Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy

internet bankingPer combattere i furti di identità o le frodi nell’internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti, quali la pressione sul touch screen o i movimenti del mouse,  in occasione della loro “navigazione” nell’area privata del proprio sito web.

Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web n. 5252271], si propone di innalzare i livelli di tutela attualmente previsti (come password per l’accesso al conto corrente on line, oppure one time password per bonifici e altre operazioni) con nuove modalità di “identificazione” dell’utente.

Per raggiungere tale obiettivo, l’istituto di credito ha chiesto a un partner tecnologico di generare profili univoci dei propri clienti basati sull’analisi del loro comportamento durante le operazioni svolte nell’area riservata del sito di internet banking.

La società, in una prima fase, raccoglie informazioni su azioni spontanee dell’utente, come i movimenti del mouse (incluse reazioni inconsce a “interferenze” prodotte appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri del sistema operativo e del browser di navigazione.

Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Il Garante ha riconosciuto l’importanza delle finalità perseguite dalla banca a garanzia della sicurezza dei servizi on-line ma, proprio per la delicatezza dei dati personali trattati, ha vincolato l’attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, ad esempio, potrà attivare il sistema di verifica biometrico-comportamentale solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso.

Dovrà inoltre valutare con attenzione l’effettiva pertinenza e non eccedenza di tutti i “dati di navigazione” astrattamente utilizzabili, configurando il sistema in modo tale da acquisire e trattare, fin dall’inizio, solo quelli strettamente necessari all’esecuzione del servizio.

Il partner tecnologico:

  • non avrà accesso alle schede anagrafiche dei clienti dell’istituto di credito in modo tale da non poter risalire alla loro identità e, in ogni caso,
  • non potrà interconnettere i profili comportamentali con le informazioni contenute in altre banche dati, così da scongiurare il rischio di trattamenti illeciti.

Sono state inoltre definite precise misure di sicurezza e limiti ai tempi di conservazione dei dati raccolti per la fornitura del servizio, garantendo comunque gli adempimenti previsti da specifiche normative di settore e la tutela di eventuali diritti in sede giudiziaria.

Annunci

Il datore di lavoro non può spiare le mail dei dipendenti

mail-dicembreI lavoratori devono essere informati. Il datore di lavoro non può spiare le mail
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(“L’Huffington Post”, 13 gennaio 2016)

Ma davvero, da oggi, i lavoratori europei potranno essere spiati dai loro datori di lavoro? La sentenza del 12 dicembre della Corte europea dei diritti umani sancisce la fine della privacy in ambito lavorativo?

È bene chiarirlo: assolutamente no.

La sentenza di ieri decide il ricorso di un ingegnere romeno licenziato per inadempimento contrattuale, provato anche dall’utilizzo per fini personali, in orario di lavoro, della mail aziendale. Con la pronuncia, la Corte si è limitata a ritenere non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali, affermato dalla giurisdizione romena.

E questo perché:

  1. l’azienda aveva informato i dipendenti delle condizioni d’uso della mail aziendale, che non ne consentivano l’utilizzo per fini personali. Ragione, questa, che avrebbe quindi ridotto l’aspettativa di riservatezza riposta dai lavoratori rispetto alle loro comunicazioni via e-mail;
  2. il monitoraggio delle mail è stato limitato nel tempo e nell’oggetto, nonché strettamente proporzionato allo scopo di provare l’inadempimento contrattuale del lavoratore (desunto da altri elementi), la cui scarsa produttività aveva determinato e legittimato il licenziamento;
  3. l’accesso alle e-mail del lavoratore da parte datoriale è stato legittimo proprio perché fondato sul presupposto della natura professionale del contenuto delle comunicazioni (come da contratto avrebbe dovuto essere);
  4. l’identità degli interlocutori del lavoratore non è stata rivelata in sede giurisdizionale;
  5. l‘azienda non ha avuto accesso ad altri documenti archiviati sul computer del lavoratore; il contenuto delle comunicazioni non è stato oggetto di sindacato da parte datoriale nel giudizio, ma soltanto il carattere personale delle mail inviate nell’orario di lavoro, con conseguente riduzione della produttività del dipendente;
  6. il dipendente non ha motivato la ragione dell’utilizzo della mail aziendale per fini personali.

