NEWSLETTER DATA PRIVACY
ATTIVITÀ ISPETTIVA 2014/2015 DEL GARANTE DELLA PRIVACY Il Garante della Privacy ha annunciato il piano ispettivo per il primo semestre del 2015 e con l occasione ha fatto un primo bilancio delle sanzioni irrogate nel 2014. Nel 2014 le sanzioni applicate a pubbliche amministrazioni e società private, aumentate del 20% rispetto al precedente anno, fino ad arrivare alla quota di 5 milioni di Euro, hanno riguardato in prevalenza violazioni della privacy per mancata adozione delle misure di sicurezza, l omessa o carente informativa e l uso illecito di dati personali. I 385 accertamenti ispettivi hanno interessato diversi settori, tra i quali spiccano: società farmaceutiche, app mediche, società che gestiscono i mobile payment, operatori telefonici e call center. È inoltre interessante notare come le segnalazioni inviate dal Garante all autorità giudiziaria hanno riguardato per la maggior parte la mancata adozione delle misure minime di sicurezza e le violazioni connesse al controllo a distanza dei lavoratori, tematiche sulle quali il Garante conferma la propria attenzione. Per il primo semestre del 2015, oltre alla prosecuzione dei controlli già avviati, il Garante ha in programma 150 accertamenti per la verifica della regolarità dei trattamenti di dati personali effettuati nei settori del mobile payment di prossimità (es. pagamenti effettuati con una carta di credito virtuale inserita nella sim telefonica), del fascicolo sanitario elettronico e dossier sanitario, del telemarketing e dei call center operanti all'estero. Sempre a dire del Garante, particolare attenzione sarà posta anche sulla verifica del rispetto dell'obbligo di informativa agli utenti e della richiesta del consenso nei casi in cui questo è necessario.
VIDEOSORVEGLIANZA: TERMINI DI CONSERVAZIONE PIÙ LUNGHI Il Garante della Privacy, con provvedimento n. 142 del 12 marzo 2015, pronunciandosi a seguito richiesta di verifica preliminare ai sensi dell art. 17 del Codice Privacy di una società multinazionale farmaceutica, ha ritenuto ammissibile il prolungamento dei termini di conservazione delle immagini raccolte attraverso un sistema di videosorveglianza. Nel caso di specie, la società farmaceutica intende sottoporre a videoregistrazione presso il proprio stabilimento, una determinata fase del processo di riempimento dei flaconi. Il termine lungo di videosorveglianza (60 giorni) consentirà alla società di rivedere le operazioni in caso di esito non conforme e identificare l operazione che ne ha determinato la non conformità. Il Garante, considerate le peculiari attività svolte e la finalità perseguita dai controlli, ovvero la salute pubblica, ha ritenuto lecita la richiesta di estensione del periodo di conservazione svolta dalla società farmaceutica. Quest ultima dovrà comunque fornire a tutti gli operatori e il personale coinvolti nel processo un'informativa relativa al trattamento dei dati personali e dovrà rispettare le previsioni dell'art. 4, comma 2, l. 20.5.1970, n. 300 in materia di controllo a distanza dei lavoratori. Le immagini potranno essere raccolte attraverso l'utilizzo di telecamere manuali limitando quanto più possibile le inquadrature alle mani degli operatori oppure, secondo un'ipotesi allo stato in fase di esame, installando in alternativa telecamere fisse con raggio d'azione limitato. Tali immagini non saranno utilizzate per finalità di contestazione di illeciti disciplinari né come strumento di controllo delle abilità delle singole persone o come mezzo utile a giudicare comportamenti dei lavoratori. Il titolare del trattamento, infine, disporrà la custodia delle immagini all'interno di un armadio chiuso a chiave e l'accesso alle immagini, in caso di esito non conforme agli standard delle operazioni descritte, sarà consentito solo ai responsabili Quality Assurance, Produzione e Biology Division e loro diretti riporti.
COOKIE: SEMPRE PIÙ VICINO IL TERMINE PER ADEGUARE IL PROPRIO SITO WEB È ormai prossimo il 3 giugno 2015, termine del periodo transitorio individuato dal Garante Privacy per l adeguamento alla disciplina sui cookie. Lo scorso 8 maggio 2014, infatti, il Garante Privacy rendeva noto un provvedimento, successivamente pubblicato in Gazzetta Ufficiale n. 126 del 3 giugno 2014, finalizzato all individuazione di modalità semplificate per l informativa e l acquisizione del consenso per l utilizzo dei cookie. Espressamente, il Garante, consapevole dell impatto, anche economico, che la disciplina sui cookie avrà sul settore della società dei servizi dell informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo, prevedeva un periodo transitorio di un anno a decorrere dalla pubblicazione del citato provvedimento in Gazzetta Ufficiale. Cosa prevede, in breve, la disciplina sui Cookie? