Protezione dei dati personali: gli strumenti di tutela a disposizione dell’interessato

 
Tratto da www.garanteprivacy.it – 06/12/2022
 
 
 

 

Il Garante lancia una scheda informativa che illustra, in modo dettagliato, caratteristiche, differenze e modalità di impiego degli strumenti di tutela a disposizione dell’interessato previsti dalla normativa in materia di protezione dei dati personali: la segnalazione e il reclamo.

L’iniziativa fa parte di un più ampio progetto dell’Autorità, che punta ad offrire strumenti per comprendere facilmente quali diritti sono riconosciuti alle persone in materia di protezione dei dati personali e illustrano le modalità per un concreto esercizio di tali diritti.

La scheda è pubblicata sul sito Internet del Garante alla pagina https://www.gpdp.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali

13 Dicembre 2022

Videosorveglianza: stop del Garante privacy a riconoscimento facciale e occhiali smart. L’Autorità apre istruttorie nei confronti di due Comuni

 
Tratto da www.garanteprivacy.it – 14/11/2022
 

Faro del Garante sui sistemi di videosorveglianza intelligente.

L’Autorità ha aperto un’istruttoria nei confronti del Comune di Lecce, che ha annunciato l’avvio di un sistema che prevede l’impiego di tecnologie di riconoscimento facciale.

In base alla normativa europea e nazionale, ha ricordato l’Autorità, il trattamento di dati personali realizzato da soggetti pubblici, mediante dispositivi video, è generalmente ammesso se necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. 

Ma i Comuni, ha sottolineato il Garante, possono utilizzare impianti di videosorveglianza, solo a condizione che venga stipulato il cosiddetto “patto per la sicurezza urbana tra Sindaco e Prefettura”.

Inoltre, fino all’entrata in vigore di una specifica legge in materia, e comunque fino al 31 dicembre 2023, in Italia non sono consentiti l’installazione e l’uso di sistemi di riconoscimento facciale tramite dati biometrici, a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati. La moratoria nasce dall’esigenza di disciplinare requisiti di ammissibilità, condizioni e garanzie relative al riconoscimento facciale, nel rispetto del principio di proporzionalità.

Il Comune dovrà quindi fornire all’Autorità una descrizione dei sistemi adottati, le finalità e le basi giuridiche dei trattamenti, un elenco delle banche dati consultate dai dispositivi e la valutazione d’impatto sul trattamento dati, che il titolare è sempre tenuto ad effettuare nel caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Sempre in materia di videosorveglianza, il Garante ha avviato un’istruttoria anche nei confronti del Comune di Arezzo, dove, secondo notizie di stampa, a partire dal 1° dicembre 2022 è prevista la sperimentazione di “super-occhiali infrarossi” (che rileverebbero le infrazioni dal numero di targa e, collegandosi ad alcune banche dati nazionali, sarebbero in grado di verificare la validità dei documenti del guidatore).

L’Autorità ha messo in guardia dall’uso di dispositivi video che possano comportare – anche indirettamente – un controllo a distanza sulle attività del lavoratore e ha invitato al rispetto delle garanzie previste dalla disciplina privacy e dallo Statuto dei lavoratori.

Anche il Comune di Arezzo dovrà fornire copia dell’informativa che sarà resa agli interessati, sia cittadini a cui si riferiscono i veicoli e sia personale che indosserà i dispositivi, e la valutazione d’impatto sul trattamento dei dati che li riguarda.

16 Novembre 2022

Pa: attenzione a quando si pubblicano dati on line

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it – Newsletter del 26/07/2022
 
 
 
 
 

Quando pubblicano atti e documenti on line, le Pubbliche amministrazioni devono porre la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Lo ha ribadito il Garante privacy nel comminare una sanzione di 10 mila euro a un Comune.

L’Autorità è intervenuta su richiesta di un reclamante che lamentava la diffusione di dati personali contenuti all’interno di un curriculum vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l’attività lavorativa. Con il reclamo l’interessato aveva anche fatto presente la peculiare condizione personale, in ragione della quale la diffusione dei dati avrebbe potuto comportare dei rischi per sé e per la famiglia.

