Attività ispettiva privacy 2014: l’ammontare delle sanzioni sale a 5 milioni di euro

Privacy-Violazione-ImcCon 5 milioni di euro l’importo delle sanzioni applicate dal Garante privacy e riscosse dall’erario nell’anno 2014 segna un incremento di quasi un milione rispetto al 2013, circa il 20% in più. 
Principali violazioni privacy
Le sanzioni applicate a pubbliche amministrazioni e società private hanno riguardato, in prevalenza, violazioni della privacy per:
  • mancata adozione delle misure di sicurezza,
  • omessa o carente informativa,
  • uso illecito di dati personali.

Completano il bilancio  dell’attività ispettiva e sanzionatoria del Garante dello scorso anno 385 ispezioni, 577 sanzioni amministrative contestate e in via di definizione, 39 segnalazioni all’autorità giudiziaria.

Settori interessati
I 385 accertamenti ispettivi, effettuati anche mediante il contributo delle Unità speciali della Guardia di finanza – Nucleo speciale privacy, hanno interessato diversi importanti settori:
  • laboratori di analisi,
  • società farmaceutiche,
  • app mediche,
  • sistema informativo della fiscalità, 
  • gestori dei nodi di interscambio dei dati Internet (Ixp),
  • banche,
  • grandi alberghi,
  • società che gestiscono i sistemi di mobile payment,
  • importanti gruppi di intermediazione immobiliare, i cosiddetti “compro oro”,
  • operatori telefonici e call center. 

Le sanzioni amministrative contestate, a seguito degli accertamenti effettuati e di quelli conclusi nel corso del 2014, si riferiscono  in prevalenza,  a casi di omessa o inidonea informativa, trattamento illecito di dati, mancata comunicazione al Garante e agli utenti di violazioni di dati personali (cd. data breach).

Segnalazioni al Garante e Magistratura
Mentre le segnalazioni inviate dal Garante all’autorità giudiziaria hanno riguardato per la maggior parte la
  • mancata adozione delle misure minime di sicurezza e
  • le violazioni connesse al controllo a distanza dei lavoratori.

Segnalati alla magistratura anche casi di:

  • accesso abusivo a sistemi informatici o telematici,
  • false dichiarazioni e notificazioni al Garante,
  • inosservanza dei provvedimenti dell’Autorità. 
 
Varato anche il piano ispettivo per il primo semestre del 2015 [doc. web n.3738380].
Oltre alla prosecuzione dei controlli già avviati, sono in programma 150 accertamenti – svolti sempre in collaborazione con il Nucleo speciale privacy della Guardia di finanza – per verificare la regolarità dei trattamenti di dati personali effettuati nei settori:
  • del mobile payment di prossimità (es. pagamenti effettuati con una carta di credito virtuale inserita nella sim telefonica),
  • del fascicolo sanitario elettronico e dossier sanitario,
  • del telemarketing e dei call center operanti all’estero.

Particolare attenzione sarà posta anche sulla verifica del rispetto dell’obbligo di informativa agli utenti e della richiesta del consenso nei casi in cui questo è necessario.

Ai controlli programmati si affiancheranno quelli che si renderanno necessari  a seguito di segnalazioni e reclami presentati all’Autorità.

Stop alle telecamere occulte sul posto di lavoro

CAMERA29 4/4 AWIl Garante per la privacy ha vietato alla società editrice di un quotidiano del sud il trattamento dei dati personali effettuato attraverso apparati di ripresa installati in modo occulto presso la propria sede.

Dagli accertamenti effettuati dalla Guardia di Finanza su mandato del Garante, è emerso che quindici delle diciannove telecamere di cui è composto l’impianto di videosorveglianza erano state nascoste in rilevatori di fumo o in lampade di allarme, all’insaputa dei lavoratori, ai quali non era stata fornita alcuna informativa sulla presenza dell’impianto, né individualizzata, né semplificata (ad es. cartelli visibili, collocati prima del raggio di azione delle telecamere). Le uniche informazioni, peraltro insufficienti, erano scritte su un cartello di piccole dimensioni (15×15 cm), affisso a tre metri di altezza nell’ingresso del luogo di lavoro.

Nel disporre il divieto [doc. web n. 2439178], il Garante ha ritenuto che  la società  abbia operato un illecito trattamento di dati personali, avendo agito in violazione:

  • del diritto alla riservatezza e della dignità dei lavoratori, nonché
  • delle norme che ne vietano il controllo a distanza.

L’impianto, infatti, oltre a violare le norme del Codice privacy, era stato attivato senza rispettare quanto previsto dallo Statuto dei lavoratori (accordo con i sindacati o autorizzazione al Ministero del lavoro). 

A seguito dell’intervento del Garante, la società:

  • non potrà più utilizzare i dati raccolti e
  • dovrà limitarsi alla loro conservazione per consentire un’eventuale attività di accertamento da parte delle autorità competenti.

