Attività ispettiva privacy 2014: l’ammontare delle sanzioni sale a 5 milioni di euro

Privacy-Violazione-ImcCon 5 milioni di euro l’importo delle sanzioni applicate dal Garante privacy e riscosse dall’erario nell’anno 2014 segna un incremento di quasi un milione rispetto al 2013, circa il 20% in più. 
Principali violazioni privacy
Le sanzioni applicate a pubbliche amministrazioni e società private hanno riguardato, in prevalenza, violazioni della privacy per:
  • mancata adozione delle misure di sicurezza,
  • omessa o carente informativa,
  • uso illecito di dati personali.

Completano il bilancio  dell’attività ispettiva e sanzionatoria del Garante dello scorso anno 385 ispezioni, 577 sanzioni amministrative contestate e in via di definizione, 39 segnalazioni all’autorità giudiziaria.

Settori interessati
I 385 accertamenti ispettivi, effettuati anche mediante il contributo delle Unità speciali della Guardia di finanza – Nucleo speciale privacy, hanno interessato diversi importanti settori:
  • laboratori di analisi,
  • società farmaceutiche,
  • app mediche,
  • sistema informativo della fiscalità, 
  • gestori dei nodi di interscambio dei dati Internet (Ixp),
  • banche,
  • grandi alberghi,
  • società che gestiscono i sistemi di mobile payment,
  • importanti gruppi di intermediazione immobiliare, i cosiddetti “compro oro”,
  • operatori telefonici e call center. 

Le sanzioni amministrative contestate, a seguito degli accertamenti effettuati e di quelli conclusi nel corso del 2014, si riferiscono  in prevalenza,  a casi di omessa o inidonea informativa, trattamento illecito di dati, mancata comunicazione al Garante e agli utenti di violazioni di dati personali (cd. data breach).

Segnalazioni al Garante e Magistratura
Mentre le segnalazioni inviate dal Garante all’autorità giudiziaria hanno riguardato per la maggior parte la
  • mancata adozione delle misure minime di sicurezza e
  • le violazioni connesse al controllo a distanza dei lavoratori.

Segnalati alla magistratura anche casi di:

  • accesso abusivo a sistemi informatici o telematici,
  • false dichiarazioni e notificazioni al Garante,
  • inosservanza dei provvedimenti dell’Autorità. 
 
Varato anche il piano ispettivo per il primo semestre del 2015 [doc. web n.3738380].
Oltre alla prosecuzione dei controlli già avviati, sono in programma 150 accertamenti – svolti sempre in collaborazione con il Nucleo speciale privacy della Guardia di finanza – per verificare la regolarità dei trattamenti di dati personali effettuati nei settori:
  • del mobile payment di prossimità (es. pagamenti effettuati con una carta di credito virtuale inserita nella sim telefonica),
  • del fascicolo sanitario elettronico e dossier sanitario,
  • del telemarketing e dei call center operanti all’estero.

Particolare attenzione sarà posta anche sulla verifica del rispetto dell’obbligo di informativa agli utenti e della richiesta del consenso nei casi in cui questo è necessario.

Ai controlli programmati si affiancheranno quelli che si renderanno necessari  a seguito di segnalazioni e reclami presentati all’Autorità.

Annunci

Google paga una multa da 1 milione di euro inflitta dal Garante privacy per il servizio Street View

IMG_4125-copyGoogle ha pagato una sanzione di 1 milione di euro applicata dal Garante privacy per il servizio Street View.

I fatti contestati risalgono al 2010 quando le auto del colosso di Mountain View percorrevano le strade italiane senza essere perfettamente riconoscibili e non consentendo, in tal modo, alle persone presenti nei luoghi percorsi dalle “Google Cars” di decidere se sottrarsi o meno alla “cattura” delle immagini. Numerose erano state le segnalazioni all’Autorità da parte di persone che non desideravano comparire nelle foto pubblicate on line (che, peraltro, permangono in rete per un tempo considerevole e possono essere ingrandite).

