Garante le novità Privacy di aprile

Rieccoci al consueto appuntamento con le più salienti novità privacy di questo mese di aprile, rimandando al sito dell’Autorità per ulteriori ed eventuali approfondimenti. Qui un affaccio alla finestra per offrire una panoramica sui temi per i quali si è pronunciato il Garante.

Chiara Ponti
Ufficio Compliance

INDICE:

Le salienti novità privacy, in stile “ANSA”

Di seguito si riportano, illustrandole, le più salienti novità emanate in questo mese dall’Autorità Garante per la Protezione dei Dati Personali. Per le notizie tutte relative ad interviste, convegni, ecc. si rimanda direttamente al sito istituzionale.

 

16/04/2021
Riconoscimento facciale: Sari Real Time non è conforme alla normativa sulla privacy

Il Garante ha emesso parere contrario sull’utilizzo del sistema Sari Real Time da parte del Ministero dell’interno. 

L’Autorità ha affermato infatti che «…Il sistema, oltre ad essere privo di una base giuridica che legittimi il trattamento automatizzato dei dati biometrici per il riconoscimento facciale a fini di sicurezza, realizzerebbe per come è progettato una forma di sorveglianza indiscriminata/di massa.».

Il sistema (non ancora attivo) consentirebbe, attraverso una serie di telecamere installate in una determinata area geografica, di analizzare in tempo reale i volti dei soggetti ripresi, confrontandoli con una banca dati predefinita (denominata “watch-list”), contenente fino a 10.000 volti.

Grazie ad un algoritmo di riconoscimento facciale (Intelligenza Artificiale) qualora venisse riscontrata una corrispondenza tra un volto presente nella suddetta watch-list ed un volto ripreso da una delle telecamere, il sistema sarebbe in grado di generare un alert volto a richiamare l’attenzione degli operatori delle Forze di Polizia.

Ritenendo di estrema delicatezza l’utilizzo di tecnologie di riconoscimento facciale per finalità di prevenzione e repressione dei reati, in particolare afferma il Garante che «…Sari Real Time realizzerebbe un trattamento automatizzato su larga scala che può riguardare anche persone presenti a manifestazioni politiche e sociali, che non sono oggetto di “attenzione” da parte delle forze di Polizia. 

Ed anche se nella valutazione di impatto presentata il Ministero spiega che le immagini verrebbero immediatamente cancellate, l’identificazione di una persona sarebbe realizzata attraverso il trattamento dei dati biometrici di tutti coloro che sono presenti nello spazio monitorato, allo scopo di generare modelli confrontabili con quelli dei soggetti inclusi nella “watch-list”. 

Si determinerebbe così una evoluzione della natura stessa dell’attività di sorveglianza, che segnerebbe un passaggio dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale.».

 

23/04/2021: “Decreto riaperture”: gravi criticità per i “pass vaccinali”. Il Garante privacy invia un avvertimento formale al Governo

Dallo scorso 23 aprile è in vigore il noto decreto Riaperture che tra gli altri introduce le cd “certificazioni verdi”.

Sul punto, il Garante ha sollevato le diverse criticità che connoterebbero i pass vaccinali, «…tali da inficiare, se non opportunamente modificata, la validità e il funzionamento del sistema previsto per la riapertura degli spostamenti durante la pandemia. 

È quindi necessario un intervento urgente a tutela dei diritti e delle libertà delle persone.».

Di tal tenore è stata l’indicazione del Garante contenuta in un avvertimento formale, provvedimento peraltro inviato al Presidente del Consiglio dei ministri Draghi, per le valutazioni di competenza.

 

 

27/04/2021

Newsletter: Telemarketing selvaggio: il Garante sanziona tre call center. I primi provvedimenti dell’Autorità dopo quelli sulle compagnie telefoniche.

Il Garante richiama l’attenzione di dover “Rispettare la volontà degli utenti di non essere più disturbati, effettuare telefonate di marketing solo con preventivo specifico consenso, adottare adeguate misure tecniche e organizzative per rispettare la privacy degli utenti.». 

Si tratta di alcune delle prescrizioni che il Garante ha imposto a tre società di call center che disturbavano con offerte commerciali indesiderate decine di migliaia di utenti, come da provvedimenti [doc. web. n. 95770429577065 9577371].

Rimandando a ciascuno di essi per entrare nel merito delle singole vicende fattuali, ciò che preme rilevare in questa sede concerne la violazione, rilevata dall’Autorità, del principio di privacy by design, «…ossia la mancanza di un adeguato governo del trattamento dei dati necessario per garantire il rispetto dei diritti degli interessati previsti dal Regolamento Ue (Gdpr).».

Non solo, in tutti e tre i casi, il Garante non ha ritenuto anche «…validamente utilizzata la base giuridica del legittimo interesse, ha vietato l’ulteriore utilizzo per il marketing dei dati trattati illecitamente e ha prescritto la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto trattamento, con particolare riguardo ai dati ‘fuori lista’ e a quelli presenti in black list.

 

Direct marketing, Garante: il diritto di opposizione degli utenti va rispettato

Sul punto, l’Autorità rende noto che «…il diritto degli utenti di opporsi all’uso dei dati a fini di direct marketing va rispettato. E i meccanismi di ricezione delle loro istanze devono essere efficienti e presidiati.»

In forza di tale (affermato) principio, il Garante ha ammonito una società «…per non aver dato riscontro alle richieste di alcuni utenti che non volevano ricevere email promozionali e le ha ingiunto di adottare le misure organizzative necessarie per fornire una risposta immediata a chi si oppone al direct marketing.». 

Per ulteriori dettagli nel merito, si rinvia alla notizia ufficiale.