Il Garante, inoltre, avendo rilevato anche irregolarità nella raccolta dei dati personali degli abbonati alla testata giornalistica, ha prescritto alla società di riformulare la modulistica cartacea e quella online, inserendo tutte le informazioni sull’uso dei dati necessarie per renderla conforme alla normativa.

 

Privacy: operazione “Data Retention”

byod-mobile-vetrina_t6 marzo 2013: ispezioni della Guardia di Finanza in tutta Italia sul rispetto delle norme per la conservazione dei dati di traffico telefonico e telematico

Si chiama “Data Retention” l’operazione eseguita dai Finanzieri del Nucleo Speciale Privacy di Roma, nell’ambito delle attività di collaborazione con il Garante per la protezione dei dati personali, nei confronti di 11 società di telefonia e provider.

Gli accertamenti ispettivi, che si inquadrano nell’ambito dei controlli effettuati su delega dell’Autorità per la privacy, traggono origine da un’attività di analisi effettuata dal Nucleo, d’intesa con il Comando Unità Speciali della Guardia di Finanza, al fine di verificare che gli operatori telefonici ed i provider della rete internet rispettino le norme “privacy”.

 

data-retentionLa conservazione dei dati di traffico

Uno degli aspetti più delicati è senz’altro quello del trattamento dei dati di traffico telefonico e telematico, che consente agli operatori di disporre di una serie di importanti informazioni quali tra l’altro:

  • il numero chiamato
  • ora e data e durata del contatto
  • la localizzazione degli apparati degli utenti in caso dell’utilizzo di un telefono mobile.

Tali informazioni, in continuo aumento anche per il diffondersi di smartphone e tablet, devono essere conservate dai fornitori di servizi di comunicazione elettronica per fini investigativi e di giustizia, ad esclusiva disposizione degli organi inquirenti:

  • per ventiquattro mesi  (dati di traffico telefonico)
  • dodici mesi (dati di traffico telematico)

Il Garante ha stabilito con il Provvedimento del 17 gennaio 2008 stringenti misure e accorgimenti che devono essere rispettati dai fornitori per garantire la sicurezza dei dati, e la loro automatica cancellazione al termine del periodo di conservazione previsto dalla legge.

L’operazione in questione, pertanto, mirava a verificare il rispetto della normativa in materia di trattamento dei dati personali, nell’ottica di un bilanciamento tra le ragioni di giustizia e di sicurezza e l’interesse alla riservatezza della vita privata dei cittadini che, usufruendo di servizi di telefonia e di accesso ad internet ed alla posta elettronica, anche in mobilità, hanno rilasciato i propri dati alle aziende che forniscono i relativi servizi.

I controlli eseguiti hanno avuto in primo luogo lo scopo  di sensibilizzare gli operatori del settore circa il rispetto delle disposizioni di legge e delle prescrizioni impartite dal Garante.

 

Judge_HammerViolazioni della normativa privacy

In 9 casi sono state accertate e contestate violazioni amministrative al Codice Privacy relativamente a:

  • conservazione dei dati di traffico oltre i termini previsti
  • mancata adozione delle misure minime di sicurezza
  • mancata adozione di alcune delle ulteriori misure di protezione prescritte dal Provvedimento del Garante, quali:
    • l’uso di tecnologie di riconoscimento biometrico per selezionare l’accesso ai dati
    • la cifratura dei dati.

Due sono state le segnalazioni al Ministero dello sviluppo economico per l’eventuale contestazione della violazione relativa alla mancata conservazione dei dati di traffico o alla loro conservazione per un tempo inferiore a quello previsto.

E’ stata, infine, predisposta una segnalazione all’Autorità Giudiziaria per l’ipotesi di reato di violazione delle misure minime di sicurezza.

Al di là dei profili sanzionatori, il Garante dovrà ora valutare, caso per caso, la congruità delle misure adottate nonché la liceità dei trattamenti con riferimento, in particolare, al profilo, emerso in taluni casi, del trasferimento all’estero dei dati.

In ultima analisi, il messaggio che si è inteso veicolare mediante l’attività ispettiva in questione è stato quello che gli operatori del settore devono garantire la massima riservatezza dei dati di traffico generati dagli utenti dei propri servizi.

 

L’attività ispettiva del Garante privacy: telemarketing e profilazione a rischio

GaranteVarato anche il piano ispettivo per il primo semestre 2013

395 ispezioni, circa 3 milioni e 800 mila euro le somme riscosse a seguito di sanzioni. Un bilancio significativo quello riguardante l’attività ispettiva svolta dal Garante privacy nel 2012.

Gli accertamenti, effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato:

  • il telemarketing,
  • l’uso dei sistemi di localizzazione (gps)  nell’ambito del rapporto di lavoro,
  • i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment), 
  • il credito al consumo e le “centrali rischi”,
  • le banche dati del fisco,
  • l’attività di profilazione dei clienti da parte delle aziende.

