Pubblicato il

Due anni di Gdpr: il rapporto della Commissione europea

26 Giugno 2020

A poco più di due anni dalla sua piena applicazione, la Commissione europea ha pubblicato un rapporto di valutazione sul Regolamento europeo in materia di protezione dei dati personali (Gdpr). Il rapporto mostra come il Gdpr abbia raggiunto la maggior parte dei suoi obiettivi, in particolare garantendo ai cittadini Ue un solido insieme di diritti e creando un nuovo sistema europeo di governance. Il Gdpr si è peraltro dimostrato flessibile nel supportare soluzioni digitali in circostanze impreviste come la crisi dovuta al Covid-19.

Il documento della Commissione evidenzia, inoltre, che l’armonizzazione delle legislazioni nazionali è aumentata grazie al Gdpr, sebbene permanga una certa frammentazione in alcuni ambiti (per esempio, in materia di bilanciamento fra libertà di espressione e protezione dati, o in materia sanitaria) che necessita di un monitoraggio costante. Anche fra le aziende si fa strada la cultura della “responsabilizzazione” e l’idea che le misure a protezione dei dati personali possano costituire un vantaggio competitivo.

La relazione propone anche un elenco di azioni che coinvolgono i diversi stakeholder (Commissione, Stati membri, Autorità di protezione dati, soggetti pubblici e privati) per facilitare ulteriormente l’applicazione del Gdpr con particolare riguardo alle piccole e medie imprese. Gli obiettivi finali indicati dalla Commissione sono quelli di ridurre la frammentazione normativa (gli Stati membri sono invitati a fare la loro parte al riguardo, e la Commissione intende vigilare con attenzione su questi aspetti), nonché di promuovere e sviluppare ulteriormente una cultura europea della protezione dei dati e l’applicazione rigorosa delle norme. Tutto ciò richiede il supporto interpretativo, e non solo, delle Autorità di protezione dati, ma anche una maggiore e più incisiva cooperazione fra le Autorità, che sono invitate a fare pienamente uso degli strumenti messi a loro disposizione dal Regolamento.

Questi, in sintesi, alcuni aspetti di particolare interesse emersi dal riesame del Regolamento Ue.

Secondo la Commissione, il Regolamento migliora la trasparenza e aumenta la consapevolezza dei diritti di cui godono le persone nell’Ue (diritto di accesso, rettifica, cancellazione, diritto di opposizione e diritto alla portabilità dei dati).  Le regole sulla protezione dei dati si sono dimostrate adeguate all’era digitale: il Gdpr ha promosso la partecipazione attiva e consapevole delle persone alla transizione digitale e favorisce un’innovazione affidabile: in particolare attraverso un approccio basato sul rischio e su principi come la protezione dei dati in base alla progettazione e per impostazione predefinita (privacy by design e privacy by default). Le Autorità per la protezione dei dati stanno utilizzando i più forti poteri correttivi previsti dal Gdpr, dagli avvertimenti e dagli ammonimenti fino alle sanzioni pecuniarie. Tuttavia, sottolinea la Commissione, esse devono essere adeguatamente supportate con le risorse umane, tecniche e finanziarie necessarie. Se è vero che, complessivamente, tra il 2016 e il 2019 si è registrato un aumento del 42% del personale e del 49% del bilancio per tutte le Autorità nazionali per la privacy nell’Ue, permangono forti differenze tra gli Stati membri.

Vi sono, rileva la Commissione, margini di miglioramento per quanto riguarda il sistema di governance europea della protezione dei dati, in particolare rispetto al funzionamento del cosiddetto meccanismo di “sportello unico”, in base al quale una società che svolge trattamenti transfrontalieri di dati ha una sola Autorità di protezione dei dati come interlocutore, vale a dire l’Autorità dello Stato membro in cui ha sede il suo stabilimento principale. Tra il 25 maggio 2018 e il 31 dicembre 2019, 141 progetti di decisione relativi a reclami transfrontalieri sono stati presentati tramite lo “sportello unico”, 79 dei quali hanno portato a decisioni definitive. Su questi temi di governance sta lavorando anche l’Edpb (il Comitato europeo per la protezione dei dati formato da rappresentanti di tutti i Garanti europei) attraverso l’elaborazione di specifiche linee-guida che affrontano anche l’interpretazione e l’attuazione di aspetti chiave del Regolamento e temi emergenti.

