Privacy: i recenti provvedimenti del Garante per la protezione dei dati personali. Impatti nei settori maggiormente rilevanti (marketing, mobile

Transcript

1 Privacy: i recenti provvedimenti del Garante per la protezione dei dati personali. Impatti nei settori maggiormente rilevanti (marketing, mobile payment, sistemi di firma elettronica avanzata).

2 Agenda Linee guida in materia di attività promozionale e contrasto allo spam 07/07/2013 Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie 08/05/2014 Linee guida e schema di provvedimento in materia di riconoscimento biometrico e firma grafometrica 21/05/2014 Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment 22/05/2014 «Privacy e Sicurezza» a cura di Gabriele Faggioli

3 Linee guida in materia di attività promozionale e contrasto allo spam 07 luglio 2013

4 Finalità del provvedimento Il Garante ha ravvisato la necessità di adottare le linee guida al fine di: tenere conto del mutato quadro normativo nazionale sulla tematica relativa all invio di comunicazioni elettroniche nonché del diritto comunitario (direttive 2002/58/UE e 2009/136/UE), con l'ulteriore obiettivo di assicurare l'uniforme applicazione della stessa normativa e l'osservanza del fondamentale principio di certezza del diritto. chiarire alcuni profili problematici relativi alle diverse modalità di spam, affinché gli operatori del settore possano conformarsi alla disciplina sul trattamento dei dati personali. inquadrare alcune nuove forme di spam, con l'intento di limitare i rischi connessi alle novità tecnologiche, pur nella necessaria consapevolezza del carattere parziale e non risolutivo dello strumento del diritto rispetto a tecnologie in continua evoluzione, peraltro sempre più avanzate e di rapida diffusione.

5 Ambito oggetto dello Spam Il provvedimento nel delineare gli aspetti oggettivi del fenomeno legato allo Spam, in primo luogo stabilisce che: il fenomeno dello spam, ai fini del Codice, è costituito dalle comunicazioni per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (v. artt. 7, comma 4, lett. b), 130, comma 1 e 140 del Codice) effettuate, in violazione delle norme del Codice, con sistemi automatizzati di chiamata senza operatore (c.d. telefonate preregistrate) oppure con modalità assimilate alle prime (quali: e- mail, fax, sms, mms). Ai fini dell'applicazione del Codice, non è necessario un invio massiccio e/o simultaneo a una pluralità di indirizzi o numeri di telefono, poiché siffatta modalità rileva solo eventualmente per qualificare il trattamento come sistematico per la quantificazione delle sanzioni.

6 Ambito soggetto dello Spam Considerate le rilevanti novità normative, occorre chiarire l'ambito soggettivo delle disposizioni del Codice in materia di spam e quello dei diritti azionabili dai destinatari delle comunicazioni promozionali automatizzate. Da un lato, le persone fisiche possono esercitare i diritti di cui agli artt. 7 e ss. del Codice al fine di tutelare la propria sfera personale da ingerenze illecite; Dall altro, le persone giuridiche sono, allo stato, sprovviste della possibilità di avvalersi dei medesimi mezzi di auto-tutela. Al riguardo, va infatti considerato l'art. 40, secondo comma, del d.l. del 6 dicembre 2011, n. 201 (c.d. decreto "salva Italia"), convertito con legge del 22 dicembre 2011, n. 214, che ha modificato le nozioni di "interessato" e di "dato personale" in particolare, eliminando ogni riferimento alle persone giuridiche o assimilate, ossia enti e associazioni ed ha mantenuto il riferimento alle sole persone fisiche.

7 Ambito soggetto dello Spam Successivamente, è entrato in vigore anche il d. lgs. 28 maggio 2012, n. 69 il quale ha parzialmente modificato alcune disposizioni del capo 1 ("Servizi di comunicazione elettronica") del titolo X ("Comunicazioni elettroniche") del Codice, nel cui campo applicativo rientrano le comunicazioni promozionali automatizzate, introducendo la qualifica di «contraente» la quale riguarda certamente anche le persone giuridiche (in luogo di quella di «abbonato»). Si evidenzia che le persone giuridiche ed enti assimilati, destinatarie dello spamming: non possono più presentare segnalazioni, reclami o ricorsi al Garante, né possono esercitare i diritti di cui agli art. 7 ss. del Codice, perché non possono essere più "interessati», differentemente dalla persone fisiche. possono avvalersi, in quanto "contraenti", degli ordinari strumenti di tutela forniti dall'ordinamento, quindi, possono esperire presso l'autorità giudiziaria ordinaria rimedi civilistici (a titolo esemplificativo, l'azione inibitoria e/o l'azione di risarcimento del danno).

8 Ambito soggetto dello Spam Con particolare riferimento alla posta elettronica, alcune volte può risultare difficile distinguere se un destinatario sia una persona fisica o giuridica. Può essere questo il caso dei dipendenti che lavorano in una determinata società che ha fornito loro indirizzi di posta elettronica aziendale contenenti le loro generalità (ad esempio, nome.cognome@società.com). Ebbene tali indirizzi vanno considerati indirizzi "personali" di posta elettronica e i loro rispettivi assegnatari come "interessati", con la conseguente applicabilità del Codice e del relativo impianto di diritti e tutele.

