L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, ha presentato oggi la Relazione sul diciannovesimo anno di attività e sullo stato di attuazione della normativa sulla privacy. La Relazione traccia il bilancio dell’attività svolta nel 2015 e indica le prospettive di azione verso le quali l’Autorità intende muoversi, con l’obiettivo di assicurare una efficace protezione dei dati personali, innanzitutto on line e rispondere alle sfide poste dai nuovi modelli di crescita economica e alle esigenze di tutela sempre più avvertite dalle persone.
Gli interventi più rilevanti
La lotta al terrorismo e la raccolta massiva di dati; il crimine informatico; la profilazione on line e i social media; i nuovi monopoli creati dai colossi della Rete; la trasparenza della Pa on line e le garanzie da assicurare ai cittadini; il fisco e la tutela della riservatezza dei contribuenti; l’uso delle nuove tecnologie nel mondo del lavoro; la protezione dei dati contenuti negli atti processuali; la tutela dei minori da parte dei media; i diritti dei consumatori; le grandi banche dati pubbliche; il mondo della scuola; la sanità elettronica: sono stati questi alcuni dei principali campi di intervento del Garante privacy nel 2015.
E’ proseguito il lavoro svolto per assicurare la tutela della privacy on line, a partire dai grandi motori di ricerca e dai social network. Il Garante italiano, primo tra i Garanti europei ad aver dato prescrizioni a Google, ha consolidato nel 2015 la procedura di confronto e controllo del protocollo sottoscritto da Mountain View. A Facebook l’Autorità ha imposto di bloccare i falsi profili (i cosiddetti fake) e di assicurare più trasparenza e controllo agli utenti.
Per quanto riguarda l’Internet delle cose il Garante ha avviato una consultazione per definire le regole per il corretto uso dei dati degli utenti e partecipa ad un’indagine internazionale, concentrando la sua analisi soprattutto sulla domotica.
Con Linee guida sono state definite le garanzie da assicurare agli utenti da parte di chi svolge attività di profilazione on line, a partire dai principali siti web.
Sono stati definiti i criteri per l’accoglimento delle richieste di tutela del diritto all’oblio su Internet e la deindicizzazione degli Url. E’ stato inoltre ulteriormente rafforzato il diritto delle persone a vedere aggiornati gli archivi giornalistici on line.
Particolare rilevanza ha assunto nel 2015 la questione della cybersecurity: sono quasi raddoppiate (49) le comunicazioni di violazioni di banche dati (i cosiddetti data breach) pervenute all’Autorità nel solo settore dei servizi di comunicazione elettronica. E sempre in materia di data breach, anticipando il nuovo Regolamento europeo, il Garante ha adottato un provvedimento che impone alle Pa di comunicare le violazioni o gli incidenti informatici subiti.
Il Garante ha prescritto misure per l’innalzamento dei livelli di protezione dei dati nei nodi di interscambio dei dati Internet (Ixp).
Nel settore della sanità elettronica, per garantire maggiori tutele per i dati dei pazienti il Garante ha adottato le Linee guida sul dossier sanitario. E sempre in ambito sanitario ha dato indicazioni sui registri di patologia, sullo screening neonatale, sulle misure di sicurezza per il nuovo sistema informativo centralizzato.
Per garantire un corretto rapporto tra trasparenza della Pa e riservatezza e dignità dei cittadini sono state resi pareri per richiamare l’attenzione sul giusto equilibrio da realizzare tra obblighi di pubblicità degli atti e dignità delle persone, comprese le sentenze.
Una particolare azione è stata intrapresa per aumentare il livello di sicurezza della Pa digitale e per l’entrata in funzione dello Spid.
Il Garante ha fornito, inoltre, pareri sulla dichiarazione di volontà relativa alla donazione degli organi, sul permesso di soggiorno elettronico, sulla carta dello studente.
Per quanto riguarda la fiscalità e l’adozione del 730 precompilato, il Garante è intervenuto per richiedere precise misure tecniche e organizzative per proteggere i dati dei contribuenti e per garantire loro i diritti riconosciuti dal Codice privacy.
Particolare impegno è stato rivolto anche nel 2015 alla messa in sicurezza delle grandi banche dati pubbliche, prima fra tutte quella dell’Anagrafe tributaria.
Si sono indicate misure tecniche e garanzie per l’introduzione del processo tributario telematico.
Per conciliare esigenze delle imprese e corretto uso dei dati sull’affidabilità di imprenditori e manager il Garante ha adottato il Codice sulle informazioni commerciali.
E’ proseguito l’impegno per evitare l’invasività del cosiddetto telemarketing selvaggio, un fenomeno che non tende purtroppo a diminuire e per il quale il Garante invoca da tempo nuove regole: solo nei primi mesi del 2016 sono state 3.000 le segnalazioni giunte all’Autorità.
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca, con particolare riguardo alla tutela dei minori.
