Videosorveglianza: stop del Garante privacy a riconoscimento facciale e occhiali smart. L’Autorità apre istruttorie nei confronti di due Comuni

Tratto da www.garanteprivacy.it – 14/11/2022

Faro del Garante sui sistemi di videosorveglianza intelligente.

L’Autorità ha aperto un’istruttoria nei confronti del Comune di Lecce, che ha annunciato l’avvio di un sistema che prevede l’impiego di tecnologie di riconoscimento facciale.

In base alla normativa europea e nazionale, ha ricordato l’Autorità, il trattamento di dati personali realizzato da soggetti pubblici, mediante dispositivi video, è generalmente ammesso se necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

Ma i Comuni, ha sottolineato il Garante, possono utilizzare impianti di videosorveglianza, solo a condizione che venga stipulato il cosiddetto “patto per la sicurezza urbana tra Sindaco e Prefettura”.

Inoltre, fino all’entrata in vigore di una specifica legge in materia, e comunque fino al 31 dicembre 2023, in Italia non sono consentiti l’installazione e l’uso di sistemi di riconoscimento facciale tramite dati biometrici, a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati. La moratoria nasce dall’esigenza di disciplinare requisiti di ammissibilità, condizioni e garanzie relative al riconoscimento facciale, nel rispetto del principio di proporzionalità.

Il Comune dovrà quindi fornire all’Autorità una descrizione dei sistemi adottati, le finalità e le basi giuridiche dei trattamenti, un elenco delle banche dati consultate dai dispositivi e la valutazione d’impatto sul trattamento dati, che il titolare è sempre tenuto ad effettuare nel caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Sempre in materia di videosorveglianza, il Garante ha avviato un’istruttoria anche nei confronti del Comune di Arezzo, dove, secondo notizie di stampa, a partire dal 1° dicembre 2022 è prevista la sperimentazione di “super-occhiali infrarossi” (che rileverebbero le infrazioni dal numero di targa e, collegandosi ad alcune banche dati nazionali, sarebbero in grado di verificare la validità dei documenti del guidatore).

L’Autorità ha messo in guardia dall’uso di dispositivi video che possano comportare – anche indirettamente – un controllo a distanza sulle attività del lavoratore e ha invitato al rispetto delle garanzie previste dalla disciplina privacy e dallo Statuto dei lavoratori.

Anche il Comune di Arezzo dovrà fornire copia dell’informativa che sarà resa agli interessati, sia cittadini a cui si riferiscono i veicoli e sia personale che indosserà i dispositivi, e la valutazione d’impatto sul trattamento dei dati che li riguarda.

Pa: attenzione a quando si pubblicano dati on line

Tratto da www.garanteprivacy.it – Newsletter del 26/07/2022

Quando pubblicano atti e documenti on line, le Pubbliche amministrazioni devono porre la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Lo ha ribadito il Garante privacy nel comminare una sanzione di 10 mila euro a un Comune.

L’Autorità è intervenuta su richiesta di un reclamante che lamentava la diffusione di dati personali contenuti all’interno di un curriculum vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l’attività lavorativa. Con il reclamo l’interessato aveva anche fatto presente la peculiare condizione personale, in ragione della quale la diffusione dei dati avrebbe potuto comportare dei rischi per sé e per la famiglia.

Nel corso dell’istruttoria il Garante ha accertato che il curriculum era rimasto disponibile online oltre l’arco temporale previsto dalla disciplina di settore e che la circostanza aveva comportato la diffusione dei dati in assenza di base giuridica. Il Comune non aveva neanche operato un’attenta selezione dei dati in esso contenuti (indirizzo di residenza, numero di cellulare e indirizzo di posta elettronica personali).

Quanto alla tesi difensiva avanzata dal Comune, secondo la quale la pubblicazione del curriculum del reclamante sarebbe dipesa dalla condotta negligente del fornitore cui era stata affidata all’epoca la gestione della pagina “Amministrazione Trasparente” del sito, il Garante ha ricordato che spetta al titolare del trattamento, quindi nel caso in esame al Comune, impartire adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati a chi li tratta per suo conto. Indicazioni che l’Ente aveva mancato di dare alla società affidataria del servizio informatico.

La diffusione dei dati personali del reclamante era pertanto avvenuta in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”. Tra le altre violazioni riscontrate dall’Autorità, anche la mancata risposta da parte del Comune alla richiesta di esercizio dei diritti dell’interessato.

Nel determinare l’ammontare della sanzione il Garante privacy ha tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e ha coinvolto un solo interessato. Il titolare ha inoltre fornito assicurazioni in merito alle modalità con cui in futuro provvederà a pubblicare atti e documenti contenenti dati personali sul proprio sito web istituzionale.

Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente

Tratto da www.garanteprivacy.it – GPDP Newsletter del 19/05/2022

Il Garante sanziona un’azienda per 50.000 euro

Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo.
La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.

Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.

L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

Siti web della Pa: sì del Garante privacy alle Linee guida AgID

Tratto da www.garanteprivacy.it- 14/03/2022

Il Garante privacy ha dato il via libera alle modalità per la realizzazione e la modifica dei siti delle pubbliche amministrazioni, proposte dall’Agenzia per l’Italia Digitale (AgID) e contenute nelle nuove “Linee guida di design per i siti internet e i servizi digitali della PA”.

Lo schema delle Linee guida, come evidenzia l’Autorità nel provvedimento, rappresenta un’opportunità per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default.

Nell’esprimere il parere favorevole, il Garante per la protezione dei dati personali ha però indicato la necessità di alcune integrazioni, per assicurare la conformità delle Linee guida al Regolamento e al Codice della privacy.

In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario che nello schema venga indicata l’effettuazione della valutazione d’impatto sulla protezione dati prima di procedere al trattamento e, se del caso, la consultazione preventiva dell’Autorità.

Altre integrazioni riguardano le informazioni sul trattamento dei dati personali, che devono essere concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori.

Massima attenzione, infine, al ricorso a cookie e altri strumenti di tracciamento: lo schema di decreto dovrà espressamente richiamare le Linee guida predisposte dal Garante in materia, assicurando, in ogni caso, la piena fruibilità del sito o del servizio digitale anche quando l’utente non intende prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate.

Le pubbliche amministrazioni, sottolinea l’Autorità, devono valutare attentamente l’effettiva necessità di far ricorso a questi strumenti rispetto alle finalità perseguite, e indicare nell’informativa del sito l’uso di cookie o altri identificatori. Nei rapporti con i fornitori di servizi di hosting o cloud computing, rispetto ai quali la PA agisce in qualità di titolare, qualora essi siano stabiliti in Paesi terzi, occorre rispettare le regole per il trasferimento dei dati personali in tali Paesi.

Cookie: le nuove Linee Guida del Garante diventano operative

Tratto da www.garanteprivacy.it

Dal 9 gennaio 2022 sono diventate operative le indicazioni contenute nelle Linee Guida del Garante approvate lo scorso mese di giugno in materia di cookie e altri strumenti di tracciamento.

Le nuove Linee guida suggeriscono alcuni miglioramenti che i titolari possono adottare al fine di rendere agli utenti un’informativa conforme ai requisiti di trasparenza previsti dagli articoli 12 e 13 del Regolamento. Le Linee Guida inoltre propongono significative innovazioni in tema di consenso.

Per una piena e corretta comprensione degli adempimenti, il Garante consiglia la consultazione del testo integrale delle «Linee guida sull’utilizzo di cookie e altri strumenti di tracciamento» disponibili alla pagina www.gpdp.it/cookie .

Categorie