9 L'obbligo di un'informativa chiara e completa ai sensi dell'art. 13 del Codice Un imprescindibile obbligo in capo al titolare del trattamento è quello del previo rilascio ai destinatari delle comunicazioni promozionali dell'informativa disciplinata dall'art. 13 del Codice, al fine di assicurare un'informazione chiara e completa, dunque adeguata, relativamente al trattamento dei loro dati, nonché un eventuale consenso al medesimo che sia effettivamente consapevole. Pertanto, l'interessato o la persona presso la quale sono raccolti i dati personali deve essere previamente informato oralmente o per iscritto riguardo a una serie di elementi obbligatori e indefettibili. Fra questi, vanno specificate le modalità che saranno eventualmente utilizzate per il trattamento dati, e in particolare quelle di cui all'art. 130, commi 1 e 2, ossia telefonate automatizzate e modalità assimilate (quali fax, , sms, mms), oltre che quelle tradizionali come posta cartacea e telefonate con operatore, nonché le finalità del trattamento stesso (ad esempio, ricerca statistica, marketing o profilazione). Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati, si ricorda che, se i dati personali dei destinatari di tali comunicazioni non sono raccolti presso l'interessato, l'informativa, comprensiva delle categorie di dati trattati, deve essere data all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione (v. art. 13, comma 4, del Codice).

10 L'obbligo del consenso preventivo (c.d. opt-in) Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l'art. 130, commi 1 e 2, del Codice, in base al quale l'utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in). Quindi, ai fini della legittimità della comunicazione promozionale effettuata, non è lecito, con la medesima: avvisare della possibilità di opporsi a ulteriori invii; chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali. Pertanto, senza il consenso preventivo non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque.

11 I requisiti di validità del consenso per la finalità di invio di comunicazioni promozionali Il consenso acquisito per la finalità di invio di comunicazioni promozionali deve essere: libero, informato, specifico, con riferimento a trattamenti chiaramente individuati; documentato per iscritto (art. 23, comma 3 del Codice); reso con la contestuale presenza di tutti i menzionati requisiti, per ritenere tale trattamento conforme al Codice. Il consenso del contraente per l'attività promozionale deve intendersi libero quando non è preimpostato e non risulta - anche solo implicitamente in via di fatto - obbligatorio per poter fruire del prodotto o servizio fornito dal titolare del trattamento. Esemplificando, non è libero il consenso prestato: quando la società condiziona la registrazione al suo sito web da parte degli utenti e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalità promozionale. Attraverso la predisposizione di moduli in cui la casella (c.d. "check-box") di acquisizione del consenso risulta pre-compilata con uno specifico simbolo (c.d. flag).

12 I requisiti di validità del consenso per la finalità di invio di comunicazioni promozionali Il consenso del contraente deve essere specifico: per ciascuna eventuale finalità perseguita (ad esempio: marketing, profilazione, comunicazione a terzi dei dati ; e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l'invio di loro comunicazioni promozionali, secondo le indicazioni e i chiarimenti forniti di seguito nel presente provvedimento. Va tuttavia chiarito un aspetto peculiare della finalità promozionale. L Autorità ritiene che le attività similari nell ambito del marketing (invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale) sono funzionali, nella maggior parte dei casi, a perseguire un'unica finalità (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare l'acquisizione di un unico consenso (cfr., fra gli altri, anche: provv. 9 marzo 2006, doc. web n ; provv. 24 maggio 2006, doc. web n ; provv. 15 novembre 2007, doc. web n ).

13 I requisiti di validità del consenso per la finalità di invio di comunicazioni promozionali Questa Autorità ritiene che sia parimenti legittimo interpretare la regola della specificità del consenso rispetto alle modalità utilizzate per le finalità di marketing, prevedendo due appositi e distinti consensi rispettivamente: per le modalità tradizionali; per quelle di cui all'art. 130, commi 1 e 2 del Codice, oppure, in alternativa un unico consenso che comprenda i due tipi di modalità. In tale ultimo caso, In particolare: dall'informativa e dalla richiesta di consenso deve risultare che il consenso prestato per l'invio di comunicazioni commerciali e promozionali, sulla base dell'art. 130, commi 1 e 2, del Codice, si estende anche alle modalità tradizionali di contatto eventualmente indicate nell'informativa, come la posta cartacea e/o le chiamate tramite operatore; dall'informativa deve risultare, inoltre, che il diritto di opposizione dell'interessato al trattamento dei propri dati personali per le suddette finalità, effettuato attraverso modalità automatizzate di contatto, si estende a quelle tradizionali. L'Autorità ricorda che per le comunicazioni di cui all'art. 130, commi 1 e 2, non valgono le cause di esonero del consenso di cui all'art. 24 del Codice

14 Titolarità del trattamento per lo spam effettuato mediante agenti o altri terzi In alcune circostanze, l'autorità ha rilevato che le comunicazioni promozionali indesiderate vengono inviate non direttamente dall'impresa/società promotrice, ma da agenti o altri soggetti terzi. In un parere del garante è stata evidenziata la necessità di riconoscere: la titolarità del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla società che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altresì, del controllo esercitato dalla società circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste. i soggetti esterni dovranno essere designati responsabili del trattamento ai sensi dell'art. 29 del Codice; i singoli operatori quali incaricati ai sensi dell'art. 30.