Le cifre
Nel 2015 sono stati adottati 692 provvedimenti collegiali.
L’Autorità ha fornito riscontro a circa 5000 tra quesiti, reclami e segnalazioni con specifico riferimento ai seguenti settori: marketing telefonico (in forte aumento); credito al consumo; videosorveglianza; credito; assicurazioni; Internet; giornalismo; sanità e servizi di assistenza sociale.
Sono stati decisi 307 ricorsi, riguardanti soprattutto banche e società finanziarie; datori di lavoro pubblici e privati; attività di marketing; editori (anche televisivi); banche e società finanziarie; Pa e concessionari di pubblici servizi; società di informazioni commerciali; informazioni creditizie; marketing.
I pareri resi dal Collegio al Governo e Parlamento sono stati 44 ed hanno riguardato, in particolare, l’attività di polizia e sicurezza nazionale; l’informatizzazione delle banche dati della Pa; il fisco; i dai sanitari; il processo telematico.
Sono state effettuate 303 ispezioni, svolte anche grazie all’ausilio del Nucleo privacy della Guardia di Finanza, che hanno riguardato ambiti particolarmente delicati: software house che forniscono servizi di supporto all’attività della polizia giudiziaria e alla magistratura; marketing telefonico svolto dai call center, anche operanti all’estero; istituti bancari; conservazione dei dati tlc e Internet; centrali rischi private; sistema informativo della fiscalità; società operanti nel settore del trasferimento di denaro (money transfer); attivazione abusive di schede telefoniche. Per quanto riguarda il settore pubblico l’attività di verifica si è concentrata particolarmente sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit, e sulla sanità elettronica, dal fascicolo sanitario elettronico al dossier sanitario alle prenotazioni di prestazioni on line.
Quasi triplicato il numero delle violazioni amministrative contestate, che nel 2015 sono state circa 1700: una parte consistente ha riguardato il trattamento illecito dei dati, legato principalmente all’uso dei dati personali senza consenso; l’omessa comunicazione, agli interessati e al Garante, di violazioni subite dalle banche dati di gestori di telefonia e comunicazione elettronica (data breach); l’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali; la conservazione eccessiva dei dati di traffico telefonico e telematico; la mancata adozione di misure di sicurezza; l’omessa esibizione di documenti al Garante; l’inosservanza dei provvedimenti dell’Autorità.
Le sanzioni amministrative riscosse ammontano a circa 3 milioni e 500 mila euro.
Le violazioni segnalate all’autorità giudiziaria sono state 33, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati.
Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 25.600 quesiti, che hanno riguardato, in particolare, le problematiche legate alle telefonate promozionali indesiderate, a Internet, alla videosorveglianza, alla pubblicazione di documenti da parte della Pa, al rapporto di lavoro.
L’attività internazionale
Non meno rilevante e intensa l’attività del Garante a livello internazionale. A partire da quella svolta nel Gruppo delle Autorità per la privacy europee (Gruppo Articolo 29), del quale Antonello Soro è Vice presidente. Numerosi i pareri e i documenti adottati su: l’uso dei droni; il cloud computing; la sanità elettronica; le regole per i cookie; la protezione dati in ambito finanziario; le norme vincolanti d’impresa (Binding Corporate Rules, BCR); i dati dei passeggeri aerei (Passenger Name Record, PNR).
Significativa l’azione di analisi svolta per verificare gli effetti della sentenza della Corte di Giustizia dell’Unione Europea sul caso Schrems che ha reso invalido l’accordo del Safe Harbor per il trasferimento dei dati negli Usa.
Particolare importanza ha assunto poi l’attività connessa alla riforma della disciplina europea in materia di protezione dati (il cosiddetto “Pacchetto protezione dati”), che ha portato all’approvazione del nuovo Regolamento generale (entrato in vigore il 24 maggio 2016) e della Direttiva che disciplina il trattamento di dati per finalità di giustizia e di polizia (entrata in vigore il 5 maggio 2016). Il Garante ha seguito costantemente il dibattito sulla revisione del quadro normativo europeo, in particolare partecipando quale esperto tecnico alle riunioni del competente Gruppo di lavoro (DAPIX) del Consiglio dell’Unione europea.
Da ricordare anche l’attività del Garante italiano per il Consiglio d’Europa – che sta rivedendo la Convenzione del 1981 sulla protezione dei dati e ha pubblicato nuove Raccomandazioni sui trattamenti di dati personali nel contesto lavorativo – e quella svolta in seno all’OCSE, in particolare per lo scambio di dati fiscali. Si è intensificata anche la collaborazione nell’ambito di gruppi internazionali (quali la Global Privacy Enforcement Network, GPEN) che promuovono interventi congiunti e mirati di verifica del rispetto della normativa in materia di protezione dei dati e privacy.
Intenso, infine, il lavoro svolto nell’ambito delle Autorità di controllo Schengen, Europol, Eurodac, Sistema informativo doganale.
Fonte: Garante Privacy