Telecamere “intelligenti”: sì del Garante a Bankitalia

video_surveillance_and_physical_security_212463Telecamere “intelligenti”ammesse per tutelare la sicurezza di edifici e beni

Il Garante per la privacy ha accolto [doc. web n. 3230814] la richiesta di verifica preliminare presentata dalla Banca d’Italia relativa all’uso di sistemi di videosorveglianza intelligente da istallarsi presso le sedi dell’Amministrazione centrale e delle filiali. Lo scopo della Banca è garantire la sicurezza degli edifici e dei beni dell’Istituto in relazione agli specifici rischi connessi allo stoccaggio e alla gestione di elevate quantità di valori.

Gli impianti sottoposti alla verifica del Garante prevedono un  sistema di “alert” che si attiva a fronte:

  • del superamento di una barriera virtuale predefinita
  • o dell’accesso a determinate aree interdette
  • o del riconoscimento della presenza di persone.

Le ulteriori funzionalità del sistema che Bankitalia intende installare  (tra le quali la lettura targhe e identificazione mezzi e il conteggio delle persone)  non rientrano invece tra le ipotesi per le quali è necessario richiedere la verifica preliminare perché non prevedono la generazione di allarmi.

Anche le funzioni di “riconoscimento oggetto abbandonato” e “mancanza oggetto”, pur prevedendo l’attivazione di un allarme, non richiedono la verifica preliminare, in quanto non comportano un trattamento di dati personali.

green_globe_ok_tic_584Proporzionalità del trattamento

Alla luce della verifica effettuata, il Garante ritiene proporzionato e quindi ammissibile il trattamento dei dati personali che la Banca d’Italia intende effettuare. Esso infatti non comporta un pregiudizio rilevante per gli interessati dal momento che i sistemi sono volti esclusivamente a richiamare l’attenzione degli addetti al controllo e non ad attivare ulteriori funzionalità (ad esempio la geolocalizzazione o il confronto con dati biometrici).

In ogni caso, sulla base del Codice privacy e del provvedimento generale sulla videosorveglianza del 2010, il Garante ha richiamato la Banca d’Italia al rispetto delle  prescrizioni relative alle misure minime di sicurezza, delle indicazioni in materia di informativa agli interessati e delle garanzie previste sul controllo a distanza dei lavoratori.

Utenti al riparo dalle telefonate “mute” 

support_help_talk-512Varate le regole contro il telemarketing più invasivo: utenti telefonici più tutelati contro le “telefonate mute”, un fenomeno particolarmente fastidioso causato da un’attività di promozione telefonica poco rispettosa della tranquillità degli utenti.

A conclusione della consultazione pubblica [doc. web n. 2740497] avviata lo scorso anno sulle misure da adottare per ridurre drasticamente questo fenomeno, il Garante privacy ha varato in via definitiva il provvedimento generale [doc. web n. 3017499] che impone agli operatori di telemarketing di adottare specifiche misure per ridurre drasticamente questo tipo di disturbo.

Sono stati numerosi gli abbonati che hanno segnalato al Garante la ricezione di telefonate nelle quali, una volta risposto, non si viene messi in contatto con alcun interlocutore.

Una pratica che, in alcuni casi, ha comportato il disturbo degli utenti anche  per 10-15 volte di seguito e che viene spesso vissuta dagli utenti addirittura come una forma di stalking, fino a configurarsi come un vero e proprio allarme sociale.

Come messo in luce dalle verifiche effettuate dall’Autorità, il problema deriva dalle impostazioni dei sistemi centralizzati di chiamata dei call center, rivolte a massimizzare la produttività degli operatori.