15 Invio di fax indesiderati mediante piattaforme di società estere l'autorità ha rilevato che lo spam via fax che proviene dall'estero solitamente è inviato da società straniere che offrono questo servizio di invio a utenti italiani (imprese, società,..) e che utilizzano, a tal fine, due distinte reti: la rete Internet, per l'invio dei fax nella tratta compresa tra il fax server sito all'estero ed il fax gateway sito in Italia; la rete pubblica telefonica italiana per la trasmissione dei fax da parte del fax gateway nella tratta compresa tra lo stesso e il terminale dell'utente. Al riguardo si segnala che a tale tipo di trattamento dati si applica la disciplina del Codice, dato che, ai sensi dell'art. 5, comma 2, lo stesso è applicabile a qualsiasi soggetto che " impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'unione Europea ". Pertanto, occorre individuare, in relazione alla fattispecie in questione, il soggetto titolare del trattamento con i relativi obblighi.

16 Invio di fax indesiderati mediante piattaforme di società estere Ebbene, a seconda del caso concreto, e in particolare del ruolo svolto nella scelta dei destinatari delle comunicazioni, nonché delle modalità e delle finalità del trattamento, il titolare sarà individuabile nell'impresa, nella società, nel soggetto che comunque si avvalga di tali piattaforme proprie di soggetti terzi oppure nel proprietario delle piattaforme se quest'ultimo le utilizza per svolgere attività promozionale per sé stesso. In particolare, si ritiene necessario che il titolare predisponga comunque, per ogni messaggio in uscita, un riquadro (template) nel quale sia riportata un'idonea informativa, ferma restando la previa acquisizione del consenso specifico e informato dei destinatari delle suddette comunicazioni promozionali ai sensi degli artt. 23 e 130 e, inoltre, garantisca l'esercizio dei diritti di cui agli artt. 7 ss. in modo rapido, agevole ed efficace.

17 Utilizzo di liste per l'invio di più o sms La finalità promozionale talora viene perseguita utilizzando liste di o numerazioni telefoniche per l'invio simultaneo del medesimo messaggio promozionale a molteplici interessati. I soggetti che si avvalgono di tale modalità per finalità di marketing devono rispettare principi e norme indicati nell'ambito del quadro normativo attualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice per ciascuno degli indirizzi di posta trattato. Peraltro, nel caso dell'invio di , chi si avvale di liste di indirizzi talvolta lascia in chiaro gli indirizzi dei destinatari del messaggio promozionale, che quindi possono venire a conoscenza degli altri destinatari ed eventualmente utilizzare i loro indirizzi per i fini più vari, eventualmente anche alimentando ulteriore spam. L'attività promozionale effettuata con mailing list in chiaro costituisce di fatto una comunicazione di dati personali (quelli relativi agli altri indirizzi di posta) a terzi, ossia ai molteplici destinatari della promozione. Risulta necessario pertanto mantenere riservati, magari utilizzando la funzione "ccn" (ossia l'inoltro per conoscenza in "copia conoscenza nascosta"), gli indirizzi di posta utilizzati per l'invio della promozione.

18 Nuove forme di spam Nuove forme di spam Il Garante, sempre alla luce del descritto quadro normativo, di seguito intende fornire necessarie indicazioni di carattere generale anche in relazione ad alcune nuove forme e modalità di spam prive attualmente di un'espressa disciplina normativa, anche al fine di evitare che le grandi potenzialità di Internet, nonché più in generale della tecnologia, possano in via di fatto consentire un uso indiscriminato e illegittimo dei dati personali

19 Nuove forme di spam Social spam II c.d. "social spam" consiste in un insieme di attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online. Ciò si inquadra nel problema dell'indiscriminato e spesso inconsapevole impiego dei propri dati personali da parte degli utenti nell'ambito dei social network, tanto più rispetto a profili di tipo "aperto". Questo impiego si presta alla commercializzazione o ad altri trattamenti dei dati personali a fini di profilazione e marketing da parte di società terze che siano partner commerciali delle società che gestiscono tali siti oppure che approfittino della disponibilità di fatto di tali dati in Internet. Inoltre, essendo i social network reti sociali tra persone reali, lo spam in questo caso può mirare a catturare l'elenco dei contatti dell'utente mirato per aumentare la portata virale del messaggio. Al riguardo, l'autorità anzitutto ricorda che l'agevole rintracciabilità di dati personali in Internet (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poter utilizzare tali dati per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari.