Relativamente alla dimensione internazionale, la Commissione intende lavorare con l’Edpb alla modernizzazione di alcuni meccanismi in atto per i trasferimenti di dati personali al di fuori dell’Ue tra cui le clausole contrattuali standard, che risultano essere lo strumento più utilizzato dalle aziende ai fini di tali trasferimenti, anche alla luce degli sviluppi della giurisprudenza della Corte di giustizia. La Commissione evidenzia, infine, la necessità di proseguire nei negoziati internazionali per valutare l’adeguatezza alle norme europee dei Paesi extra-Ue e di esplorare l’impiego di strumenti quali accordi internazionali di mutua assistenza per rendere più efficace l’applicazione del Regolamento in questi ambiti.

Fonte: Garante Privacy

Pubblicato il

Covid-19 e protezione dal contagio degli ufficiali giudiziari

26 Giugno 2020

La trasmissione degli elenchi dei positivi ai Tribunali non consente un’efficace tutela del personale ed è sproporzionata

Per assicurare il contenimento del contagio da Covid-19 e la protezione degli ufficiali giudiziari i Tribunali non sono tenuti a conoscere lo stato di salute dei soggetti cui notificare atti giudiziari, ma, come previsto dalle norme adottate dal Governo, devono predisporre adeguati dispositivi di protezione individuale.

E’ quanto ha precisato l’Ufficio del Garante per la protezione dei dati personali in una nota indirizzata al Ministero della Giustizia con cui ha fornito il suo parere in merito alla questione sollevata  da un’ azienda sanitaria di Verona, alla quale l’UNEP (Ufficio Notifiche Esecuzioni e Protesti) del Tribunale della stessa città aveva chiesto di poter avere quotidianamente gli elenchi aggiornati delle persone positive o sospette positive al Covid-19, dei soggetti in quarantena e dei loro conviventi, nonché a loro dislocazione.

Il Garante ha ritenuto che la disponibilità dei predetti elenchi delle Aziende sanitarie non risulta necessaria né all’esercizio delle funzioni attribuite all’UNEP, né alla protezione dal contagio del personale addetto alle notifiche.

Nel fornire la sua risposta, l’Autorità ha tenuto conto del fatto che, in assenza di una mappatura dell’intera popolazione in merito al contagio Covid-19, l’eventuale stato di positività dei destinatari degli atti potrebbe sussistere, seppure non ancora accertato.

Di conseguenza, in linea con le raccomandazioni dell’Istituto Superiore di Sanità, i Tribunali devono adottare le misure di protezione individuale, disposte dal Governo per i lavoratori a contatto con il pubblico, nei confronti di tutti gli operatori UNEP a prescindere dal fatto che essi accedono a locali ove è domiciliata una persona accertata Covid-19.

Occorre inoltre considerare, che anche ove tali elenchi fossero acquisiti spetterebbe ai tribunali una difficile opera di aggiornamento, tenuto conto che gli stessi sono in continua evoluzione sulla base dei risultati dei tamponi.

L’Ufficio del Garante si è comunque reso disponibile a interloquire con il Ministero della giustizia per trovare una soluzione che consenta lo svolgimento dei compiti degli UNEP assicurando, al contempo, la protezione dal contagio del personale impiegato e la riservatezza dei soggetti posti in isolamento domiciliare per Covid-19.