Il Garante aveva prescritto [doc. web n. 1759972] alla società di Mountain View:

  • di rendere le “Google cars” facilmente individuabili, attraverso cartelli o adesivi ben visibili,
  • di pubblicare sul proprio sito web, tre giorni prima dell’inizio delle riprese, le località visitate dalle vetture di Street View, stabilendo che per le grandi città è necessario indicare i quartieri in cui circolano le vetture. Analogo avviso deve essere pubblicato da Google sulle pagine di cronaca locale di almeno due quotidiani e diffuso per mezzo di un’emittente radiofonica locale per ogni regione visitata.

Le misure sono state tempestivamente adottate da Google.

A conclusione dell’intero procedimento sanzionatorio il Garante ha ritenuto di applicare [doc.web n. 2954309], anche in relazione al fatto che i dati raccolti illecitamente erano destinati a confluire all’interno di una grande banca dati di particolare rilevanza, quale è sicuramente quella gestita da Google nell’ambito del servizio Street View, la sanzione nella cifra complessiva di un milione di euro, pagata qualche settimana fa da Google.

Proprio tenendo conto di trovarsi di fronte a una società che, nell’anno 2012, ha registrato un fatturato consolidato pari a oltre 50 miliardi di dollari, il Garante ha deciso di avvalersi della norma del Codice privacy che mira a rendere effettive le sanzioni quando sono dirette a soggetti di notevoli dimensioni economiche.

 

Lotta alle violazioni della privacy: cresce l’attività ispettiva del Garante

Per il 2014 programmati controlli su call center all’estero e mobile payment

privacy_professionalsA che punto è il rispetto della privacy in Italia?

Una risposta può venire dal resoconto sull’attività ispettiva e sanzionatoria del Garante nel 2013 dalla quale risulta che

  • utenti e cittadini vengono  ancora poco informati da aziende e Pa sull’uso dei loro dati personali,  
  • sono ancora troppi i casi in cui le informazioni personali vengono usate senza il consenso degli interessati
  • c’è ancora poca attenzione alla messa in sicurezza dei dati personali da parte di chi li raccoglie, li usa e li gestisce.

 

garanteBilancio dei controlli del Garante

Il bilancio dei controlli del Garante nello scorso anno ha registrato un incremento in tutti i settori: le ispezioni effettuate sono state 411 e le somme riscosse dall’erario da parte di soggetti pubblici e privati sono state di oltre 4 milioni di euro. In forte crescita le segnalazioni all’Autorità giudiziaria  per violazioni penali che sono state 71.

Settori più controllati

I 411 accertamenti (+4% rispetto al 2012), effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato settori sui quali il Garante concentra da tempo una particolare attenzione:

  • call center e telefonate promozionali indesiderate
  • banche dati del fisco
  • credito al consumo
  • “centrali rischi”
  • sistema informativo dell’Inps
  • sanità.
  • reti telematiche con ispezioni sull’uso dei sistemi di localizzazione satellitare (gps) nell’ambito del rapporto di lavoro
  • nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment),
  • sulle violazioni delle banche dati dei gestori tlc (data breaches)

 

pro_civProcedimenti e sanzioni

Significativo il numero di procedimenti sanzionatori avviati: 850 procedimenti, a fronte dei 578 del 2012 (con un aumento quindi del 47%).

Le sanzioni hanno riguardato, innanzitutto,

  • la omessa o inidonea informativa (476)
  • il trattamento illecito dei dati (277), legato principalmente al telemarketing e all’uso dei dati personali senza consenso

Ma i procedimenti avviati sono relativi anche :

  • alla mancata adozione di misure di sicurezza
  • alle violazioni connesse alla conservazione dei dati di traffico telefonico
  • all’omessa notificazione al Garante
  • all’inosservanza dei provvedimenti dell’Autorità

Sono aumentate in maniera rilevante le segnalazioni all’Autorità giudiziaria salite, come detto, a 71 (con una crescita del 27% rispetto al 2012), in particolare per mancata adozione delle misure minime di sicurezza a protezione dei dati personali, per violazioni riguardanti il  controllo a distanza dei lavoratori, per trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell’Authority.