20 Nuove forme di spam Social spam Riguardo a tale tipo di spam, si fa presente che i messaggi promozionali inviati agli utenti dei social network (come Facebook), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina del Codice, e, in particolare, agli artt. 3, 11, 13, 23 e 130. La medesima disciplina è applicabile ai messaggi promozionali inviati utilizzando strumenti o servizi sempre più diffusi tipo Skype, WhatsApp, Viber, Messanger, etc.. Per questi, si ricorda il rischio di proliferazione dello spam dato che, come peraltro indicato nelle relative condizioni di servizio, tali strumenti talora comportano la condivisione indifferenziata di tutti i dati personali presenti negli smart-phone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet) o l'accesso della società che li fornisce alla lista dei contatti o alla rubrica presente sul telefono mobile dell'utente per reperire e/o conservare tali dati personali. Ciò premesso, ferma restando la liceità dei messaggi a scopo meramente personale, si possono individuare alcune ipotesi sulle quali occorre fornire qualche chiarificazione anche sotto l'aspetto normativo

21 Nuove forme di spam Marketing virale Il marketing "virale" è una modalità di attività promozionale mediante la quale un soggetto promotore sfrutta la capacità comunicativa di pochi soggetti destinatari diretti delle comunicazioni per trasmettere il messaggio ad un numero elevato di utenti finali. È un'evoluzione del "passaparola", ma se ne distingue per il fatto che fin dall'inizio emerge la volontà dei promotori di avviare una campagna promozionale. Come un "virus", la comunicazione contenente l'idea, il prodotto o il servizio, che può rivelarsi interessante o conveniente per un utente, viene veicolata da questo ad altri contatti, da questi ad altri e così via. In genere, con la locuzione "marketing virale" si fa riferimento agli utenti di Internet che suggeriscono o raccomandano ad altri l'utilizzo di un determinato prodotto o servizio. Per agevolare la diffusione del messaggio, il soggetto promotore offre un incentivo o un bonus o altro bene economico ai destinatari delle comunicazioni che a loro volta, in cambio, si offrano di inoltrare o comunque far conoscere a terzi (talora con o sms) la comunicazione promozionale ricevuta.

22 Nuove forme di spam Marketing virale Ebbene, tale attività, quando viene svolta con modalità automatizzate e per finalità di marketing, può rientrare nello spam se non rispetta principi e norme già sopra indicati nell'ambito del quadro normativo attualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice. Non è comunque soggetto al Codice il trattamento dei dati effettuato da chi, ricevendo una proposta promozionale, la inoltri a sua volta a titolo personale, consigliando il prodotto o il servizio ai propri amici, utilizzando strumenti automatizzati. Il Codice si applica invece al trattamento effettuato da chi inoltri, o comunque comunichi, il messaggio promozionale ricevuto a una molteplicità di destinatari i cui dati personali (numeri di telefono o indirizzi e- mail) siano stati reperiti su elenchi pubblici o sul web.

23 Le sanzioni Sanzioni Amministrative In relazione alle varie forme di spamming, in caso di accertata violazione delle norme del Codice, questa Autorità - fatta salva l'eventuale adozione di provvedimenti inibitori o prescrittivi - applica le sanzioni amministrative, quali in particolare quelle previste dagli artt. 161 e 162, comma 2-bis del medesimo Codice, finalizzate ad assicurare l'osservanza dei fondamentali obblighi, rispettivamente, dell'informativa e del consenso. Sanzioni Penali Qualora emergano i presupposti di un possibile trattamento illecito di dati personali avente una specifica rilevanza di natura penale, l'autorità è tenuta a denunciare i fatti configurabili come reati perseguibili d'ufficio all'autorità giudiziaria per l'eventuale applicazione della sanzione penale prevista dall'art. 167 del Codice.

24 Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie 08 agosto 2014

25 Considerazioni preliminari I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente, sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando. I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche; monitoraggio di sessioni; memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.

26 Considerazioni preliminari Al fine di giungere a una corretta regolamentazione di tali dispositivi, è necessario distinguerli posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri proprio sulla base delle finalità perseguite da chi li utilizza. In tale direzione si è mosso, peraltro, lo stesso legislatore, che, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l'obbligo di acquisire il consenso preventivo e informato degli utenti all'installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l'art. 122 del Codice). Al riguardo, e ai fini del presente provvedimento, si individuano pertanto due macrocategorie: cookie "tecnici" e cookie "di profilazione

27 Cookie tecnici I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice). Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi: in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso. Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee

28 Cookie di profilazione I cookie di profilazione sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso. Ad essi si riferisce l'art. 122 del Codice laddove prevede che "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3" (art. 122, comma 1, del Codice).

