il titolare del trattamento.

Il legale rappresentante di un supermercato aveva addirittura dichiarato al nucleo ispettivo che l’impianto di videosorveglianza non era in funzione, salvo poi doversi smentire di fronte alle evidenze raccolte.

L’Autorità ha dichiarato illecito il trattamento dei dati personali effettuato dalle sei società tramite i sistemi di videosorveglianza e ha disposto che tutti gli esercizi commerciali si adeguino entro trenta giorni alle misure prescritte alla luce della normativa sulla privacy e dallo Statuto dei lavoratori.

Sono in arrivo ulteriori provvedimenti nei confronti di altre società della grande distribuzione.