Nel corso dell’istruttoria il Garante ha accertato che il curriculum era rimasto disponibile online oltre l’arco temporale previsto dalla disciplina di settore e che la circostanza aveva comportato la diffusione dei dati in assenza di base giuridica. Il Comune non aveva neanche operato un’attenta selezione dei dati in esso contenuti (indirizzo di residenza, numero di cellulare e indirizzo di posta elettronica personali).

Quanto alla tesi difensiva avanzata dal Comune, secondo la quale la pubblicazione del curriculum del reclamante sarebbe dipesa dalla condotta negligente del fornitore cui era stata affidata all’epoca la gestione della pagina “Amministrazione Trasparente” del sito, il Garante ha ricordato che spetta al titolare del trattamento, quindi nel caso in esame al Comune, impartire adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati a chi li tratta per suo conto. Indicazioni che l’Ente aveva mancato di dare alla società affidataria del servizio informatico.

La diffusione dei dati personali del reclamante era pertanto avvenuta in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”. Tra le altre violazioni riscontrate dall’Autorità, anche la mancata risposta da parte del Comune alla richiesta di esercizio dei diritti dell’interessato.

Nel determinare l’ammontare della sanzione il Garante privacy ha tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e ha coinvolto un solo interessato. Il titolare ha inoltre fornito assicurazioni in merito alle modalità con cui in futuro provvederà a pubblicare atti e documenti contenenti dati personali sul proprio sito web istituzionale.

27 Luglio 2022

GDPR: consultazione sull’uso delle certificazioni per trasferire i dati all’estero

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it – 30/06/2022
 

Le imprese e le organizzazioni della società civile avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti” dei dati personali in Paesi fuori dallo Spazio economico europeo, appena approvate dai Garanti privacy europei in seno all’EDPB.

Il documento messo in consultazione, e al quale ha contribuito anche il Garante italiano, fornisce chiarimenti ed esempi pratici per l’utilizzo delle certificazioni come strumento di trasferimento dei dati personali di interessati – come i propri clienti, dipendenti, utenti – verso Paesi terzi per i quali non sia stata riconosciuta l’adeguatezza da parte della Commissione europea. Lo strumento della certificazione può rivelarsi di particolare importanza, aggiungendosi ad altri strumenti già esistenti, come le clausole contrattuali standard, le clausole contrattuali ad hoc e le regole vincolanti di impresa.

Le linee guida appena approvate sono composte da quattro parti e approfondiscono aspetti specifici della certificazione come strumento per i trasferimenti. Nella prima parte si analizzano temi di carattere generale, tra cui il ruolo di chi importa dati nel Paese terzo che riceve una certificazione e quello di chi li esporta. Nella seconda parte, i Garanti forniscono chiarimenti su alcuni dei requisiti di accreditamento degli organismi di certificazione (già contenuti in precedenti linee guida EDPB e nell’ISO 17065). Nella terza parte si analizzano i criteri specifici per dimostrare l’esistenza di garanzie adeguate per il trasferimento, che riguardano in particolare la valutazione della legislazione dei Paesi terzi, gli obblighi generali degli esportatori e degli importatori, le norme in materia di trasferimenti successivi, i diritti dei terzi beneficiari e i mezzi di tutela esercitabili, le misure da adottare per le situazioni in cui la legislazione e le prassi nazionali impediscano il rispetto degli impegni assunti dall’importatore nell’ambito della certificazione e nei casi di richieste di accesso ai dati da parte delle autorità di paesi terzi. Nella quarta parte vengono affrontati gli impegni vincolanti e applicabili da attuare.

Il GDPR impone infatti che i titolari e i responsabili del trattamento non soggetti al Regolamento europeo, quando aderiscono a un meccanismo di certificazione destinato ai trasferimenti, assumano impegni vincolanti ed esecutivi attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti, riguardo alle garanzie previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati.

Le linee guida propongono anche un allegato con esempi specifici per l’utilizzo di una certificazione come strumento per i trasferimenti.

1 Luglio 2022

Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it – 23/06/2022
 

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.

Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

24 Giugno 2022