Fonte: Garante Privacy

Pubblicato il

Soro: “Non sappiamo cosa fa la Cina con i dati di chi ha fra 10 e 15 anni”

Soro: “Non sappiamo cosa fa la Cina con i dati di chi ha fra 10 e 15 anni”
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Di Jaime D’alessandro, La Repubblica, 5 giugno 2020)

“Sono tre anni che io sostengo: abbiamo un problema con la Cina. Nell’economia digitale l’asimmetria è semplicemente spaventosa”. Antonello Soro, garante italiano per la Privacy, parte dal bicchiere mezzo vuoto. La decisione del Comitato europeo perla Protezione dei Dati (Edpb) di dargli ascolto e istituire una commissione che indaghi sul social network cinese TikTok sembra un passo troppo timido. Con 800 milioni di utenti attivi, è il primo grande social network nato a Pechino a riuscire a fare breccia in Occidente. Il problema? Che non abbiamo idea di cosa accada ai dati raccolti. “TikTok ha avuto uno sviluppo molto veloce”, continua Soro. “Sono centinaia di milioni gli europei che la usano. Un pubblico prevalentemente di minori. Il mercato particolare dei giovanissimi li espone al pericolo di messaggi e contenuti poco adatti se non del tutto vietati. Ma essendo una azienda cinese abbiamo armi spuntate a disposizione”.

Cosa farà ora la task-force europea?

“Inizierà dalla raccolta di informazioni che, a mio parere, non potrà essere disgiunta da azioni per sanare l’asimmetria della quale dparlavo prima”.

Ci vorranno mesi. Non le sembra che le istituzioni siano un po’ lente?

“Forse. Le autorità europee che lavorano sul tema dei dati sono piccole e con compiti immani. Non è maturata la percezione di quanto il mondo digitale produca ricchezza e colossi che sono ormai più potenti degli Stati. E non è chiaro a tutti che le regole in quel frangente sono essenziali per far funzionare la società di oggi”.

In attesa che si arrivi ad un’azione concreta, se nel frattempo un adolescente venisse spinto a fare qualcosa di sgradevole?

“Si potrebbe intervenire, almeno qui da noi, se si trattasse di un cittadino europeo. L’approccio di TikTok è collaborativo”.

Ci sono stati casi del genere?

“Ci sono state segnalazioni come avviene per altri social network, nulla di più. Ma non abbiamo idea di cosa succede dietro le quinte. Con tutte quelle informazioni sui comportamenti di chi ha fra i 10 ai 15 anni si possono fare mille cose in un Paese come la Cina che non ha certo le nostre restrizioni. Si possono ad esempio creare algoritmi, profilare gli utenti, sapere esattamente cosa fanno. Li si può influenzare. Parliamo in più di una nazione che ha già un mercato intemo enorme dove si raccolgono informazioni su tutto e su tutti e le sue aziende sono permeabili al Governo. Un vantaggio strategico nell’economia digitale. Il mercato è lo stesso, ma si gioca con regole differenti”.

Il nuovo amministratore delegato di TikTok, Kevin Mayer, è americano.

“Ma l’azienda è di proprietà cinese. Non sarebbe un problema se avessimo con Pechino il medesimo accordo, il Privacy shield, che abbiamo con Stati Uniti, Canada, Giappone e Australia fra gli altri. Impegna le aziende estere a rispettare certe regole quando si tratta di utenti europei. Con il Giappone è stato bloccato l’Ape, la più grande zona di libero scambio del mondo, finché non è stato sottoscritto il Privacy shield. Ma sarà difficile imporlo alla Cina”.

Perché?

“Uno dei punti cardine è che l’accesso delle agenzie governative ai dati sia fortemente limitato. È un tema molto più grande di TikTok. Bisogna evitare che la Cina sia una zona franca”.

Insomma, il bicchiere è ancora mezzo vuoto.

“Diciamo che la task-force è un primo passo. E da qualche parte bisognava pur iniziare”.

Fonte: Garante Privacy

Pubblicato il

Data breach: Il garante sanziona un istituto bancario

26 Giugno 2020

Data breach, sanzionato dal Garante un istituto bancario

Il Garante per la privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.

Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca ed avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).

L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.