29 Le prescrizioni del Garante Con le linee guida il Garante ha analizzato tutti gli elementi necessari per descrivere il quadro normativo conforme alla legislazione vigente. Per tali motivi il Garante con il suddetto provvedimento si è espresso nel seguente modo: ai fini dell'individuazione delle modalità semplificate per l'informativa che i gestori di siti web sono tenuti a fornire agli utenti in relazione ai cookie e agli altri dispositivi installati da o per il tramite del proprio sito stabilisce che nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni:

30 Le prescrizioni del Garante 1. che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete; 2. che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada); 3. il link all'informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a: uso dei cookie tecnici e analytics; possibilità di scegliere quali specifici cookie autorizzare; possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni; 4. l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie; 5. l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie;

31 Le prescrizioni del Garante Ai fini della semplificazione dell'informativa, si ritiene che una soluzione efficace, che fa salvi i requisiti previsti dall'art. 13 del Codice (compresa la descrizione dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento successivi. Nel momento in cui l'utente accede a un sito web, deve essergli presentata una prima informativa "breve", contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l'utente può accedere al sito), integrata da un'informativa "estesa", alla quale si accede attraverso un link cliccabile dall'utente. Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all'uso dei cookie sia inserita proprio nel banner contenente l'informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell'informativa estesa, la possibilità di esprimere scelte più specifiche

32 Esempio di banner

33 Esempio di banner Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l'informativa, seppur breve, deve essere parte integrante dell'azione positiva nella quale si sostanzia la manifestazione del consenso dell'utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell'esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell'utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).

34 Le prescrizioni del Garante Infine: ai fini di mantenere distinta la responsabilità dei gestori di siti web da quella delle terze parti, prescrive ai medesimi gestori di acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l'acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari).

35 Le prescrizioni del Garante La notificazione Si ricorda che l'uso dei cookie rientra tra i trattamenti soggetti all'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti". Precisamente la notificazione è,: Obbligatoria per i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all'obbligo di notificazione, Non obbligatoria, per i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics (v. punto 1, lett. a), del presente provvedimento).

36 Le prescrizioni del Garante Tempi di adeguamento il Garante è consapevole dell'impatto, anche economico, che la disciplina sui cookie avrà sull'intero settore della società dei servizi dell'informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo. In ragione di ciò, si ritiene pertanto congruo prevedere un periodo transitorio di un anno a decorrere dalla pubblicazione della presente decisione in Gazzetta Ufficiale (3 giugno 2014) per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere delle modalità semplificate ivi individuate.

37 Conseguenze del mancato rispetto della disciplina in materia di cookie Si ricorda che: per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all'art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice). L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice). L'omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

38 Riconoscimento biometrico e firma grafometrica 21 maggio 2014

39 Biometria: il Garante detta le nuove regole In data 21 Maggio 2014, il Garante per la protezione dei dati personali ha emesso uno schema di provvedimento a carattere generale in tema di riconoscimento biometrico e firma grafometrica, attualmente in consultazione pubblica. L Autorità ha individuato specifici casi in cui non sarà più necessario effettuare un interpello preventivo per l adozione di tecnologie biometriche, definendo un quadro di regole a tutela delle libertà personali. Sarà, quindi, consentito il rilevamento delle impronte digitali per l accesso fisico ad aree riservate, oppure per l attivazione di dispositivi elettromeccanici ed elettronici. L Autorità ha inoltre messo a punto le linee guida nelle quali vengono analizzati i vari tipi di trattamento biometrico esistenti, inclusi quelli per i quali permane l obbligo della verifica preliminare e individuate, per ciascuna di queste tipologie, le modalità con cui possono essere trattati i dati e le specifiche misure di sicurezza, oltre a quelle già previste dal Codice della Privacy, che occorre adottare caso per caso.

40 Linee guida in materia di riconoscimento biometrico e firma grafometrica 21 maggio 2014

41 Premessa L utilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati biometrici sta andando incontro a crescente diffusione, in particolare per l accertamento dell identità personale, per accedere a servizi digitali e sistemi informativi, per il controllo degli accessi a locali e aree, per l apertura di serrature elettromeccaniche, per l attivazione di dispositivi elettronici anche di uso personale o di macchinari, per la sottoscrizione di documenti informatici. I dati biometrici sono, infatti, dati personali, poiché possono sempre essere considerati come informazione concernente una persona fisica identificata o identificabile ( ). Rientrano, quindi, nell ambito di applicazione del Codice (art. 4, comma 1, lett. b), le operazioni su di essi compiute con strumenti elettronici sono a tutti gli effetti trattamento di dati personali.

42 Definizioni DATI BIOMETRICI dati ricavati da proprietà biologiche, aspetti comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità campione biometrico (biometric sample): rappresentazione analogica o digitale di una caratteristica biometrica ottenuta al termine del processo di acquisizione (biometric capture e biometric acquisition) riferimento biometrico (biometric reference): modello biometrico utilizzato come termine di confronto e registrato in modo persistente e invariabile nel tempo

43 Principi generali Liceità In via prioritaria, occorre verificare che i dati biometrici siano trattati tenendo presenti i diversi presupposti di liceità stabiliti dal Codice in ragione della natura del titolare del trattamento, fermo restando gli ulteriori ed eventuali obblighi di legge e provvedimenti prescrittivi del Garante. Questi ultimi, prima di iniziare il trattamento, devono, di regola, acquisire il consenso informato dell interessato, che è sempre revocabile e deve essere manifestato in forma libera ed espressa, ossia deve essere scevro da eventuali pressioni o condizionamenti, fermi restando i casi in cui si è in presenza di uno dei presupposti equipollenti (artt. 23 e 24 del Codice). In particolare, il consenso non è richiesto nei casi in cui il Garante, con proprio specifico provvedimento, abbia già operato un cd. bilanciamento di interessi ed abbia ritenuto prevalente il perseguimento di un legittimo interesse del titolare.