La Corte ha dunque riaffermato, nel caso concreto, che i controlli datoriali sull’attività lavorativa sono ammissibili soltanto nella misura in cui siano strettamente proporzionati e non eccedenti lo scopo di verifica dell’adempimento contrattuale.

Essi devono essere inoltre:

  • limitati nel tempo e nell’oggetto;
  • mirati (dunque non massivi);
  • fondati su presupposti (quali in particolare l’inefficienza dell’attività lavorativa del dipendente) tali da legittimarne l’esecuzione.

Infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto.

Questa valutazione è in linea con la Raccomandazione sulla protezione dei dati in ambito lavorativo, approvata il 1° aprile scorso dallo stesso Consiglio d’Europa, che in particolare auspica:

  • la minimizzazione dei controlli difensivi o comunque rivolti agli strumenti elettronici;
  • l’assoluta residualità dei monitoraggi, con appositi sistemi informativi, sull’attività e il comportamento dei lavoratori in quanto tale.

Ed è in linea con la giurisprudenza italiana e con gli stessi principi affermati dal Garante, in particolare con le Linee guida del 2007.

Con questo provvedimento si è prescritto al datore di lavoro di informare i lavoratori:

  • delle condizioni di utilizzo della mail aziendale (e anche della stessa rete, in orario di lavoro o comunque con gli strumenti messi a disposizione dal datore),
  • dei controlli che il datore di lavoro si riserva di effettuare per fini legittimi, nonché
  • delle eventuali conseguenze disciplinari suscettibili di derivare dalla violazione di tali regole.

Principi che restano validi anche dopo la riforma dei controlli datoriali operata dal Jobs Act e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice privacy.

E, in particolare, ai principi ribaditi proprio dalla Corte europea dei diritti umani con la sentenza di ieri, di:

  • necessità,
  • finalità,
  • legittimità e correttezza,
  • proporzionalità e non eccedenza del trattamento,  
  • previa informativa del lavoratore,
  • divieto di profilazione.

Come abbiamo avuto modo di affermare in sede di audizione, dinanzi alle Commissioni parlamentari, sullo schema di decreto legislativo attuativo del Jobs Act in questa materia, sarà proprio il rispetto dei principi del Codice privacy il principale argine a un utilizzo pervasivo dei controlli sul lavoro.

E questo, anche in assenza delle modifiche che le Commissioni parlamentari, in conformità alle indicazioni da noi rese in audizione, avevano suggerito al Governo di apportare al testo del decreto per rafforzare le garanzie dei lavoratori, pur nel rispetto delle legittime esigenze datoriali.

Il Jobs Act

Dunque, anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell’ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori.

E così, ad esempio, ove il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati.

Prevenire

Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file.

E non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.

Privacy By Design

In questa prospettiva, assai utile può essere l’adozione di una soluzione di privacy-by-design, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere, il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto.

Ed è significativo che tali soluzioni siano valorizzate dal nuovo Regolamento Ue sulla protezione dati, che delinea il nuovo quadro giuridico europeo in una materia, come questa, su cui si giocano le sfide più importanti per le nostre democrazie.

Dossier sanitario: stop agli accessi indiscriminati ai dati dei pazienti

DSENo all’accesso indiscriminato al dossier sanitario elettronico. I dati devono essere accessibili solo ai professionisti sanitari che assistono in quel momento il paziente e solo per il tempo necessario alla cura.

I principi, già affermati in casi analoghi, sono stati ribaditi dal Garante privacy con un provvedimento [doc. web n. 4449114] in cui ha dettato all’Azienda Usl 11 di Empoli una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.

Il dossier è uno strumento costituito da un organismo sanitario (ospedale, clinica privata) contenente informazioni sullo stato di salute di un  assistito di quella struttura relative ad eventi clinici presenti e passati (es. referti, documentazione sui ricoveri, accessi al pronto soccorso).