Il Garante quindi, considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, ha ritenuto necessario l’applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca. Nel determinare l’ammontare dell’importo in 600mila euro, l’Autorità ha tenuto conto di diversi elementi, tra i quali il fatto che le violazioni sono state commesse nei confronti di un rilevante numero di persone e che la banca – che non ha subito precedenti provvedimenti sanzionatori del Garante – a seguito del data breach ha adottato diverse misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici.

Fonte: Garante Privacy

Pubblicato il

Relazione annuale 2019, discorso del Presidente e sintesi per la stampa

Roma, 23 Giugno 2020

RELAZIONE SULL’ ATTIVITA’ 2019

Sintesi per la stampa

L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, presenta oggi la Relazione sull’attività svolta nel 2019.

La Relazione illustra i diversi fronti sui quali è stato impegnato il Collegio dell’Autorità nel corso dell’anno di proroga del suo mandato, caratterizzato in questi ultimi mesi dall’impatto determinato dall’emergenza sanitaria legata al Covid-19 su tutti i settori della vita nazionale. La necessità di assicurare un corretto trattamento dei dati – in particolare di quelli sulla salute – e il rispetto dei diritti delle persone, ha visto l’Autorità impegnata nel fornire pareri e indicare misure di garanzia riguardo alla app “Immuni”; all’effettuazione dei test sierologici; alla raccolta dei dati sanitari di dipendenti e clienti; alla ricetta elettronica; alla sperimentazione clinica e alla ricerca medica; all’attivazione dei sistemi di didattica a distanza; al processo penale e amministrativo da remoto.

Il 2019 ha peraltro rappresentato per l’Autorità un anno particolarmente impegnativo ai fini del progressivo adeguamento al Regolamento Ue da parte dei soggetti pubblici e privati per i quali sono oggi previste nuove responsabilità.

Gli interventi più rilevanti

Il 2019 ha visto una serie di interventi centrati innanzitutto sulle rilevanti novità introdotte dal Regolamento Ue e sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme; i big data; l’intelligenza artificiale e le problematiche poste dagli algoritmi; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la pervasività delle diverse forme di controllo e sorveglianza; il ricorso sempre più diffuso ai dati biometrici; la monetizzazione delle informazioni personali; le fake news; l’Internet delle cose; il revenge porn.

Sul fronte delle violazioni dei dati on line e sui rischi di profilazioni occulte l’anno trascorso ha registrato la sanzione di 1 milione di euro applicata a Facebook per le violazioni emerse nell’ambito dell’istruttoria relativa all’ormai nota vicenda “Cambridge Analytica”, che ha interessato anche cittadini italiani.

Riguardo ai pericoli posti da Tik Tok, il social network cinese che consente di creare e condividere audio, video e immagini, usato da milioni di utenti, in gran parte giovanissimi, il Garante ha chiesto e ottenuto la costituzione di una specifica task force  nell’ambito del Comitato europeo che riunisce tutte le Autorità privacy dell’Unione (Edpb).

Sul fronte cybersecurity e sulla scarsa attenzione alle misure di sicurezza da parte di pubbliche amministrazioni, imprese e piattaforme on line, l’Autorità ha proseguito l’attività di vigilanza e intervento, anche a seguito di casi di particolare gravità.

Significativo a questo proposito il numero dei data breach notificati nel 2019 al Garante da parte di soggetti pubblici e privati: 1443.

L’Autorità ha prescritto ad una società che offre servizi di posta elettronica certificata di adottare rigorose misure per la messa in sicurezza del proprio servizio pec e di sanare le vulnerabilità emerse durante un accertamento ispettivo.

Sempre nel 2019, il Garante ha inoltre dato una serie di puntuali prescrizioni per la messa in sicurezza di una piattaforma di partecipazione politica.

In ordine ai trattamenti di dati per fini di sicurezza nazionale e alle garanzie da assicurare ai cittadini, è stata rafforzata la cooperazione con l’intelligence con il nuovo protocollo d’intenti sulla sicurezza cibernetica firmato con il Dis.