44 Principi generali Necessità I sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l utilizzazione di dati personali e di dati identificativi. Prima di procedere all utilizzo di un sistema biometrico, pertanto, occorre valutare se le stesse finalità possano essere perseguite mediante dati anonimi oppure tramite il sistema biometrico ma con modalità tali da permettere l individuazione dell interessato solo in caso di necessità (art. 3 del Codice). I sistemi biometrici devono essere predisposti, laddove tecnicamente possibile in coerenza con la finalità perseguita, in modo da cancellare immediatamente, e possibilmente in modo automatico, i dati biometrici e le informazioni a essi correlate in caso di cessazione del trattamento, ferme restando eventuali disposizioni che prevedano una disciplina differente per casi specifici.

45 Principi generali Finalità I dati oggetto di trattamento per mezzo di sistemi biometrici devono essere raccolti in maniera accurata e trattati per le sole finalità che il titolare intende legittimamente perseguire. In base a tale principio, ad esempio, se la finalità perseguita nel caso concreto è quella di garantire la sicurezza di persone o beni, potrebbero essere utilizzati sistemi biometrici per controllare l accesso a luoghi particolarmente pericolosi, permettendolo solo a determinati soggetti; gli stessi dati, tuttavia, non possono essere utilizzati a diversi fini come, per esempio, la verifica del rispetto dell orario di lavoro dei dipendenti autorizzati.

46 Principi generali Proporzionalità Possono essere trattati i soli dati pertinenti e non eccedenti in relazione alle finalità perseguite. Pertanto, il sistema di rilevazione deve essere configurato in modo tale da raccogliere un numero circoscritto di informazioni. I dati biometrici non devono essere trattati in modo da poter desumere anche informazioni di natura sensibile dell interessato.

47 Adempimenti giuridici Informativa Prima dell inizio del trattamento, il titolare deve fornire agli interessati un informativa idonea e specifica relativa all utilizzo dei dati biometrici. Occorre puntualizzare, in particolare, la finalità perseguita e la modalità del trattamento. L informativa deve dare adeguata rilevanza alla natura obbligatoria o facoltativa del conferimento dei dati rispetto al perseguimento delle finalità del trattamento. Nell informativa deve essere precisata anche la facoltà di utilizzare modalità diverse per avvalersi comunque del servizio nel cui ambito è prevista una procedura biometrica. Nel caso in cui i sistemi utilizzati in determinate sedi siano potenzialmente idonei al rilevamento di dati biometrici dell interessato senza la sua cooperazione, occorre informare gli interessati dando loro la possibilità di scelta relativamente all accesso a una zona soggetta a tale tipo di controlli biometrici.

48 Adempimenti giuridici Notificazione Il titolare del trattamento dei dati biometrici è tenuto ad effettuare la notificazione al Garante ai sensi degli artt. 37, comma 1, lett. a), e 38, del Codice. In tale ambito, vanno considerati i casi di esonero dall obbligo di notificazione riguardanti talune categorie di soggetti in ragione delle attività da essi svolte.

49 Adempimenti giuridici Verifica Preliminare L utilizzo di sistemi biometrici rientra, pertanto, tra i trattamenti che presentano rischi specifici e dovrà essere svolto previa richiesta di verifica preliminare al Garante ai sensi dell art. 17 del Codice. Attraverso la verifica preliminare, che deve essere presentata dal titolare prima dell inizio del trattamento, il Garante ha il compito di prescrivere, ove necessario, misure e accorgimenti specifici per consentire il corretto utilizzo di dati così delicati nel contesto del trattamento prospettato. Tanto premesso, il Garante ha individuato alcune specifiche tipologie di trattamenti in relazione alle quali non ritiene necessaria la presentazione della predetta richiesta di verifica preliminare, a condizione che vengano rispettati i presupposti di legittimità contenuti nel Codice e nelle presenti linee-guida e che vengano adottate tutte le misure e gli accorgimenti tecnici descritti nel medesimo provvedimento.

50 Riconoscimento biometrico: verifica e identificazione biometrica Nel caso dei processi biometrici basati sulla verifica dell identità dell interessato il confronto viene effettuato tra un determinato modello biometrico associato all identità dichiarata dall utente nella fase assertiva e il modello biometrico generato al momento della richiesta di riconoscimento.

51 Controllo biometrico dell accesso logico Le tecniche di riconoscimento biometrico sono talvolta adottate, anche in relazione alla Regola n. 2 del Disciplinare tecnico in materia di misure minime di sicurezza, Allegato B al Codice, per finalità di sicurezza, in aggiunta o in sostituzione degli ordinari sistemi di autenticazione informatica basati su informazioni nella disponibilità cognitiva (password, user id) o su dispositivi (token) nel materiale possesso dell interessato. Le credenziali di autenticazione ordinarie, basate sull associazione di un codice identificativo e di una parola d ordine possono essere facilmente smarrite, sottratte o dimenticate.

