g-docweb-display Portlet

Newsletter del 2 agosto 2013

Stampa Stampa Stampa

 
 

 



Poca informazione agli utenti, troppi dati usati senza consenso: e il Garante sanziona
208 ispezioni e 2 mln di euro di sanzioni nei primi sei mesi dell´anno. Varato il piano ispettivo per il secondo semestre 2013

 

Poca informazione a utenti e clienti su come vengono usati e per quali scopi i loro dati, troppe informazioni personali trattate senza il consenso degli interessati, soprattutto da parte di società che si occupano di marketing telefonico. Il bilancio dell´attività ispettiva e sanzionatoria del Garante nei primi sei mesi dell´anno è di 208 ispezioni e di 2 milioni di euro le somme riscosse dall´erario da parte di soggetti pubblici e privati.

Gli accertamenti, effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza - Nucleo speciale privacy, hanno riguardato in particolare il telemarketing; l´uso dei sistemi di localizzazione satellitare (gps) nell´ambito del rapporto di lavoro; il sistema informativo dell´Inps; i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment); il credito al consumo e le "centrali rischi"; le banche dati del fisco; le violazioni delle banche dati dei gestori tlc (data breaches).

Significativo il numero di procedimenti sanzionatori avviati : 473 procedimenti, a fronte dei 578 dell´intero 2012. Le sanzioni hanno riguardato, innanzitutto, la omessa o inidonea informativa (289) e il trattamento illecito dei dati (132), legato principalmente al telemarketing e all´uso dei dati personali senza consenso. Ma i procedimenti avviati sono relativi anche alla mancata adozione di misure di sicurezza, alla violazione del diritto di opposizione, all´omessa notificazione al Garante, all´inosservanza dei provvedimenti dell´Autorità.

39 sono state le segnalazioni all´Autorità giudiziaria, in particolare per violazioni dello Statuto dei lavoratori, mancata adozione delle misure minime di sicurezza, trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell´Authority.

Il Garante ha varato anche il piano ispettivo per il secondo semestre 2013. Il piano prevede sia la prosecuzione di controlli nel settore delle grandi banche dati pubbliche (in particolare di enti previdenziali e dell´amministrazione finanziaria), sia l´avvio di ispezioni in ambiti particolarmente significativi per numero o delicatezza dei dati trattati: attività di recupero crediti, formazione del Fascicolo sanitario elettronico, gestione delle reti pubbliche di wi-fi. Accertamenti verranno svolti anche sul rispetto dei nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazione ai loro data base a causa di attacchi informatici o eventi avversi (data breaches).

Circa 200 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa.

 



Disaster recovery: via libera del Garante alle linee guida per la PA
I fornitori di servizi cloud dovranno dichiarare l´esatta posizione dei server

 

Via libera del Garante privacy sullo schema di "Linee-guida per il Disaster Recovery delle pubbliche amministrazioni" predisposto dall´Agenzia per l´Italia digitale (ex DigitPa). Nell´esprimere parere favorevole [doc. web n. 2563133] l´Autorità ha constatato che il testo accoglie, nella sostanza, le raccomandazioni e le condizioni per la messa in sicurezza dei dati fornite nel 2011, su una prima edizione di Linee guida. Anche riguardo agli aspetti più tecnologici il Garante non ha rilevato particolari criticità.

Come previsto dal Codice dell´amministrazione digitale (Cad), ogni pubblica amministrazione deve predisporre, e aggiornare periodicamente, il piano di disaster recovery, ossia l´insieme delle attività necessarie per ripristinare le funzionalità di un sistema informatico nel suo complesso (strutture hardware, software e servizi di comunicazione), messo fuori uso da un evento improvviso che potrebbe comportare danni e perdite gravi per l´amministrazione. In tale ambito, l´Agenzia per l´Italia digitale, sentito il Garante, ha il compito di definire le Linee guida in cui sono indicate le soluzioni tecniche in grado di garantire la sicurezza dei dati e dei sistemi informatici. Ogni anno, inoltre, l´Agenzia deve verificare l´aggiornamento dei piani delle singole amministrazioni. Come richiesto dal Garante, le attuali Linee guida stabiliscono, in particolare, tempi definiti di conservazione dei backup commisurati al tipo di informazioni trattate, alla scadenza dei quali i dati devono essere cancellati. L´uso di tecniche di cifratura poi, non deve pregiudicare la disponibilità delle informazioni in caso di necessità. Le pubbliche amministrazioni, pertanto, devono assicurare la compatibilità tecnologica dei supporti, dei formati di registrazione, degli strumenti crittografici e degli apparati di lettura per tutta la durata di conservazione del dato.

Le Linee guida, recependo ancora le indicazioni dell´Autorità, introducono, infine, per il fornitore di eventuali servizi di cloud computing un obbligo particolarmente rilevante: quello di dichiarare, in sede contrattuale, l´esatta localizzazione geografica dei dati gestiti. Questo consentirà all´amministrazione di valutare se il paese in cui vengono trasferiti i dati appartenga all´Unione europea o assicuri comunque un livello di tutela dei dati personali adeguato ai sensi della normativa UE sulla protezione dei dati personali.



"Banche del latte umano" e diritti delle donatrici
Sì del Garante alle linee di indirizzo per l´organizzazione e la gestione dei servizi di raccolta, controllo, distribuzione del latte donato

 

Il Garante della Privacy ha dato parere favorevole [doc. web n. 2452514] sullo schema di Linee di indirizzo nazionale per l´organizzazione e la gestione delle banche dati del latte umano, donato nell´ambito della protezione, promozione e sostegno dell´allattamento al seno. Tale provvedimento, sottoposto all´Autorità dal Ministero della Salute, è volto a definire criteri uniformi per la costituzione ed organizzazione del servizio di raccolta, stoccaggio, controllo e distribuzione del latte, e fissa i requisiti essenziali e gli indicatori di qualità ed efficienza degli stessi.

Il parere favorevole del Garante è stato reso su una versione aggiornata dello schema di Linee di Indirizzo che tiene conto degli approfondimenti e delle indicazioni suggerite dall´Autorità ai competenti uffici del Ministero. Tali osservazioni hanno riguardato l´individuazione dei soggetti che possono accedere ai dati; la definizione delle finalità perseguite dal registro delle donatrici; la tipologia dei dati sanitari raccolti e le misure di sicurezza. Il tempo di conservazione dei dati è stato inoltre limitato al periodo di utilizzabilità del latte prelevato, prevedendo che esso non debba comunque superare i 12 mesi dalla donazione.

Nel testo esaminato dall´Autorità è stato stabilito, inoltre, che le informazioni personali raccolte nei registri non siano direttamente identificative delle donatrici, ma siano attinenti ai soli dati clinici, anamnestici e relativi ai risultati infettivologici indispensabili per garantire la sicurezza della somministrazione del latte. Tali informazioni devono essere raccolte solo dopo che la donatrice abbia fornito il proprio consenso al trattamento dei dati e che sia stata adeguatamente informata rispetto alle finalità perseguite e sui diritti che può esercitare.

Nello schema si precisa, infine, che l´informativa fornita alla donatrice deve evidenziare che il consenso al trattamento dei dati per la ricerca scientifica deve essere manifestato in modo specifico e distinto, rispettando la facoltà dell´interessata di aderire o meno alla ricerca.

 


L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it