E’ proseguito il lavoro svolto per assicurare la protezione dei dati on line, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sui nostri smartphone o presenti nelle nostre case. Per contrastare il fenomeno del cyberbullismo è stato stipulato un protocollo d’intesa con alcuni Co.Re.Com. con l’obiettivo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.

Il Garante ha inoltre fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che prendono “in ostaggio” un dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto (ransom, in inglese) per “liberarlo”. Una minaccia, questa, particolarmente pericolosa nell’epoca del Covid-19 che ha portato molte più persone e per molto più tempo ad essere connesse online.

Nel 2019 si è rafforzata ulteriormente l’attività a tutela del diritto all’oblio e si è sviluppato il confronto in ambito internazionale riguardo ad una sua protezione al di là dei confini europei.

Nel mondo del lavoro il Garante ha definito le garanzie per la raccolta delle impronte digitali dei dipendenti pubblici a fini di lotta all’assenteismo e ha fissato le regole per l’uso delle nuove tecnologie, con particolare riguardo al controllo dei lavoratori e alla gestione della posta elettronica.

Nel settore della giustizia l’Autorità ha proposto misure per assicurare maggiori garanzie nell’uso dei captatori informatici (trojan) a fini investigativi e ha segnalato al Ministro della Giustizia la necessità di una riforma organica per questi strumenti di indagine particolarmente invasivi, anche per limitare i gravi rischi di un loro uso distorsivo emersi da ultimo nel caso “Exodus”.

Nel settore della sanità il Garante è intervenuto a dare chiarimenti  a cittadini, medici, asl e soggetti privati, sulle novità introdotte dal Regolamento Ue e dalla normativa nazionale.

Per quanto riguarda la pubblica amministrazione, il Garante ha richiamato le amministrazioni a rispettare canoni di proporzionalità e a contemperare obblighi di pubblicità degli atti e dignità delle persone.  Ha fissato precise regole per l’esercizio del diritto di accesso civico e ha chiesto più tutele per chi denuncia illeciti con lo strumento del “whistleblowing”. Per il nuovo censimento permanente l’Autorità ha chiesto garanzie per rafforzare la tutela dell’ingente mole di informazioni raccolte, in particolare migliorando le tecniche di pseudonimizzazione dei dati.

Per quanto riguarda il sistema della fiscalità, il Garante ha chiesto tutele per evitare trattamenti sproporzionati dei dati personali dei contribuenti e misure di sicurezza per l’accesso all’archivio dei rapporti finanziari per l’Isee precompilato. Per il sistema di fatturazione elettronica l’Autorità ha ribadito la necessità di garantire la proporzionalità e la selettività nella memorizzazione dei dati dei contribuenti. Sono state fissate inoltre le garanzie per i processi automatizzati ai fini della lotta all’evasione fiscale e sono state stabilite le regole per l’avvio della cosiddetta “lotteria degli scontrini”.

In ambito welfare l’Autorità ha chiesto di rendere conforme il meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza alla normativa europea, evitando il monitoraggio troppo invasivo sulle scelte di consumo individuali e assicurando la selettività degli accesi a informazioni relative a fasce deboli della popolazione.

Sul fronte della tutela dei consumatori il Garante è intervenuto contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (una di 27,8 milioni di euro e un’altra di 11,5 milioni di euro) ad operatori che hanno utilizzato i dati degli abbonati senza il loro consenso. Sono state varate nuove regole a tutela dei consumatori censiti nei sistemi di informazione creditizia, per rispondere alle sfide della digital economy e imporre trasparenza sul funzionamento degli algoritmi.

Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare gli eccessi di morbosità che caratterizzano un certo modo di fare informazione e per assicurare le opportune tutele innanzitutto nei confronti delle vittime di abusi sessuali, specie se minori.

Il 2019 ha visto, infine, il Garante costantemente impegnato nell’azione di supporto a imprese e pubbliche amministrazioni con una intensa attività di formazione, anche attraverso progetti di cooperazione internazionale (T4Data e Smedata), ai fini di una corretta ed effettiva applicazione del Regolamento Ue, anche riguardo alla nuova figura del Responsabile della protezione dei dati

Le cifre

Nel 2019 sono stati adottati 232 provvedimenti collegiali.
L’Autorità ha fornito riscontro a oltre 8.000 reclami e segnalazioni riguardanti, tra l’altro il marketing telefonico; la sanità; il credito al consumo; la sicurezza informatica; il settore bancario e finanziario; il lavoro; gli enti locali.

pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 46 ed hanno riguardato l’attività di polizia e sicurezza nazionale; il casellario giudiziale; la digitalizzazione della Pa; le misure contro l’assenteismo e la raccolta delle impronte digitali dei dipendenti pubblici; il testamento biologico; il reddito di cittadinanza; la riforma del Registro pubblico delle opposizioni; il “bonus cultura”; il “whistleblowing”; l’istruzione; la procreazione assistita.

33 sono stati i pareri resi ai sensi della normativa sulla trasparenza.

Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 9 e hanno riguardato l’inosservanza dei provvedimenti del Garante, la falsità nelle dichiarazioni e notificazioni al Garante e un caso di accesso abusivo ad un sistema informativo e telematico.    Le ordinanze-ingiunzione sono state 36.

Le ispezioni effettuate nel 2019 sono state 147. Gli accertamenti, svolti anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato numerosi settori, sia nell´ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati da società di intermediazione finanziaria; da istituti bancari (con particolare riferimento ai flussi di dati verso l’anagrafe dei conti correnti); da società che svolgono attività di marketing e fidelizzazione (anche con riferimento alla profilazione dei clienti). Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata sul Sistema statistico nazionale (Sistan), sullo Spid, sui software per la gestione del “whistleblowing” e sulle banche dati di rilevanti dimensioni.

Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 15.800 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue, seguiti dalle questioni legate alle telefonate, mail, fax e sms promozionali indesiderati; a Internet; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle centrali rischi private; ai dati bancari.

L’attività internazionale

Non meno rilevante e intensa l’attività del Garante a livello internazionale, con 137 riunioni, ed è stata caratterizzata soprattutto dall’azione di supporto all’ applicazione del Regolamento in materia di protezione dei dati.
Nell’ambito del Comitato europeo per la protezione dei dati (EDPB), che riunisce le autorità di protezione dati dell’Ue, il Garante ha contribuito all’adozione di numerose linee-guida e pareri su tematiche complesse: i codici di condotta; i principi di privacy by design e by default; i contratti online; la videosorveglianza; i trasferimenti di dati verso Paesi extra-Ue basati su norme vincolanti d’impresa (BCR). Il Garante partecipa, inoltre, ai meccanismi di cooperazione (“sportello unico”) e coerenza previsti dal Regolamento Ue, attraverso scambi quotidiani di informazioni e documentazione (in particolare concernenti decisioni su reclami transfrontalieri) sul sistema IMI utilizzato a tale scopo. Importante anche il lavoro svolto sull’interazione tra Regolamento europeo e Direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva e-Privacy)

Da sottolineare anche l’attività del Garante italiano per il Consiglio d’Europa, che – attraverso l’apposito Comitato incaricato di seguire le questioni di protezione dati presieduto da una rappresentante del Garante italiano – ha proseguito il lavoro di follow up del Protocollo emendativo della Convenzione 108 che ha dato vita alla cosiddetta “Convenzione 108+”. Il Comitato consultivo della Convenzione 108 ha inoltre adottato le Linee guida in materia di intelligenza artificiale e il Parere relativo alla bozza di secondo protocollo addizionale alla Convenzione di Budapest sul cybercrime. E’ stata infine adottata dal Comitato dei ministri la Raccomandazione sulla protezione dei dati relativi alla salute.

Significativo anche il contributo dato in seno all’OCSE, in particolare riguardo alla sicurezza e alla tutela della privacy nell’economia digitale alla protezione dei minori on line. Si è intensificata anche la collaborazione nell’ambito di gruppi internazionali (quali la Global Privacy Enforcement Network, GPEN), che promuovono interventi congiunti e mirati di verifica del rispetto della normativa in materia di protezione dei dati.Da segnalare anche il lavoro svolto in rapporto alle attività di controllo sull’applicazione nazionale dei regolamenti Ue concernenti il sistema Schengen, Europol (Ufficio europeo di polizia) e VIS (Sistema dei visti).