Per eliminare tempi morti tra una telefonata e l’altra, infatti, il sistema genera in automatico un numero di chiamate superiore agli operatori disponibili. Queste chiamate, una volta ottenuta risposta, possono essere mantenute in attesa silenziosa finché non si libera un operatore. Il risultato è appunto una “chiamata muta”, che può indurre comprensibili stati di ansia, paura e disagio nei destinatari.

alert-icon-redEcco dunque le regole fissate dal Garante per eliminare gli effetti distorsivi di questa pratica commerciale, senza penalizzare l’efficienza delle imprese di telemarketing:

  1. i call center dovranno tenere precisa traccia delle “chiamate mute”, che dovranno comunque essere interrotte trascorsi 3 secondi dalla risposta dell’utente;
  2. non potranno verificarsi più di 3 telefonate “mute” ogni 100 andate “a buon fine”. Tale rapporto dovrà essere rispettato nell’ambito di ogni singola campagna di telemarketing; 
  3. l’utente non potrà più essere messo in attesa silenziosa, ma il sistema dovrà generare una sorta di rumore ambientale, il cosiddetto “comfort noise” (ad es. con voci di sottofondo, squilli di telefono, brusio), per dare la sensazione che la chiamata provenga da un call center e non da un eventuale molestatore;
  4. l’utente disturbato da una chiamata muta non potrà essere ricontattato per 5 giorni e, al contatto successivo, dovrà essere garantita la presenza di un operatore;
  5. i call center saranno tenuti a conservare per almeno due anni i report statistici delle telefonate “mute” effettuate per ciascuna campagna, così da consentire eventuali controlli.

Gli operatori di telemarketing hanno sei mesi di tempo per mettersi in regola e adottare le misure prescritte dall’Autorità.

Firma biometrica in mobilità a prova di privacy

Il Garante autorizza due nuovi sistemi per la firma dei clienti sui tablet dei promotori finanziari

t01IM01Due banche potranno dotare i loro promotori finanziari di tablet in grado di analizzare i dati biometrici della firma apposta dai clienti che desiderano sottoscrivere contratti finanziari a distanza. Tutte le società coinvolte nell’abilitazione e nella gestione dei due sistemi dovranno:

  • adottare particolari misure a tutela dei dati raccolti e  
  • garantire ai clienti la possibilità di sottoscrivere i contratti anche attraverso modalità tradizionali.

Gli istituti di credito hanno sottolineato che l’utilizzo della firma biometrica consentirebbe di ridurre il rischio di frodi, in particolare quelle legate al furto di identità, di contenzioso rispetto all’eventuale disconoscimento della firma, nonché di snellire e velocizzare le operazioni effettuate per il tramite dei promotori finanziari.

downloadPrimo sistema

Il primo sistema (Servizio di firma digitale remota con autenticazione biometrica. Verifica preliminare richiesta da Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A. – 23 gennaio 2014), autorizzato dal Garante privacy a seguito di verifica preliminare, prevede che il promotore finanziario faccia firmare il cliente sul tablet a fini di riconoscimento. L’analisi delle caratteristiche “dinamiche” della firma  apposta sul tablet (pressione, accelerazione e inclinazione) viene confrontata con i parametri già acquisiti da una società di certificazione: in caso di corrispondenza il cliente viene così autenticato e può sottoscrivere con un’apposita firma digitale il contratto proposto dall’operatore finanziario.

fineco-bank-1136475Secondo sistema

Nel secondo sistema (Sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca – Verifica preliminare richiesta da Fineco Bank S.p.A. – 12 settembre 2013), invece, la firma (cosiddetta “grafometrica”) apposta sul tablet non serve per autenticarsi ma per sottoscrivere direttamente il documento attraverso modalità eventualmente riconducibili a una firma elettronica avanzata.

Il contratto viene poi inviato e conservato in modalità cifrata da società incaricate della gestione documentale. In caso di contenzioso, e solo su specifica richiesta dell’autorità giudiziaria, questo sistema consente di utilizzare i dati biometrici raccolti per poter riprodurre in chiaro la firma di fronte a un perito grafologo che possa certificarne l’autenticità.