52 Controllo biometrico dell accesso logico Anche i sistemi basati su tessere a varia tecnologia (magnetica, ottica, a contatto, a radiofrequenza) o su dispositivi di autenticazione di tipo OTP (one time password), con cui si realizzazione sistemi di autenticazione forte, pur introducendo una maggior livello di sicurezza non sono tuttavia esenti da convenienti a seguito di smarrimento, cessione illegittima o furto dei dispositivi di autenticazione, cui si può accompagnare la perdita di confidenzialità delle informazioni di sicurezza. Con l autenticazione biometrica si cerca di scongiurare il ritmo di cessione illegittima o di furto di credenziali, e perseguire il raggiungimento di un maggior grado di certezza dell identità del soggetto legittimato all utilizzo di sistemi informatici.

53 Controllo dell accesso fisico Le diverse tecniche biometriche si prestano, con maggiore o minore efficacia a seconda del tipo di procedimento adottato, a utilizzazione in contesti differenti da quello informatico anche se comunque caratterizzati da una qualche interazione con sistemi tecnologici. In particolare, è rilevante l uso di sistemi biometrici per il controllo dell accesso fisico ad aree ristrette o riservate, per l apertura di varchi o di serrature a protezione di locali o per l uso di determinati apparati e macchinari. Le finalità del trattamento biometrico sono principalmente di sicurezza, per la protezione patrimoniale o la tutela dell incolumità di persone, ma le stesse tecniche biometriche possono anche prestarsi a scopi facilitativi, in scenari che variano dall accesso a biblioteche, all apertura di armadietti in palestre o di cassette di sicurezza. In ogni caso, le procedure biometriche per queste applicazioni ricadono nelle categorie dell identificazione biometrica o della verifica biometrica.

54 Conservazione dei dati biometrici Il dato biometrico può trovarsi nella disponibilità del titolare del trattamento ed essere conservato in un unica banca dati centralizzata, anche in forma di Hardware Security Module (HSM), nelle postazioni di lavoro informatiche oppure sugli stessi dispositivi di acquisizione biometrica. In alternativa, è possibile memorizzare il dato biometrico in dispositivi sicuri affidati alla diretta ed esclusiva disponibilità degli interessati, in modo che il titolare non debba conservare il dato biometrico. Tuttavia, in caso di furto, smarrimento o distruzione del dispositivo, l interessato potrebbe essere temporaneamente impossibilitato all utilizzo del sistema biometrico.

55 Furto di identità biometrica L uso generalizzato della biometria, in virtù della delicatezza dei dati oggetto di trattamento, può presentare rischi per gli interessati, con potenziali gravi ripercussioni sulla loro sfera personale, in caso di impropria utilizzazione. Il rischio, intenzionale o accidentale, consiste nella vulnerabilità di un asset o di un gruppo di asset tecnologici in grado di causare un trattamento illecito dei dati.

56 Furto di identità biometrica Il furto di identità biometrica può causare effetti lesivi rilevanti nei confronti degli interessati in quanto non può essere fornita una nuova identità biometrica che utilizzi la stessa tipologia di dato biometrico, diversamente dai sistemi di riconoscimento tradizionali. L appropriazione da parte di soggetti non legittimati può prestarsi alla realizzazione di azioni fraudolente e compromettere l efficacia di sistemi di sicurezza basati sul riconoscimento biometrico. Tuttavia tali rischi rilevano solo nei casi in cui si utilizzino procedure il cui funzionamento sia basato esclusivamente sulla componente biometrica, mentre sono marginali se l utilizzo della biometria avviene nell ambito di un sistema multi-factor.

57 Schema di provvedimento in tema di riconoscimento biometrico e firma grafometrica 21 maggio 2014

58 Furto di identità biometrica Il furto di identità biometrica può causare effetti lesivi rilevanti nei confronti degli interessati in quanto non può essere fornita una nuova identità biometrica che utilizzi la stessa tipologia di dato biometrico, diversamente dai sistemi di riconoscimento tradizionali. L appropriazione da parte di soggetti non legittimati può prestarsi alla realizzazione di azioni fraudolente e compromettere l efficacia di sistemi di sicurezza basati sul riconoscimento biometrico. Tuttavia tali rischi rilevano solo nei casi in cui si utilizzino procedure il cui funzionamento sia basato esclusivamente sulla componente biometrica, mentre sono marginali se l utilizzo della biometria avviene nell ambito di un sistema multi-factor.

59 Trattamenti di dati biometrici per i quali non è necessario presentare istanza di verifica preliminare ex art. 17 del Codice

60 Controllo di accesso fisico ad aree «sensibili» dei soggetti addetti e utilizzo di apparati e macchinari pericolosi L'adozione di sistemi biometrici basati sull'elaborazione dell'impronta digitale o della topografia della mano può essere consentita per limitare l'accesso ad aree e locali "sensibili" in cui si renda necessario assicurare elevati e specifici livelli di sicurezza oppure per consentire l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati e specificamente addetti alle attività.