Le irregolarità, emerse nel corso di accertamenti ispettivi, riguardavano, in particolare:

  • l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e
  • la costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda.

Va ricordato infatti, che il  paziente deve poter scegliere in modo libero e consapevole se far costituire o meno il dossier.

Gli accessi indiscriminati al sistema informatico, inoltre, a differenza di quanto stabilito nelle Linee guida del 2015, permettevano ad ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

L’Azienda – come prescritto dall’Autorità – entro il 31 marzo 2016 dovrà quindi adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti.

Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica).

Il personale amministrativo, invece, potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni.

L’Azienda, infine, dovrà modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa, necessari per mettere in condizione il paziente di fare scelte consapevoli:

  • sulla costituzione del dossier,
  • sui documenti sanitari da far inserire o escludere e
  • sui diritti che può esercitare.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

Dossier sanitario elettronico: più tutele per i pazienti

downloadIl Garante Privacy adotta le nuove linee guida: consenso informato, accessi  tracciati, immediata comunicazione dei data breach: varate  dal Garante privacy le nuove Linee guida sul dossier sanitario elettronico [doc. web n. 4084632] (Pubblicato sulla Gazzetta Ufficiale n. 164 del 17 luglio 2015)

In sintesi:

  • maggiori tutele per i dati dei pazienti che, fra l’altro, avranno la possibilità di conoscere gli accessi eseguiti sul proprio dossier;
  • più trasparenza;
  • obbligo per le strutture sanitarie di comunicare immediatamente all’Autorità i cosiddetti data breach (violazioni o incidenti informatici, come attacchi, accessi abusivi, azioni di malware, perdita, furto), che possano avere un impatto significativo sui dati.

L’infografica che illustra il Provvedimento

Scopo delle Linee guida è quello di definire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier, già istituiti o che si intendono istituire,  da parte di strutture sanitarie pubbliche e private.

Dossier sanitario elettronico (DSE) e Fascicolo sanitario elettronico (FSE)

Il dossier sanitario elettronico è lo strumento costituito presso un’unica struttura sanitaria (un ospedale, un’azienda sanitaria, una casa di cura), che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura.

Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l’intera storia clinica di una persona generata da più strutture sanitarie.

Il Provvedimento del Garante

Il provvedimento del Garante, in corso di pubblicazione nella Gazzetta ufficiale, stabilisce, in particolare, che:

  • ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o meno il dossier sanitario;
  • in assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista;
  • la mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste;
  • per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico.

Informativa

Per consentire al paziente di scegliere in maniera libera e consapevole, la struttura dovrà informarlo in modo chiaro, indicando in particolare:

  • chi avrà accesso ai suoi dati e
  • che tipo di operazioni potrà compiere.

Diritti del Paziente

La struttura sanitaria inoltre, dovrà garantire al paziente:

  • l’esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e
  • la conoscenza del reparto, della data e dell’orario in cui è avvenuta la consultazione del suo dossier.

Al paziente dovrà essere garantita anche la possibilità di “oscurare” alcuni dati o documenti sanitari che non intende far confluire nel dossier.

Misure di sicurezza

Considerata la particolare delicatezza del dossier il Garante ha prescritto l’adozione di elevate misure di sicurezza:

  • i dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili;
  • l’accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura;
  • ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi.

Eventuali violazioni di dati o incidenti informatici dovranno essere comunicati all’Autorità, entro quarantotto ore dalla conoscenza del fatto, attraverso un modulo predisposto dal Garante all’indirizzo: databreach.dossier@pec.gpdp.it.

Allegato A – LINEE GUIDA

Allegato B – MODELLO COMUNICAZIONE DATA BREACH

Allegato C – DEFINIZIONI

Call center: da oggi stop alle “telefonate mute”

call-centerE’ scaduto il tempo concesso alle società di telemarketing per mettersi in regola con le misure prescritte: da oggi i call center dovranno rispettare le regole fissate dal Garante privacy per combattere il fenomeno delle cosiddette “telefonate mute”, una forma di grave disturbo degli utenti.