Prescrizioni del Garante

Il Garante, nell’autorizzare i due progetti, ha però richiesto l’adozione di particolari cautele a difesa dei dati  biometrici degli utenti, anche in considerazione del fatto che parte del trattamento avverrà attraverso strumenti, tablet, che possono essere utilizzati “in mobilità”, al di fuori delle sedi degli istituti bancari.

Le banche e le società fornitrici del servizio dovranno quindi proteggere anche i tablet utilizzati dai promotori finanziari, impedendo ad esempio:

  • che possano essere installati software non autorizzati o
  • che vengano infettati da virus informatici.

Il contenuto dei tablet dovrà poter essere completamente cancellato da remoto (“remote wiping”) nel caso in cui questi strumenti vengano manomessi, smarriti o rubati.

L’Autorità ha poi sottolineato che:

  • i dati biometrici dei clienti potranno essere utilizzati esclusivamente per le finalità connesse alla sottoscrizione dei contratti  
  • dovrà essere comunque prevista la possibilità di sottoscrivere i contratti con firma “tradizionale” su moduli cartacei.

Lotta alle violazioni della privacy: cresce l’attività ispettiva del Garante

Per il 2014 programmati controlli su call center all’estero e mobile payment

privacy_professionalsA che punto è il rispetto della privacy in Italia?

Una risposta può venire dal resoconto sull’attività ispettiva e sanzionatoria del Garante nel 2013 dalla quale risulta che

  • utenti e cittadini vengono  ancora poco informati da aziende e Pa sull’uso dei loro dati personali,  
  • sono ancora troppi i casi in cui le informazioni personali vengono usate senza il consenso degli interessati
  • c’è ancora poca attenzione alla messa in sicurezza dei dati personali da parte di chi li raccoglie, li usa e li gestisce.

 

garanteBilancio dei controlli del Garante

Il bilancio dei controlli del Garante nello scorso anno ha registrato un incremento in tutti i settori: le ispezioni effettuate sono state 411 e le somme riscosse dall’erario da parte di soggetti pubblici e privati sono state di oltre 4 milioni di euro. In forte crescita le segnalazioni all’Autorità giudiziaria  per violazioni penali che sono state 71.

Settori più controllati

I 411 accertamenti (+4% rispetto al 2012), effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato settori sui quali il Garante concentra da tempo una particolare attenzione:

  • call center e telefonate promozionali indesiderate
  • banche dati del fisco
  • credito al consumo
  • “centrali rischi”
  • sistema informativo dell’Inps
  • sanità.
  • reti telematiche con ispezioni sull’uso dei sistemi di localizzazione satellitare (gps) nell’ambito del rapporto di lavoro
  • nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment),
  • sulle violazioni delle banche dati dei gestori tlc (data breaches)

 

pro_civProcedimenti e sanzioni

Significativo il numero di procedimenti sanzionatori avviati: 850 procedimenti, a fronte dei 578 del 2012 (con un aumento quindi del 47%).

Le sanzioni hanno riguardato, innanzitutto,

  • la omessa o inidonea informativa (476)
  • il trattamento illecito dei dati (277), legato principalmente al telemarketing e all’uso dei dati personali senza consenso

Ma i procedimenti avviati sono relativi anche :

  • alla mancata adozione di misure di sicurezza
  • alle violazioni connesse alla conservazione dei dati di traffico telefonico
  • all’omessa notificazione al Garante
  • all’inosservanza dei provvedimenti dell’Autorità

Sono aumentate in maniera rilevante le segnalazioni all’Autorità giudiziaria salite, come detto, a 71 (con una crescita del 27% rispetto al 2012), in particolare per mancata adozione delle misure minime di sicurezza a protezione dei dati personali, per violazioni riguardanti il  controllo a distanza dei lavoratori, per trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell’Authority.

 

open-data-120214180002_mediumIl piano ispettivo per il primi sei mesi del 2014

Il Garante ha varato anche il piano ispettivo per il primo semestre 2014.

Il piano prevede  la prosecuzione di controlli avviati lo scorso anno:

  • grandi banche dati pubbliche, in particolare di enti previdenziali e dell’amministrazione finanziaria
  • gestione delle reti pubbliche di accesso a Internet in  wi-fi
  • marketing telefonico
  • mobile payment

Il piano prevede anche  l’avvio di ispezioni in ambiti particolarmente significativi per numero o delicatezza dei dati trattati:

  • i call center delocalizzati in Paesi extra Ue
  • i sistemi di profilazione dei consumatori
  • le aziende farmaceutiche
  • i centri di assistenza tecnica e recupero dati

Accertamenti verranno svolti anche sul rispetto dei nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazione ai loro data base a causa di attacchi informatici o eventi avversi (data breaches).

Circa 200 gli accertamenti ispettivi programmati, che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa.

No al far west nel mercato del lavoro su Internet

ricerca-lavoro-onlineIntervento a tutela di migliaia di aspiranti lavoratori iscritti ad un sito web: maggiore trasparenza e correttezza nel mercato del lavoro via Internet.

E’ quanto chiede il Garante privacy [doc. web n. 2865637] che ha vietato ad una società l’uso dei dati personali di oltre 400 mila aspiranti lavoratori raccolti e gestiti in modo illecito.

La società che svolgeva attività di intermediazione attraverso il proprio sito web senza la prescritta autorizzazione ministeriale, non aveva neppure conferito, come necessario, i dati dei candidati a Cliclavoro, il portale del Ministero del lavoro che costituisce la Borsa continua nazionale del lavoro. 

L’azienda raggiunta dal divieto del Garante non si limitava a mettere a disposizione una mera “bacheca digitale” in cui rendere pubbliche le offerte di lavoro e le candidature, ma offriva veri e propri servizi di intermediazione (consultazione di un database con centinaia di migliaia di curricula, comunicazione di informazioni sui candidati, invio di offerte di lavoro “su misura”, ecc.). Un’attività effettuata, peraltro, senza fornire agli utenti che si registravano al sito una informativa trasparente con l’indicazione di tutte le operazioni realmente svolte.

La grave situazione è emersa nel corso di verifiche ispettive disposte dall’Autorità a seguito di alcune segnalazioni in cui si lamentavano irregolarità nel trattamento dei dati personali. I candidati denunciavano il fatto che per poter completare la procedura di registrazione al sito e concorrere così alle offerte di lavoro erano obbligati a dare il consenso, tramite un’opzione preselezionata, alla ricezione di informazioni promozionali per posta, telefono, email, sms.

Judge_HammerAlla luce delle verifiche svolte, il Garante:

  • oltre ad inibire l’uso dei dati raccolti senza autorizzazione,
  • ha dichiarato illeciti e ha vietato anche questi trattamenti perché effettuati in violazione della norma del Codice privacy che garantisce a chiunque la possibilità di esprimere un consenso libero e informato per ogni tipo di operazione che la società intende svolgere.

Dopo l’intervento del Garante la società non potrà più utilizzare le informazioni raccolte né per attività di intermediazione né per attività promozionali.

I dati potranno essere solo conservati in vista di un’eventuale acquisizione da parte dell’autorità giudiziaria o per la tutela dei diritti in sede giudiziaria. L’Autorità si è riservata l’applicazione di una sanzione amministrativa per l’inidonea informativa agli utenti. Il provvedimento è stato inviato al Ministero del lavoro per le valutazioni di competenza

 

Redditometro: concluso l’esame del Garante

redditometroIl Garante per la privacy ha dato il via libera al cosiddetto “redditometro”, ma ha prescritto all’Agenzia delle entrate l’adozione di una serie di misure e accorgimenti per ridurre al minimo i rischi per la privacy delle persone e nel contempo rendere lo strumento di accertamento più efficace nella lotta all’evasione fiscale.

Va ricordato che per calcolare lo scostamento tra i redditi dichiarati e le spese effettuate e per selezionare i contribuenti da sottoporre a controlli, il nuovo redditometro si fonda:

  • sul trattamento automatizzato di dati personali in possesso dell’Agenzia delle entrate – comunicati dallo stesso contribuente o da soggetti esterni (es. società telefoniche, assicurazioni) – e
  • sull’imputazione anche di spese presunte, determinate sulla base dell’attribuzione automatica al contribuente di un determinato “profilo”.

Questo tipo di trattamento, che comporta la “profilazione” dei contribuenti e presenta rischi specifici per i diritti fondamentali delle persone, ha reso necessaria la verifica preliminare del redditometro da parte del Garante.

L’Amministrazione finanziaria ha scelto di quantificare le spese presunte anche ricorrendo alle cosiddette “spese medie Istat” ricavate dall’appartenenza del contribuente ad una specifica tipologia di famiglia e alla residenza in una determinata aera geografica.

Criticità

Nel corso della complessa e approfondita verifica preliminare svolta dal Garante sul sistema di accertamento sintetico del reddito dei contribuenti, sono emersi, anche a seguito di accertamenti ispettivi, numerosi profili di criticità (derivanti, peraltro, anche dallo stesso Decreto ministeriale di attuazione del nuovo redditometro) che rendevano il sistema non conforme alle norme sulla privacy.

In particolare, riguardo:

  • alla qualità ed esattezza dei dati utilizzati dall’Agenzia delle entrate;
  • all’individuazione in via presuntiva della spesa sostenuta da ciascun contribuente riguardo ad ogni aspetto della vita quotidiana (tempo libero, libri, pasti fuori casa etc.) mediante l’attribuzione alla generalità dei soggetti censiti nell’anagrafe tributaria della spesa media rilevata dall’Istat;
  • all‘informativa da rendere al contribuente.

Alcune di queste criticità  sono state risolte già nel corso della verifica preliminare mediante i correttivi apportati dall’Agenzia delle entrate, anche su indicazione del Garante. Ulteriori misure a garanzia dei contribuenti sono state invece prescritte dall’Autorità con il provvedimento odierno.

Le nuove misure prescritte dal Garante

Ecco in sintesi le misure che renderanno il nuovo redditometro conforme alla normativa sulla privacy.

Profilazione
Il reddito del contribuente potrà essere ricostruito utilizzando unicamente spese certe e spese che valorizzano elementi certi (possesso di beni o utilizzo di servizi e relativo mantenimento) senza utilizzare spese presunte basate unicamente sulla media Istat.

Spese medie Istat
I dati delle spese medie Istat non possono essere utilizzati per determinare l’ammontare di spese frazionate e ricorrenti (es. abbigliamento, alimentari, alberghi etc.) per le quali il fisco non ha evidenze certe. Tali dati infatti, riferibili allo standard di consumo medio familiare, non possono essere ricondotti correttamente ad alcun individuo, se non con notevoli margini di errore in eccesso o in difetto.

Fitto figurativo
Il cosiddetto “fitto figurativo” (attribuito al contribuente in assenza di abitazione in proprietà o locazione nel comune di residenza) non verrà utilizzato per selezionare i contribuenti da sottoporre ad accertamento, ma solo ove necessario a seguito del contraddittorio. Il “fitto figurativo” dovrà essere attribuito solo una volta verificata la corretta composizione del nucleo familiare, per evitare le incongruenze riscontrate dal Garante (che comportavano l’attribuzione automatica a 2 milioni di minori della spesa fittizia per l’affitto di una abitazione).

Esattezza dei dati
L’Agenzia dovrà porre particolare attenzione alla qualità e all’esattezza dei dati al fine di prevenire e correggere le evidenti anomalie riscontrate nella banca dati o i disallineamenti tra famiglia fiscale e anagrafica. La corretta composizione della famiglia è infatti rilevante per la ricostruzione del reddito familiare, l’individuazione della tipologia di famiglia o l’attribuzione del fitto figurativo.

Informativa ai contribuenti
Il contribuente dovrà essere informato, attraverso l’apposita informativa allegata al modello di dichiarazione dei redditi e disponibile anche sul sito dell’Agenzia delle entrate, del fatto che i suoi dati personali saranno utilizzati anche ai fini del redditometro.

Contraddittorio
Nell’invito al contraddittorio dovrà essere specificata chiaramente al contribuente  la natura obbligatoria o facoltativa degli ulteriori dati richiesti dall’Agenzia (es. estratto conto) e le conseguenze di un eventuale rifiuto anche parziale a rispondere.

Dati presunti di spesa, non ancorati ad alcun elemento certo e quantificabili esclusivamente sulla base delle spese Istat, non potranno costituire oggetto del contraddittorio. E questo perché la richiesta di tali dati  – relativi ad ogni aspetto della vita quotidiana, anche risalenti nel tempo – entra in conflitto con i principi generali di riservatezza e protezione dati sanciti in particolare dalla Convenzione europea dei diritti dell’uomo.

Videosorveglianza nei supermercati senza ledere la dignità dei lavoratori

tvcc3Nel mirino del Garante le società della grande distribuzione con sistemi di videosorveglianza non a norma.

La legittima esigenza di tutelare il patrimonio, di proteggersi da furti e rapine con impianti di videosorveglianza, non autorizza i supermercati a operare in violazione delle libertà fondamentali e della dignità di dipendenti e clienti.

Lo ribadisce il Garante in seguito ai risultati di un’attività ispettiva  nel settore della grande distribuzione, che ha rilevato come numerose società non avevano rispettato le garanzie previste:

  • dallo Statuto dei lavoratori,
  • dalla normativa sulla privacy
  • dal provvedimento generale in materia di videosorveglianza predisposto dalla stessa Autorità.

Dagli accertamenti disposti dal Garante, è emerso, ad esempio, che tra le società sottoposte ad ispezione, cinque non avevano ottenuto un preventivo accordo sindacale o richiesto l’apposita autorizzazione al competente ufficio del Ministero del lavoro [doc. web n. 26052902578071257720325772272691507].

A tal proposito, l’Autorità ha sottolineato che non è sufficiente che i lavoratori siano stati informati o che abbiano addirittura acconsentito all’installazione del telecamere per far venir meno le specifiche tutele previste dalla normativa o lo stesso divieto di controllo a distanza.

Una sesta società [doc. web n. 2683203], a differenza dalle precedenti, aveva sì ottenuto l’autorizzazione dell’ufficio ministeriale ad installare l’impianto di videosorveglianza, ma non ne aveva poi rispettato tutte le prescrizioni.

Dalle verifiche condotte, sia a campione sia in seguito a segnalazioni, dal Nucleo Speciale Privacy della Guardia di Finanza, sono state riscontrate anche altre violazioni: alcuni esercizi commerciali conservavano le immagini per un arco temporale non giustificato da esigenze specifiche (ad esempio, per ripetuti furti o rapine) così come invece stabilito dal provvedimento generale del Garante in materia di videosorveglianza.

Due dei supermercati controllati dal Garante, inoltre, non avevano provveduto a segnalare adeguatamente la presenza delle telecamere con appositi cartelli o avevano omesso di indicare chi fosse il titolare del trattamento.

Il legale rappresentante di un supermercato aveva addirittura dichiarato al nucleo ispettivo che l’impianto di videosorveglianza non era in funzione, salvo poi doversi smentire di fronte alle evidenze raccolte.

L’Autorità ha dichiarato illecito il trattamento dei dati personali effettuato dalle sei società tramite i sistemi di videosorveglianza e ha disposto che tutti gli esercizi commerciali si adeguino entro trenta giorni alle misure prescritte alla luce della normativa sulla privacy e dallo Statuto dei lavoratori.

Sono in arrivo ulteriori provvedimenti nei confronti di altre società della grande distribuzione.

 

Call center extra Ue più trasparenti

9779804-dipendenti-che-lavorano-in-un-call-centerIl Garante avvia una ricognizione delle attività di customer care e telemarketing fuori Ue

Cresce il fenomeno dei call center delocalizzati in Paesi al di fuori dell’Unione europea e il Garante privacy interviene a tutela dei cittadini italiani.

Con un provvedimento a carattere generale [doc. web n. 2724806],  adottato al termine di una articolata istruttoria,  il Garante ha ribadito le regole alle quali devono attenersi società e enti pubblici, che si avvalgono per le loro attività di customer care o di telemarketing di call center situati in Paesi dove non sono assicurate le garanzie previste dalla normativa comunitaria.

Il nuovo provvedimento ricorda le regole generali da rispettare per i trasferimenti di dati:

  • autorizzazione del Garante,
  • adozione di regole di condotta infragruppo (le cosiddette “binding corporate rules“, Bcr),
  • sottoscrizione tra le parti delle clausole contrattuali tipo stabilite dalla Commissione europea o quelle già indicate in specifici ambiti di attività (ad.es. per il telemarketing).

Ma soprattutto introduce importanti novità.

  • i titolari del trattamento (società e enti pubblici) che utilizzano tali call center dovranno infatti integrare l’informativa resa al momento del contatto con l’utente specificando anche la nazione dalla quale chiamano o rispondono;
  • per le chiamate in entrata,  in analogia a quanto previsto dalla normativa in vigore, i call center dovranno adottare apposite procedure per dare all’utente la possibilità di scegliere un operatore collocato sul territorio nazionale (ad es. deviando la telefonata o disponendo un successivo contatto da parte di un operatore italiano);
  • d’ora in poi, inoltre, i titolari dal trattamento che intendono trasferire (o affidare) il trattamento di dati personali a un call center situato in Paesi extra Ue dovranno prima darne comunicazione al Garante, utilizzando un modello che sarà messo a disposizione sul sito dell’Autorità (www.garanteprivacy.it). 

I call center che già operano in Pesi extra Ue dovranno invece informare il Garante entro 30 giorni dalla pubblicazione del provvedimento nella Gazzetta ufficiale.

Ciò consentirà di acquisire elementi utili a comprendere l’ampiezza di un fenomeno in continua espansione e permetterà all’Autorità di valutare la portata del trasferimento dei dati personali al di fuori dall’Unione europea per i trattamenti operati dai call center, anche al fine di intervenire con tempestività ed efficacia in caso di violazioni del Codice privacy.

 

Dai Garanti privacy del mondo un piano per l’educazione digitale

app_privacyAttenzione ai rischi di “appificazione” della società: i Garanti del mondo varano un piano per l’educazione digitale.

Si è conclusa ieri, con l’adozione di ben otto Risoluzioni, la 35ma Conferenza internazionale sulla privacy che ha visto riunite a Varsavia le Autorità garanti per la protezione dei dati di tutto il mondo.

Particolare interesse riveste la Risoluzione, sostenuta con forza dal Garante italiano, con la quale la Conferenza ha adottato un programma comune che impegna i governi a promuovere  l’educazione digitale di tutti i cittadini, senza distinzione di età, esperienza o ruolo rivestito.

Principi

Il programma fissa cinque principi:

  1. assicurare una protezione particolare ai minori nel mondo digitale;
  2. garantire una formazione permanente sulla tecnologia digitale;
  3. raggiungere un giusto equilibrio tra opportunità e rischi presenti nella tecnologia digitale;
  4. promuovere il rispetto degli utenti;
  5. diffondere un pensiero critico sull’uso delle nuove tecnologie.