 

open-data-120214180002_mediumIl piano ispettivo per il primi sei mesi del 2014

Il Garante ha varato anche il piano ispettivo per il primo semestre 2014.

Il piano prevede  la prosecuzione di controlli avviati lo scorso anno:

  • grandi banche dati pubbliche, in particolare di enti previdenziali e dell’amministrazione finanziaria
  • gestione delle reti pubbliche di accesso a Internet in  wi-fi
  • marketing telefonico
  • mobile payment

Il piano prevede anche  l’avvio di ispezioni in ambiti particolarmente significativi per numero o delicatezza dei dati trattati:

  • i call center delocalizzati in Paesi extra Ue
  • i sistemi di profilazione dei consumatori
  • le aziende farmaceutiche
  • i centri di assistenza tecnica e recupero dati

Accertamenti verranno svolti anche sul rispetto dei nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazione ai loro data base a causa di attacchi informatici o eventi avversi (data breaches).

Circa 200 gli accertamenti ispettivi programmati, che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa.

No al far west nel mercato del lavoro su Internet

ricerca-lavoro-onlineIntervento a tutela di migliaia di aspiranti lavoratori iscritti ad un sito web: maggiore trasparenza e correttezza nel mercato del lavoro via Internet.

E’ quanto chiede il Garante privacy [doc. web n. 2865637] che ha vietato ad una società l’uso dei dati personali di oltre 400 mila aspiranti lavoratori raccolti e gestiti in modo illecito.

La società che svolgeva attività di intermediazione attraverso il proprio sito web senza la prescritta autorizzazione ministeriale, non aveva neppure conferito, come necessario, i dati dei candidati a Cliclavoro, il portale del Ministero del lavoro che costituisce la Borsa continua nazionale del lavoro. 

L’azienda raggiunta dal divieto del Garante non si limitava a mettere a disposizione una mera “bacheca digitale” in cui rendere pubbliche le offerte di lavoro e le candidature, ma offriva veri e propri servizi di intermediazione (consultazione di un database con centinaia di migliaia di curricula, comunicazione di informazioni sui candidati, invio di offerte di lavoro “su misura”, ecc.). Un’attività effettuata, peraltro, senza fornire agli utenti che si registravano al sito una informativa trasparente con l’indicazione di tutte le operazioni realmente svolte.

La grave situazione è emersa nel corso di verifiche ispettive disposte dall’Autorità a seguito di alcune segnalazioni in cui si lamentavano irregolarità nel trattamento dei dati personali. I candidati denunciavano il fatto che per poter completare la procedura di registrazione al sito e concorrere così alle offerte di lavoro erano obbligati a dare il consenso, tramite un’opzione preselezionata, alla ricezione di informazioni promozionali per posta, telefono, email, sms.

Judge_HammerAlla luce delle verifiche svolte, il Garante:

  • oltre ad inibire l’uso dei dati raccolti senza autorizzazione,
  • ha dichiarato illeciti e ha vietato anche questi trattamenti perché effettuati in violazione della norma del Codice privacy che garantisce a chiunque la possibilità di esprimere un consenso libero e informato per ogni tipo di operazione che la società intende svolgere.

Dopo l’intervento del Garante la società non potrà più utilizzare le informazioni raccolte né per attività di intermediazione né per attività promozionali.

I dati potranno essere solo conservati in vista di un’eventuale acquisizione da parte dell’autorità giudiziaria o per la tutela dei diritti in sede giudiziaria. L’Autorità si è riservata l’applicazione di una sanzione amministrativa per l’inidonea informativa agli utenti. Il provvedimento è stato inviato al Ministero del lavoro per le valutazioni di competenza

 

No allo spam, sì a offerte commerciali “amiche” dei consumatori

spam (1)Le Linee guida del Garante privacy contro le offerte commerciali indesiderate

Offerte commerciali a utenti di social network o di servizi di messaggistica come Skype e WhatsApp solo con il loro consenso; no a e-mail e sms indesiderati; maggiori controlli da parte di chi commissiona le campagne promozionali; misure semplificate per le promozioni delle imprese che rispettano le regole.