Il testo della Relazione annuale 2019

Discorso del Presidente Antonello Soro

Roma, 23 giugno 2020

Fonte: Garante Privacy

Pubblicato il

Seminario Formativo Gratuito Online – Venerdì 26 Giugno 2020

Venerdì  26 Giugno 2020 – ore 09.30/12.00

L’emergenza sanitaria rappresenta  una sfida per le Pubbliche Amministrazioni che dovranno mettere a regime e rendere sistematiche le misure adottate nella fase emergenziale al fine di rendere il lavoro agile lo strumento primario nell’ottica del potenziamento dell’efficacia e dell’efficienza dell’azione amministrativa.

Una rivoluzione che comporterà una riorganizzazione non solo nella gestione del lavoro ma anche nell’implementazione di programmi di investimento nelle tecnologie informatiche, nello sviluppo delle competenze attraverso attività formative. Il tutto al fine di garantire servizi pubblici sempre più efficienti da assicurare alla collettività.

I relatori, al fine di supportare i referenti della P.A. a gestire i trattamenti dati e le attività da porre in essere per individuare gli aspetti organizzativi da migliorare, forniranno suggerimenti e documentazione utile da poter utilizzare per raggiungere questo ambito traguardo.

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/5075236130300602383?source=Web

Clicca qui per visualizzare il programma!

Pubblicato il

Parere su uno schema di decreto relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito Regolamento);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO il decreto legge 30 aprile 2020, n. 28, recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota del 29 maggio 2020 (prot. n. 77692), il Ministero dell’Economia e delle Finanze (Mef) ha trasmesso, per il previsto parere, uno schema di decreto, da adottare di concerto con il Ministero della salute, relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19 di cui all’art. 6, comma 1 del decreto legge 30 aprile 2020, n. 28.

RILEVATO

Lo schema di decreto inviato al Garante prevede che il Sistema TS renda disponibili agli operatori del Dipartimento di Prevenzione delle ASL, anche tramite i Sistemi di Accoglienza Regionale (SAR), le funzionalità per la trasmissione di alcuni dati al Sistema di allerta Covid-19. A tal fine, lo schema di decreto prevede che, in caso di esito positivo di un tampone, l’operatore del Dipartimento di prevenzione dell’Azienda sanitaria locale competente contatti il paziente per effettuare l’indagine epidemiologica, che prevede anche la verifica dell’installazione dell’applicazione di cui all’art. 6, comma 1, del decreto legge n. 30 aprile 2020, n. 28 (di seguito “App”). Se il paziente ha installato la predetta App, gli sarà richiesto di utilizzare la funzione di generazione del codice OTP che il paziente comunicherà all’operatore; a questo punto, ottenuta l’autorizzazione, il sistema procederà con il caricamento sul server di backend del Sistema di allerta Covid-19 delle chiavi crittografiche casuali (Temporary Exposure Key) generate dal dispositivo mobile su cui è installata l’App (art. 2 dello schema di decreto).

Secondo quanto indicato nello schema di decreto, l’operatore del Dipartimento di prevenzione dell’Azienda sanitaria locale competente, dopo aver acceduto al Sistema TS, anche tramite i SAR, con le credenziali in suo possesso e in virtù del particolare profilo di autorizzazione attribuito, inserisce i dati forniti dal paziente (codice OTP e data di inizio dei sintomi) che saranno inviati dal Sistema TS al server di backend del Sistema di allerta Covid-19 con le modalità descritte nell’Allegato A al decreto (art. 2, commi 3 e 4 dello schema di decreto).

In merito ai descritti trattamenti effettuati dal Sistema TS, il Ministero dell’economia e delle finanze è designato Responsabile del trattamento da parte del Ministero della salute (art. 28 del Regolamento e art. 2, comma 7 dello schema di decreto).