 

cloud-privacy_tLe sanzioni

Per quanto riguarda le sanzioni amministrative, sono stati avviati 578 procedimenti (con un incremento del 61% rispetto al 2011) che hanno riguardato, in larga parte:

  • la omessa informativa,
  • il trattamento illecito dei dati,
  • il mancato rispetto delle norme in materia di telemarketing,
  • la conservazione eccessiva dei dati di traffico telefonico e telematico,
  • la mancata adozione di misure di sicurezza,
  • l’omessa o mancata notificazione al Garante,
  • l’inosservanza dei provvedimenti dell’Autorità.

L’incremento è dovuto, in particolare, all’attività di contrasto delle violazioni nel settore del telemarketing.

56 sono state le segnalazioni all’autorità giudiziaria (con un incremento del 51% rispetto al 2011), in particolare per violazioni connesse:

  • al controllo a distanza dei lavoratori,
  • all’accesso abusivo a banche dati,
  • alle misure di sicurezza,
  • alla falsità nelle dichiarazioni al Garante.

Per quanto riguarda le misure di sicurezza sono state impartite 18 prescrizioni nei confronti di diversi soggetti, pubblici e privati.

Le somme riscosse dall’erario a seguito di sanzioni sono state 3.769.217 di euro, con un aumento rispetto all’anno precedente del 22%.

 

2815884-16x9-340x191Il piano ispettivo del primo semestre 2013

Il piano ispettivo varato per il primo semestre 2013 punta su settori di particolare rilevanza:

  • le banche dati pubbliche in particolare di enti previdenziali e dell’amministrazione finanziaria,
  • l’attività di telemarketing da parte dei call center operanti all’estero,
  • il trattamento dei dati per il fascicolo sanitario elettronico,
  • i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment),
  • le “centrali rischi”.

 

privacy_alertGli accertamenti delle GdF e i principali Adempimenti privacy

200 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza.

A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa quali:

  • le informative da fornire ai cittadini sull’uso dei loro dati personali,
  • la corretta acquisizione del consenso da richiedere nei casi previsti dalla legge,
  • l’adozione delle misure di sicurezza,
  • il rispetto dell’obbligo di notificazione al Garante.

 

Guardia di Finanza, Privacy, Clienti e gestione del Personale

privacy5Ispezioni della Guardia di Finanza in tutta Italia sul rispetto delle norme per l’uso dei dati personali nell’attività di selezione del personale presso le strutture alberghiere

Si chiama “Job Vacancies” l’operazione eseguita dai Finanzieri del Nucleo Speciale Privacy di Roma, nell’ambito delle attività di collaborazione con il Garante per la protezione dei dati personali, nei confronti di 20 società operanti nel settore alberghiero.

L’operazione effettuata in tutta Italia mirava a verificare il rispetto della normativa in materia di trattamento dei dati personali di cittadini che rispondevano ad annunci di offerte di lavoro, pubblicate su riviste e siti specializzati, inviando il proprio curriculum vitae.

Gli accertamenti ispettivi (che traggono origine da un’attività di analisi effettuata dal Nucleo, d’intesa con il Comando Unità Speciali della Guardia di Finanza) si inquadrano nell’ambito dei controlli effettuati su delega dell’Autorità e hanno come scopo innanzitutto quello di

  • sensibilizzare gli operatori del settore sul tema della protezione dei dati personali e
  • fare in modo che un’attività così cruciale in questo momento venga salvaguardata e favorita proprio perché svolta nel rispetto delle regole.

In particolare, riguardo alla necessità, più volte ribadita dal Garante, che i soggetti economici che sollecitano l’invio di curricula vitae forniscano sempre preventivamente agli interessati un’idonea informativa. Informativa che, nel caso di annunci pubblicati su quotidiani o periodici, può anche essere resa mediante modalità semplificate.

carousel-education-curricula_tcm7-105387I controlli in strutture alberghiere: Informative ai Candidati all’assunzione e ai Clienti

I controlli effettuati hanno riguardato società che gestiscono strutture alberghiere di grandi dimensioni. In 10 casi sono state accertate violazioni alla legge relativamente all’omessa informativa a coloro che inviavano i propri curricula circa l’uso dei propri dati quali ad esempio:

  • l’identità del titolare del trattamento
  • l’eventuale inserimento all’interno di banche dati
  • l’ambito di comunicazione dei dati  
  • l’esercizio dei diritti sui propri dati riconosciuti per legge agli interessati. 

videosorveglianza3

In altri casi è stata riscontrata la mancata informativa ai Clienti che fornivano i propri dati per la prenotazione on line o l’assenza di cartelli che avvisano la clientela della presenza di telecamere negli alberghi. Per tutte queste violazioni sono state contestate le sanzioni amministrative previste dal Codice.

Nell’ambito dell’attività di controllo, in 3 casi, il Nucleo Privacy ha rilevato che l’istallazione dei sistemi di videosorveglianza all’interno delle strutture alberghiere era avvenuto in violazione delle garanzie a tutela dei lavoratori previste dall’art. 4 dello Statuto dei lavoratori, procedendo anche a segnalare il reato all’Autorità Giudiziaria.