Il Garante vara le nuove “Linee guida in materia di attività promozionale e contrasto allo spam” [doc. web n. 2542348] per combattere il marketing selvaggio e favorire pratiche commerciali “amiche” di utenti e consumatori.

Il provvedimento generale (in via di pubblicazione sulla Gazzetta ufficiale) definisce un primo quadro unitario di misure e accorgimenti utili sia alle imprese che vogliono avviare campagne per pubblicizzare prodotti e servizi, sia a quanti desiderano difendersi dall’invadenza di chi utilizza senza il loro consenso recapiti e informazioni personali per tempestarli di pubblicità. Una particolare attenzione è stata posta dall’Autorità sulle nuove frontiere dello spamming – come quello diffuso sui social network (il cosiddetto social spam) o tramite alcune pratiche di “marketing virale” o “marketing mirato” – che possono comportare modalità sempre più insidiose e invasive della sfera personale degli interessati.

Queste in sintesi le principali regole contenute nelle Linee guida.

opt-in1Offerte commerciali e spam

  • Invio di offerte commerciali solo con il consenso preventivo. Per poter inviare comunicazioni promozionali e materiale pubblicitario tramite sistemi automatizzati (telefonate preregistrate, e-mail, fax, sms, mms) è necessario aver prima acquisito il consenso dei destinatari (cosiddetto opt-in). Tale consenso deve essere specifico, libero, informato e documentato per iscritto.
  • Maggiori controlli su chi realizza campagne di marketing. Chi commissiona campagne promozionali deve esercitare adeguati controlli per evitare che agenti, subagenti o altri soggetti a cui ha demandato i contatti con i potenziali clienti effettuino spam.
  • Consenso per l’uso dei dati presenti su Internet e social network. E’ necessario lo specifico consenso del destinatario per inviare messaggi promozionali agli utenti di Facebook, Twitter e altri social network (ad esempio pubblicandoli sulla loro bacheca virtuale) o di altri servizi di messaggistica e Voip sempre più diffusi come Skype, WhatsApp, Viber, Messenger, etc. Il fatto che i dati siano accessibili in Rete non significa che possano essere liberamente usati per inviare comunicazioni promozionali automatizzate o per altre attività di marketing “virale” o “mirato”.
  • “Passaparola” senza consenso. Non è necessario il consenso per inviare e-mail o sms con offerte promozionali ad amici a titolo personale (il cosiddetto “passaparola”).

omuletiSemplificazioni per le aziende in regola

  • E-mail promozionali ai propri clienti. Ok all’invio di messaggi promozionali, tramite e-mail, ai propri clienti su beni o servizi analoghi a quelli già acquistati (cosiddetto soft spam).
  • Promozioni per “fan” di marchi o aziende. Una impresa o società può inviare offerte commerciali ai propri “follower” sui social network quando dalla loro iscrizione alla pagina aziendale si evinca chiaramente l’interesse o il consenso a ricevere messaggi pubblicitari concernenti il marchio, il prodotto o il servizio offerto.
  • Consenso unico valido per diverse attività.
    • Basta un unico consenso per tutte le attività di marketing (come l’invio di materiale pubblicitario o lo svolgimento di ricerche di mercato);
    • il consenso prestato per l’invio di comunicazioni commerciali tramite modalità automatizzate (come e-mail o sms) copre anche quelle effettuate tramite posta cartacea o con telefonate tramite operatore.
    • Le aziende che intendono raccogliere i dati personali degli utenti per comunicarli o cederli ad altri soggetti a fini promozionali, possono acquisire un unico consenso valido per tutti i soggetti terzi indicati nell’apposita informativa fornita all’interessato.