E’ scaduto infatti il termine di sei mesi concesso alle società di telemarketing per adottare tutti gli accorgimenti tecnici e organizzativi prescritti con un provvedimento generale pubblicato sulla Gazzetta Ufficiale del 4 aprile scorso [doc.web n. 3017499].

Sono numerosi gli abbonati che hanno protestato per la ricezione di telefonate nelle quali, una volta risposto, non si viene messi in contatto con alcun interlocutore.

Per eliminare tempi morti tra una telefonata e l’altra, infatti, i sistemi automatizzati di chiamata possono generare un numero di telefonate superiore agli operatori disponibili: una pratica commerciale che, in alcuni casi, ha comportato il disturbo degli utenti anche per 10-15 volte di seguito e che è stata spesso vissuta addirittura come una forma di stalking.

Le nuove regole

Da oggi i parametri delle impostazioni di tali sistemi non saranno più decisi arbitrariamente dai call center, ma dovranno attenersi alle prescrizioni del Garante. Queste, in sintesi, le principali:

  1. i call center devono tenere precisa traccia delle “chiamate mute”, che devono comunque essere interrotte trascorsi 3 secondi dalla risposta dell’utente;
  2. non possono verificarsi più di 3 telefonate “mute” ogni 100 andate “a buon fine”. Tale rapporto deve essere rispettato nell’ambito di ogni singola campagna di telemarketing;
  3. l’utente non può più essere messo in attesa silenziosa, ma il sistema deve generare una sorta di rumore ambientale, il cosiddetto “comfort noise” (ad es. con voci di sottofondo, squilli di telefono, brusio), per dare la sensazione che la chiamata provenga da un call center e non da un eventuale molestatore;
  4. l’utente disturbato da una chiamata muta non può essere ricontattato per 5 giorni e, al contatto successivo, deve essere garantita la presenza di un operatore;
  5. i call center sono tenuti a conservare per almeno due anni i report statistici delle telefonate “mute” effettuate per ciascuna campagna, così da consentire eventuali controlli.

Gli operatori che non rispetteranno queste prescrizioni dell’Autorità incorreranno nelle sanzioni previste.

Privacy e videosorveglianza: no alle telecamere negli spogliatoi aziendali

portierato ferraraLegittima l’aspettativa di riservatezza dei lavoratori: un’azienda non potrà installare le  telecamere all’interno degli spogliatoi dei dipendenti.

Lo ha ribadito il  Garante della privacy [doc. web n. 3325380] che ha respinto la richiesta di una società di attivare un sistema di videosorveglianza che avrebbe violato la legittima aspettativa di intimità e la dignità dei lavoratori.

L’Azienda

L’azienda metalmeccanica riteneva la misura necessaria per arginare le “numerose e ripetute segnalazioni di effrazioni negli spogliatoi”, che l’avevano già  indotta a rafforzare gli armadietti, dotandoli di lucchetti, e a installare una telecamera all’ingresso degli spogliatoi.

Alla richiesta presentata al Garante, la società aveva anche allegato:

  • alcune denunce di furti avvenuti negli ultimi due anni, nonché
  • un accordo raggiunto con i sindacati aziendali che secondo l’impresa avrebbe consentito l’estensione dell’attuale impianto di videosorveglianza all’interno degli spogliatoi.

Il Garante

Nel vietare l’attuazione del progetto, il Garante ha ritenuto che l’installazione delle  telecamere negli  spogliatoi dei dipendenti non fosse conforme alle norme sulla protezione dei dati personali.

Il sistema, infatti, era configurato in modo tale da prevedere espressamente il minuzioso controllo dell’intera area adibita a spogliatoio, senza alcuna limitazione all’angolo di ripresa, in una zona connotata, invece, da una particolare aspettativa di riservatezza e di tutela della intimità e dignità della persona.

L’azienda, inoltre, non aveva motivato l’inutilità delle misure di sicurezza già adottate (rafforzamento degli armadietti, telecamera all’ingresso degli spogliatoi) e anche le denunce, presentate a sostegno del progetto,  riguardavano furti avvenuti in altre aree dell’azienda e al di fuori dell’orario di lavoro.