61 Controllo di accesso fisico ad aree «sensibili» dei soggetti addetti e utilizzo di apparati e macchinari pericolosi In tale contesto rilevano, in particolare: le aree destinate allo svolgimento di attività aventi carattere di particolare segretezza, ovvero prestate da personale selezionato e impiegato in specifiche attività che comportano la necessità di trattare informazioni riservate e applicazioni critiche; le aree in cui sono conservati oggetti di particolare valore o la cui disponibilità deve essere ristretta a un numero circoscritto di addetti, in quanto un loro utilizzo improprio può determinare una grave e concreta situazione di rischio per la salute e l'incolumità degli stessi o di terzi; le aree preposte alla realizzazione o al controllo di processi produttivi pericolosi che richiedono un accesso selezionato da parte di personale particolarmente esperto e qualificato; l'utilizzo di apparati e macchinari pericolosi, laddove sia richiesta una particolare destrezza onde scongiurare infortuni e danni a cose o persone.

62 Controllo di accesso fisico ad aree «sensibili» dei soggetti addetti e utilizzo di apparati e macchinari pericolosi In questi casi il presupposto di legittimità, che in ambito pubblico è dato dal perseguimento delle finalità istituzionali del titolare, in ambito privato viene individuato nell'istituto del bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice) per cui, in ragione del legittimo interesse perseguito dal titolare, delle prescrizioni imposte dal presente provvedimento e delle finalità connesse a specifiche esigenze di sicurezza, il trattamento può avvenire senza il consenso degli interessati.

63 Controllo di accesso fisico ad aree «sensibili» dei soggetti addetti e utilizzo di apparati e macchinari pericolosi In relazione a tali finalità, il titolare è esonerato dall'obbligo di presentare istanza di verifica preliminare purché sia assicurato il rispetto delle seguenti prescrizioni: a) Nel caso di utilizzo delle impronte digitali quale caratteristica biometrica, il dispositivo di acquisizione deve avere la capacità di rilevare la vivezza dell'impronta presentata. b) Il trattamento deve essere applicato nei confronti del solo personale specificatamente selezionato e abilitato ad accedere alle aree e ai locali in questione o ad utilizzare gli apparati e i macchinari pericolosi. c) La cancellazione dei dati biometrici grezzi e dei campioni biometrici deve aver luogo immediatamente dopo la loro raccolta e trasformazione in modelli biometrici. d) Il dispositivo per l'acquisizione iniziale e quello per l'acquisizione nel corso dell'ordinario funzionamento sono direttamente connessi o integrati, rispettivamente, nelle postazioni informatiche di enrolment e nelle postazioni di controllo ai varchi di accesso. e) Le trasmissioni di dati tra i dispositivi di acquisizione e le postazioni di lavoro o le postazioni di controllo sono rese sicure con l'ausilio di tecniche crittografiche robuste.

64 Controllo di accesso fisico ad aree «sensibili» dei soggetti addetti e utilizzo di apparati e macchinari pericolosi f) Nel caso di esclusiva conservazione del campione o del riferimento biometrico su supporto portatile (smart card o analogo dispositivo sicuro): i. il supporto deve essere nella esclusiva disponibilità dell'interessato; ii. l'area di memoria in cui sono conservati i dati biometrici è accessibile ai soli lettori autorizzati ed è protetta da accessi non autorizzati; iii. il riferimento biometrico deve essere cifrato con tecniche crittografiche robuste; iv. il supporto è rilasciato in un unico esemplare e, in caso di cessazione dei diritti di accesso alle aree o di utilizzo dei macchinari, viene restituito e distrutto con una procedura formalizzata.

65 Controllo di accesso fisico ad aree «sensibili» dei soggetti addetti e utilizzo di apparati e macchinari pericolosi g) Nel caso di conservazione del campione o del riferimento biometrico su un dispositivo-lettore o una postazione informatica dedicata (controller di varco) dotata di misure di sicurezza di cui alla precedente lettera f): i. è assicurata la registrazione degli accessi alla postazione da parte degli amministratori di sistema, tramite idonei sistemi di raccolta dei log; ii. sono adottate idonee misure e accorgimenti tecnici per contrastare i rischi di installazione di software e di modifica della configurazione delle postazioni informatiche, se non esplicitamente autorizzati; iii. i sistemi informatici sono protetti contro l'azione di malware e sono, inoltre, adottati sistemi di firewall per la protezione perimetrale della rete e contro i tentativi di accesso abusivo ai dati; iv. sono adottate misure e accorgimenti volti a ridurre i rischi di manomissione e accesso fraudolento al dispositivo di acquisizione; v. il riferimento biometrico deve essere cifrato con tecniche crittografiche robuste; vi. i riferimenti biometrici sono conservati per il tempo strettamente necessario a realizzare le finalità del sistema biometrico; vii. i riferimenti biometrici sono conservati separatamente dai dati identificativi degli interessati; viii. sono previsti meccanismi di cancellazione automatica dei dati, cessati gli scopi per i quali sono stati raccolti e trattati.