Tutele e sanzioni contro lo spam

  • Tutele per i singoli utenti. Le persone che ricevono spam possono presentare segnalazioni, reclami o ricorsi al Garante e comunque esercitare tutti i diritti previsti dal Codice privacy, inclusa la richiesta di sanzioni contro chi invia messaggi indesiderati (nei casi più gravi possono arrivare fino a circa 500.000 euro).
  • Tutele per le società. Le “persone giuridiche”, pur non potendo più chiedere l’intervento formale del Garante per la privacy, possono comunque comunicare eventuali violazioni. Hanno invece la possibilità di rivolgersi all’Autorità giudiziaria per azioni civili o penali contro gli spammer.

Contestualmente alle Linee guida, allo scopo di semplificare ulteriormente gli adempimenti in materia di marketing diretto, il Garante ha adottato anche un apposito provvedimento generale [doc. web n. 2543820] sul consenso al trattamento dei dati personali, sempre in via di pubblicazione sulla Gazzetta ufficiale.

 

L’imbarazzante inettitudine dei Comuni italiani

asinoNo a dati sulla salute dei cittadini sui siti web dei Comuni: il Garante fa rimuovere i dati personali dalle ordinanze di dieci Comuni. E sono in arrivo sanzioni

Sì alla trasparenza on line nella Pa, ma rispettando la dignità delle persone. Sui siti dei Comuni non possono essere pubblicati atti e documenti contenenti dati sullo stato di salute dei cittadini.

Il Garante per la privacy ha fatto oscurare dai siti web di dieci Comuni italiani, di piccola e media grandezza, i dati personali contenuti in alcune ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini. Nuovi provvedimenti sono in arrivo per altri Comuni.

Nelle ordinanze, con le quali i sindaci disponevano il ricovero immediato di diversi cittadini, erano infatti indicati “in chiaro” non solo i dati anagrafici (nome, cognome, luogo e data di nascita) e la residenza, ma anche:

  • la patologia della quale soffriva la persona (ad es. “infermo mentale”),
  • o altri dettagli davvero eccessivi, quali ad esempio l’indicazione di “persona  affetta da manifestazioni di ripetuti tentativi di suicidio”.

Il trattamento dei dati effettuato dai Comuni è risultato dunque illecito: come ha ricordato l’Autorità, le disposizioni del Codice della privacy, richiamate anche dalle Linee guida sulla trasparenza on line della Pa emanate dallo stesso Garante nel 2011, vietano espressamente la diffusione di dati idonei a rivelare lo stato di salute delle persone.

Le ordinanze, per giunta, oltre ad essere visibili e liberamente consultabili sui siti istituzionali dei Comuni, attraverso link che rimandavano all’archivio degli atti dell’ente, erano nella maggioranza dei casi facilmente reperibili anche sui più usati motori di ricerca, come Google: bastava digitare il nome e cognome delle persone.

Hand_Do_NotL’intervento del Garante

Nel disporre il divieto di ulteriore diffusione dei dati, l’Autorità per la privacy ha prescritto alle amministrazioni comunali:

  • non solo di oscurare i dati personali, presenti nei provvedimenti, da qualsiasi area del sito, ma anche di
  • attivarsi presso i responsabili dei principali motori di ricerca per fare in modo che vengano rimosse le copie web delle ordinanze e di tutti gli altri atti aventi ad oggetto il ricovero per trattamento sanitario obbligatorio dagli indici e dalla cache.

I Comuni, inoltre, per il futuro dovranno far sì che la pubblicazione di atti e documenti in Internet avvenga nel rispetto della normativa privacy e delle Linee guida in materia di trasparenza on line della Pa.

“La sacrosanta esigenza di trasparenza della Pubblica amministrazione – ha commentato Antonello Soro, Presidente dell’Autorità – non può trasformarsi in una grave lesione per la dignità dei cittadini interessati. Prima di mettere on line sui propri siti dati delicatissimi come quelli sulla salute, le pubbliche amministrazioni, a partire da quelle più vicine ai cittadini, come i Comuni,  devono riflettere e domandarsi se stanno rispettando le norme poste a tutela della privacy. E devono evitare sempre di recare ingiustificato pregiudizio ai cittadini che amministrano. Oltretutto, errori gravi e scarsa attenzione alle norme comportano come conseguenza che il Garante debba poi applicare pesanti sanzioni” .