Obiettivi

A sostegno di questi principi i Garanti dei diversi continenti hanno individuato anche quattro obiettivi operativi:

  1. promuovere, nell’ambito dei programmi di alfabetizzazione digitale, una educazione sulla privacy;
  2. giocare un ruolo nella “formazione dei formatori” in materia di protezione dei dati personali;
  3. sviluppare settori particolarmente innovativi, specialmente nel campo della “privacy by design”;
  4. formulare raccomandazioni e buone pratiche sull’uso delle nuove tecnologie a favore di genitori, insegnanti, minori, aziende.

Altre tematiche affrontate

Le altre Risoluzioni hanno riguardato una serie di importanti questioni:

  • la necessità che imprese e governi assicurino la massima trasparenza nel trattamento dei dati dei cittadini;
  • l’esigenza che l’attività di profilazione si basi su una preliminare valutazione di impatto-privacy, garantisca trasparenza agli interessati e ponga particolare attenzione alla tutela dei minori;
  • l’attenzione da porre ai rischi legati più in generale al ricorso crescente al tracciamento della navigazione sul web (web tracking), che deve essere reso più trasparente ed ispirarsi ai principi detti di “privacy by design”;
  • l’obiettivo di pervenire ad un maggiore coordinamento tre le Autorità per aumentare l’efficacia delle attività di enforcement;
  • la necessità di adottare un piano strategico di azione per il biennio 2014-2015 finalizzato innanzitutto alla creazione di una rete globale di regolatori;
  • la necessità di un accordo internazionale vincolante che salvaguardi i diritti umani attraverso un corretto equilibrio tra sicurezza, interessi economici e libertà di espressione.

yellow_button_35_Int_Conf

La Conferenza ha anche adottato una dichiarazione sui rischi e le sfide posti dal crescente uso delle app tanto da permettere di parlare di una vera e propria “appificazione” della società.

 

Regioni: diritto di accesso dei consiglieri nel rispetto della privacy

privacy-475x3161I consiglieri regionali possono accedere ad atti e documenti contenenti dati personali dei cittadini solo per finalità legate al loro mandato.

Lo ha chiarito il Garante per la protezione dei dati personali nel parere favorevole [doc. web n. 2576905] reso sulla versione aggiornata dello schema tipo di regolamento, predisposto dalla Conferenza dei presidenti delle assemblee legislative delle regioni e delle province autonome, sul trattamento di dati personali sensibili e giudiziari presso i consigli, rispetto al quale ha tuttavia chiesto alcune integrazioni.

L’Autorità ha chiesto, in particolare, di specificare che le richieste di accesso ai documenti, da parte dei consiglieri, possono essere accolte solo se riconducibili alle “esclusive” finalità di rilevante interesse pubblico “direttamente connesse all’espletamento di un mandato elettivo”.

Nel rendere il suo parere, il Garante ha chiesto, inoltre, ai consigli di adottare modalità tali da assicurare che l’accesso dei consiglieri comporti il minor pregiudizio possibile alla vita privata delle persone cui si riferiscono i dati oggetto dell’istanza di accesso.

Speciali cautele sono state definite anche per le informazioni sulla vita sessuale dei reclusi, che potrebbero essere trattate dai Garanti regionali per i diritti dei detenuti.

La richiesta di parere da parte della Conferenza sul nuovo schema tipo si è resa necessaria a causa del mutato quadro normativo che regola le attività istituzionali dei consigli.

Va ricordato a tale proposito che il Codice privacy prevede, infatti, che per poter raccogliere, utilizzare, elaborare, conservare, comunicare dati sensibili e giudiziari indispensabili allo svolgimento delle loro attività istituzionali, le regioni e le province autonome, come altri soggetti pubblici, debbano adottare specifici regolamenti.

Questi regolamenti individuano e rendono noti ai cittadini quali dati vengono usati e per quali fini.