Cosa fa il Garante per la Privacy

L’Autorità Garante per la protezione dei dati personali – comunemente nota con il nome d Garante della Privacy – ha pubblicato oggi la Relazione annuale delle attività del Garante e sullo stato di attuazione della normativa sulla privacy. Si tratta del diciottesimo bilancio annuale per l’Autorità che è composta da da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici e Licia Califano. La Relazione affronta il tipo di provvedimenti messi atto dal Garante e illustra le sfide future che l’Autorità dovrà fronteggiare per tutelare i dati personali dei cittadini.

GLI INTERVENTI DEL GARANTE
Il Garante si occupa di tutelare i nostri dati personali e tutti i cittadini possono chiedere un parere. Durante il 2014 l’Autorità è intervenuta fornendo risposta a 4.894 tra quesiti, reclami e segnalazioni con specifico riferimento ai seguenti settori: marketing telefonico (in forte aumento); credito al consumo; videosorveglianza; recupero crediti; assicurazioni; rapporti di lavoro; giornalismo; condominio. Non in tutti i casi il Garante ha dato il via ad un ricorso (i ricorsi sono stati 222) mentre le violazioni amministrative accertate sono stati 577:

una parte consistente ha riguardato il trattamento illecito dei dati, legato principalmente al marketing telefonico e all’uso dei dati personali senza consenso; alla omessa comunicazione, agli interessati e al Garante, di violazioni subite dalle banche dati di gestori di telefonia e comunicazione elettronica (data breach); all’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali; alla conservazione eccessiva dei dati di traffico telefonico e telematico; alla mancata adozione di misure di sicurezza; all’omessa esibizione di documenti al Garante; all’inosservanza dei provvedimenti dell’Autorità.

nel complesso le multe comminate per le violazioni amministrative ammontano ad quasi cinque milioni di euro. Nel corso del 2014 i principali interventi dell’Autorità Garante per la protezione dei dati personali non hanno riguardato il rapporto tra cittadini e aziende o le modalità di raccolta di dati da parte dei siti internet e dei gestori telefonici. Il Garante è intervenuto anche in casi più delicati, come ad esempio le modalità di utilizzo dei dati dei pazienti affetti da insufficienza renale da parte di un’associazione di medici nefrologi oppure fornendo pareri alla Presidenza del Consiglio in materia di quali dati fosse possibile pubblicare sui siti istituzionali e sulla gestione delle identità digitali da parte della Pubblica Amministrazione. Delle prescrizioni in materia di tutela dei dati degli utenti fatte dall’Autorità a Google abbiamo già parlato in questo pezzo. A maggio il Garante ha emesso un provvedimento “con modalità semplificate” che tanti grattacapi ha causato ai vari webmaster dei siti e che è “colpevole” degli avvisi che vediamo su ogni sito che visitiamo:

informativa online sui trattamenti effettuati mediante cookie: all’utente deve essere chiaramente ed immediatamente rappresentato se il sito utilizza cookie di profilazione per inviare messaggi pubblicitari
mirati o se il sito consente anche l’invio di cookie di “terze parti” (ossia di cookie installati da un sito diverso tramite il sito che si sta visitando). Deve essere assicurato un link a un’informativa più ampia sull’utilizzo dei cookie e la possibilità di negare il consenso alla loro installazione.

Negli Stati Uniti Obama ha detto che per fermare la violenza delle Forze dell’Ordine nei confronti dei cittadini inermi uno delle soluzioni è dotare gli agenti delle cosiddette bodycam, in Italia è allo studio la possibilità di adottare una soluzione simile e il Garante ha espresso parere favorevole:

Abbiamo reso parere favorevole sul sistema di ripresa delle immagini avviato in via sperimentale dal Dipartimento della pubblica sicurezza in quattro città mediante microtelecamere indossabili dagli agenti di polizia
nel corso di manifestazioni pubbliche ed attivabili solo in caso di criticità, con l’indicazione di misure sulla tenuta delle schede video nonché su modalità e tempi di conservazione dei dati registrati

Tempi duri invece per chi intendesse fare “servizi giornalistici” come quelli che hanno reso famosa la Zanzara di Giuseppe Cruciani, nel caso della telefonata tra Barca e il finto Vendola il Garante si è costituito parte civile ravvisando

illecita l’acquisizione e la diffusione radiofonica della registrazione del contenuto di una comunicazione telefonica intercorsa con un esponente politico ed effettuata da parte di un giornalista utilizzando,
in violazione del principio di correttezza, un “artificio” (segnatamente, l’imitazione della voce di un altro esponente politico amico dell’interessato)

Al di là dei singoli provvedimenti ed interventi del Garante la lettura della Relazione annuale è interessante per capire quanti e quali siano gli aspetti della nostra vita privata sui quali si possono raccogliere informazioni e dati cosiddetti sensibili. Abbiamo tutti imparato a difenderci dal telemarketing, dallo spam o dalle curiosità dei giganti dell’informazione e dei social network. Siamo tutti più o meno preoccupati e attenti a tutelare la nostra privacy ad un livello molto generale che però non sfiora che una minima parte della questione perché vediamo Internet come il “problema” principale. Non pensiamo quindi che dati sensibili sono anche quelli raccolti dalle strutture mediche ad esempio le nostre preferenze religiose o il fascicolo sanitario elettronico. Altro punto importante è la gestione che il datore di lavoro fa dei dati personali ad esempio per quanto riguarda il controllo a distanza:

L’inosservanza della disciplina vigente in materia è stata accertata, unitamente alla violazione delle disposizioni che impongono di informare compiutamente sia i dipendenti che i terzi (in particolare clienti e fornitori) circa le caratteristiche essenziali dei sistemi di videosorveglianza installati, in relazione a titolari del trattamento che svolgono attività eterogenee, in particolare quella relativa al settore alberghiero
(provv. 9 gennaio 2014, n. 13, doc. web n. 2927804), alla grande distribuzione (provv. 8 maggio 2014, n. 230, doc. web n. 3250490) e ai piccoli esercizi commerciali (provv.ti 18 settembre 2014, n. 412, doc. web n. 3500271 e 4 dicembre 2014, n. 559, doc. web n. 3671057).

Inoltre il Garante è intervenuto anche sull’utilizzo che può essere fatto dei sistemi di videosorveglianza, che ad esempio non possono essere utilizzati per contestare illeciti disciplinari dei dipendenti:

Il Garante ha anche precisato che i dati personali riferiti ai dipendenti trattati attraverso un sistema di videosorveglianza installato per finalità di sicurezza e di tutela dei beni aziendali non possono essere utilizzati per contestare illeciti disciplinari (provv. 2 ottobre 2014, n. 434, doc. web n. 3534543). Tale utilizzo per scopi ulteriori e diversi rispetto a quelli originariamente perseguiti si pone in contrasto sia
con il principio di finalità del trattamento (art. 11, comma 1, lett. b), del Codice) che con la disciplina vigente in materia di controlli a distanza dei lavoratori