L’Autorità procederà, infatti, ad avviare nei confronti dei Comuni interessati le previste procedure sanzionatorie per trattamento illecito di dati personali.

 

Privacy: operazione “Data Retention”

byod-mobile-vetrina_t6 marzo 2013: ispezioni della Guardia di Finanza in tutta Italia sul rispetto delle norme per la conservazione dei dati di traffico telefonico e telematico

Si chiama “Data Retention” l’operazione eseguita dai Finanzieri del Nucleo Speciale Privacy di Roma, nell’ambito delle attività di collaborazione con il Garante per la protezione dei dati personali, nei confronti di 11 società di telefonia e provider.

Gli accertamenti ispettivi, che si inquadrano nell’ambito dei controlli effettuati su delega dell’Autorità per la privacy, traggono origine da un’attività di analisi effettuata dal Nucleo, d’intesa con il Comando Unità Speciali della Guardia di Finanza, al fine di verificare che gli operatori telefonici ed i provider della rete internet rispettino le norme “privacy”.

 

data-retentionLa conservazione dei dati di traffico

Uno degli aspetti più delicati è senz’altro quello del trattamento dei dati di traffico telefonico e telematico, che consente agli operatori di disporre di una serie di importanti informazioni quali tra l’altro:

  • il numero chiamato
  • ora e data e durata del contatto
  • la localizzazione degli apparati degli utenti in caso dell’utilizzo di un telefono mobile.

Tali informazioni, in continuo aumento anche per il diffondersi di smartphone e tablet, devono essere conservate dai fornitori di servizi di comunicazione elettronica per fini investigativi e di giustizia, ad esclusiva disposizione degli organi inquirenti:

  • per ventiquattro mesi  (dati di traffico telefonico)
  • dodici mesi (dati di traffico telematico)

Il Garante ha stabilito con il Provvedimento del 17 gennaio 2008 stringenti misure e accorgimenti che devono essere rispettati dai fornitori per garantire la sicurezza dei dati, e la loro automatica cancellazione al termine del periodo di conservazione previsto dalla legge.

L’operazione in questione, pertanto, mirava a verificare il rispetto della normativa in materia di trattamento dei dati personali, nell’ottica di un bilanciamento tra le ragioni di giustizia e di sicurezza e l’interesse alla riservatezza della vita privata dei cittadini che, usufruendo di servizi di telefonia e di accesso ad internet ed alla posta elettronica, anche in mobilità, hanno rilasciato i propri dati alle aziende che forniscono i relativi servizi.

I controlli eseguiti hanno avuto in primo luogo lo scopo  di sensibilizzare gli operatori del settore circa il rispetto delle disposizioni di legge e delle prescrizioni impartite dal Garante.

 

Judge_HammerViolazioni della normativa privacy

In 9 casi sono state accertate e contestate violazioni amministrative al Codice Privacy relativamente a:

  • conservazione dei dati di traffico oltre i termini previsti
  • mancata adozione delle misure minime di sicurezza
  • mancata adozione di alcune delle ulteriori misure di protezione prescritte dal Provvedimento del Garante, quali:
    • l’uso di tecnologie di riconoscimento biometrico per selezionare l’accesso ai dati
    • la cifratura dei dati.

Due sono state le segnalazioni al Ministero dello sviluppo economico per l’eventuale contestazione della violazione relativa alla mancata conservazione dei dati di traffico o alla loro conservazione per un tempo inferiore a quello previsto.

E’ stata, infine, predisposta una segnalazione all’Autorità Giudiziaria per l’ipotesi di reato di violazione delle misure minime di sicurezza.

Al di là dei profili sanzionatori, il Garante dovrà ora valutare, caso per caso, la congruità delle misure adottate nonché la liceità dei trattamenti con riferimento, in particolare, al profilo, emerso in taluni casi, del trasferimento all’estero dei dati.

In ultima analisi, il messaggio che si è inteso veicolare mediante l’attività ispettiva in questione è stato quello che gli operatori del settore devono garantire la massima riservatezza dei dati di traffico generati dagli utenti dei propri servizi.