Il progetto, per giunta, non rispettava neppure l’accordo raggiunto con i sindacati né per quanto riguarda i luoghi di installazione delle telecamere né, ad esempio, per i tempi di conservazione delle immagini.

Google Italia: arrivano i paletti del Garante privacy

google-logoMountain View dovrà assicurare maggiore trasparenza nel trattamento dei dati e garanzie per chi utilizza i suoi servizi

Gli utenti che useranno i servizi o il motore di ricerca di Google in Italia saranno più tutelati. Il Garante privacy ha stabilito che il colosso di Mountain View non potrà utilizzare i loro dati a fini di profilazione se non ne avrà prima ottenuto il consenso e dovrà dichiarare esplicitamente di svolgere questa attività a fini commerciali.

Si è conclusa con un provvedimento prescrittivo l’istruttoria avviata lo scorso anno dal Garante italiano a seguito dei cambiamenti apportati dalla società alla propria privacy policy. Si tratta del primo provvedimento in Europa che – nell’ambito di un’azione coordinata con le altre Autorità di protezione dei dati europee ed a seguito della pronuncia della Corte di Giustizia europea sul diritto all’oblio – non si limita a richiamare al rispetto dei principi della disciplina privacy, ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformità alla legge.

La società ha infatti unificato in un unico documento le diverse regole di gestione dei dati relative alle numerosissime funzionalità offerte – dalla posta elettronica (Gmail), al social network (GooglePlus), alla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube), alle mappe on line (Street View), all’analisi statistica (Google Analytics) – procedendo pertanto all’integrazione e interoperabilità anche dei diversi prodotti e dunque all’incrocio dei dati degli utenti relativi all’utilizzo di più servizi.
Nel corso dell’istruttoria, caratterizzata anche da diverse audizioni con i suoi rappresentanti, Google ha adottato una serie di misure per rendere la propria privacy policy più conforme alle norme. Il Garante ha tuttavia rilevato il permanere di diversi profili critici relativi:

  • alla inadeguata informativa agli utenti,
  • alla mancata richiesta di consenso per finalità di profilazione,
  • agli incerti tempi di conservazione dei dati

e ha dettato una serie di regole, che si applicano all’insieme dei servizi offerti.

Informativa

Primo livello

L’Autorità ha prescritto a Google l’adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l’utenza:

  • l’indicazione dei trattamenti e dei dati oggetto di trattamento (es. localizzazione terminali, indirizzi IP etc.),
  • l’indicazione dell’indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc.;

Ma soprattutto Google dovrà spiegare chiaramente, nell’informativa generale:

  • che i dati personali degli utenti sono monitorati e utilizzati, tra l’altro, a fini di profilazione per pubblicità mirata e
  • che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting (sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell’utente e, a differenza dei cookie che vengono istallati sul pc o nello smartphone, le archivia direttamente presso i server della società).

Secondo livello

In un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti.

Consenso per fini di profilazione e pubblicità comportamentale

Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati – sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie e fingerprinting – Google dovrà acquisire il previo consenso degli utenti e non potrà più limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali.

In proposito, l’Autorità ha anche indicato una modalità innovativa e di facile impiego che, senza gravare eccessivamente sulla navigazione dell’utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.

Conservazione

Google dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti “attivi”, sia successivamente archiviati su sistemi di “back up”.

Cancellazione dati personali

Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano soddisfatte:

  • al massimo entro due mesi se i dati sono conservati sui sistemi “attivi”
  • entro sei mesi se i dati sono archiviati sui sistemi di back up.

Per quanto riguarda, invece, le richieste di cancellazione che interessano l’utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell’Unione europea sul diritto all’oblio.

Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante.

In quest’arco temporale, l’Autorità monitorerà l’implementazione delle misure prescritte. La società dovrà infatti sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante, sulla base del quale verranno disciplinati tempi e modalità per l’attività di controllo che l’Autorità svolgerà nei confronti di Mountain View.