La valutazione di impatto relativa ai trattamenti di dati personali posti in essere tramite il Sistema TS nell’ambito del richiamato Sistema di allerta Covid-19 è stata effettuata, conformemente all’art. 35, par. 1 del Regolamento, unitamente a quella relativa al complesso delle operazioni effettuate mediante il predetto Sistema di allerta Covid-19 (art. 2, comma 8 dello schema di decreto).

Lo schema di decreto trasmesso all’Autorità è stato formulato anche sulla base dei rilievi e delle indicazioni fornite dall’Ufficio nel corso di alcune riunioni e interlocuzioni.

Lo schema di decreto trasmesso si compone di 2 articoli, relativi al quadro definitorio (art. 1) e alla trasmissione dei dati dagli operatori sanitari per il tramite del Sistema TS (art. 2), nonché di un allegato tecnico relativo alle “Modalità di trasmissione dei dati dagli operatori sanitari per il tramite del Sistema” (Allegato A allo schema di decreto).

OSSERVA

Lo schema di decreto in esame definisce le modalità del trattamento dei dati personali effettuato tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19 di cui all’art. 6, comma 1 del decreto legge 30 aprile 2020, n. 28.

Le misure indicate nello schema di decreto in esame completano l’individuazione dei dati personali raccolti dall’App necessari ad avvisare gli utenti della stessa di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19 che sono stati determinati dal Ministero della salute e specificati nell’ambito della valutazione di impatto presentata al Garante contestualmente allo schema di decreto in esame (art. 6, comma 2, lett. b), d.l. n. 28/2020).

Al riguardo, l’Ufficio, nel corso delle interlocuzioni con il Mef e con il Ministero della salute, ha fornito il proprio contributo affinché, seppur con l’urgenza connessa al contesto emergenziale, le soluzioni individuate fossero rispettose della disciplina in materia di trattamento dei dati sulla salute.

Con specifico riferimento al trattamento dei dati personali effettuato tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19, è stata richiesto che fosse specificamente demandato all’operatore di sanità pubblica il compito, in caso di esito positivo di un tampone, di contattare il paziente per effettuare l’indagine epidemiologica che prevederà anche la verifica circa l’eventuale installazione dell’App.

Ciò in conformità alle disposizioni di settore, adottate anche nel contesto emergenziale in atto, che attribuiscono proprio ai Dipartimenti di prevenzione delle aziende sanitarie locali il compito di ricostruire la filiera dei contati stretti del soggetto risultato positivo al Covid-19 e di determinare le misure di contenimento di contagio più opportune (art. 3, comma 6, d.p.c.m. 8 marzo 2020, Circolare n. 5443 del Ministero della salute del 22 febbraio 2020, e successive modificazioni e integrazioni).

L’Ufficio ha inoltre rappresentato la necessità che, con riferimento ai trattamenti effettuati tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19, il Mef sia designato Responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

Nell’ambito della predetta collaborazione istituzionale, l’Ufficio ha espresso inoltre alcuni rilievi tecnici relativi, in particolare, alle procedure di autenticazione informatica per l’accesso alla predetta funzionalità del sistema TS da parte degli operatori sanitari, alle informazioni memorizzate nei file di log e al relativo periodo di conservazione. Ulteriori rilievi sono stati formulati con riferimento alle procedure di autenticazione informatica per l’accesso al sistema TS da parte dei c.d. “amministratori di sicurezza”, alle informazioni memorizzate nei file di log degli accessi e delle operazioni compiute dagli amministratori di sistema e al relativo periodo di conservazione. Le indicazioni sono state volte anche a rendere omogenee a livello nazionale le predette misure.

Ciò premesso, rilevato che lo schema di decreto in esame tiene conto delle indicazioni fornite dall’Ufficio, non vi sono rilievi da formulare, sotto il profilo della protezione dei dati personali.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze da adottare di concerto con il Ministero della salute.

Roma, 1° giugno 2020

Fonte: Garante Privacy