 

 

Oblio: no alla cancellazione di un articolo dall’archivio online di un quotidiano. L’Autorità però sanziona l’editore per non aver risposto alla richiesta del reclamante

Al riguardo, si legge testualmente che «…Per bilanciare la libertà di informazione e il diritto all’oblio, si può chiederne la deindicizzazione dai motori di ricerca. 

L’articolo conserva infatti il suo valore di documento storico e come tale deve rimanere accessibile nella sua integrità agli abbonati e a chi dovesse svolgere specifiche ricerche.».

Nel merito, la vicenda merita attenzione in quanto si tratta di uno di quei (rari) casi di diritto all’oblio ex art. 17 GDPR. 

Questo, consacrato nella nota sentenza della Corte di Giustizia Google Spain, è di difficile applicazione.

Nella fattispecie, «…un cittadino chiedeva di ordinare all’editore di un quotidiano nazionale online, di cancellare i propri dati personali da un articolo pubblicato in estratto nell’archivio online. 

L’uomo riteneva che l’articolo gli recasse pregiudizio e non fosse più attuale, dal momento che riguardava una vicenda giudiziaria risalente al 1998, senza riportarne i successivi sviluppi. 

Nel frattempo infatti l’imputazione di appropriazione indebita aggravata a suo carico era stata dichiarata estinta per prescrizione dalla Suprema Corte di Cassazione. 

Lamentava poi che l’editore non avesse dato riscontro alla sua istanza per l’esercizio dei diritti.».

Il Garante nel ritenere infondata la richiesta di cancellazione «…ha considerato l’utilità sociale e il valore di documento storico dell’articolo oltre al fatto che questo fosse stato già deindicizzato dall’editore. 

L’articolo era infatti consultabile liberamente nell’archivio solo in estratto e integralmente solo dagli abbonati.».

Tuttavia, l’Autorità ha sanzionato (per l’importo di€ 20.000,00) «…per non aver fornito comunque risposta all’interessato, come previsto dal Regolamento, e ha disposto la pubblicazione integrale del provvedimento sul sito web del Garante.».

 

 

28/04/2021

Caso Grillo: Garante privacy, diffusione video è atto illecito

A titolo di cronaca, da ultimo si riporta la notizia secondo la quale «in relazione alla circostanza – riferita dai genitori della ragazza presunta vittima di stupro attraverso il loro legale – che frammenti del video, relativo all’oggetto del procedimento penale, vengano condivisi tra amici, il Garante per la protezione dei dati personali richiama l’attenzione sul fatto che chiunque diffonda tali immagini compie un illecito, suscettibile di integrare gli estremi di un reato oltre che di una violazione amministrativa in materia di privacy.».

Focus sulle “certificazioni verdi” o pass vaccinali

Intanto cosa sono: si tratta di quel foglio, ad oggi cartaceo, ma in previsione anche digitale che servirebbe per spostarsi tra Regioni di colore “arancione” o “rosso”.

Come sopra indicato, è stato introdotto dal decreto Riaperture all’art. 9. Parrebbe necessario al fine di dimostrare o lo stato di avvenuta vaccinazione da Covid-19, o la guarigione dal virus ovvero l’effettuazione del tampone (molecolare o antigenico rapido) purché negativo.

Tale certificazione avrebbe una validità di sei (6) mesi e sarebbe rilasciata, su richiesta dell’interessato, «…dalla struttura sanitaria ovvero dall’esercente la professione sanitaria che effettua la vaccinazione e contestualmente alla stessa, al termine del prescritto ciclo, e reca indicazione del numero di dosi somministrate rispetto al numero di dosi previste per l’interessato».

Per quella relativa al tampone (negativo) sarebbe invece valida per sole 48 ore.

Certificazione comunque equivalente a quella a livello europeo (lett. e).

Tuttavia, come sopra accennato tale pass vaccinale non sarebbe conforme alla protezione dei dati.

I punti critici secondo il Garante non sono pochi:

  • non definisce con precisione le finalità per il trattamento dei dati sulla salute degli italiani, lasciando spazio a molteplici e imprevedibili utilizzi futuri, in potenziale disallineamento anche con analoghe iniziative europee;
  • non specifica chi è il titolare del trattamento dei dati, in violazione del principio di trasparenza, rendendo così difficile se non impossibile l’esercizio dei diritti degli interessati: ad esempio, in caso di informazioni non corrette contenute nelle certificazioni verdi;
  • in contrasto del tutto con il principio di minimizzazione dal momento che la previsione normativa prevede un utilizzo eccessivo di dati sui certificati da esibire in caso di controllo;
  • la norma prevede inoltre un utilizzo eccessivo di dati sui certificati da esibire in caso di controllo, in violazione del principio di minimizzazione. Per garantire, ad esempio, la validità temporale della certificazione, sarebbe stato sufficiente prevedere un modulo che riportasse la sola data di scadenza del green pass, invece che utilizzare modelli differenti per chi si è precedentemente ammalato di Covid o ha effettuato la vaccinazione;
  • il sistema attualmente proposto, soprattutto nella fase transitoria, rischia, tra l’altro, di contenere dati inesatti o non aggiornati con gravi effetti sulla libertà di spostamento individuale;
  • non sono infine previsti tempi di conservazione dei dati né misure adeguate a garantire la loro integrità e riservatezza.

Insomma, di nuovo un brusco stop da parte dell’Autorità, ed ulteriore confusione tra gli addetti ai lavori e non di meno ai cittadini, frutto di un’inarrestabile “normativa Covid”.

Vuoi essere aggiornato sulle ultime novità?

Sperando di non essermi limitata a fare un mero “gazzettino”, invito tutti i Lettori a seguire questo blogGrazie, ed alla prossima!

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.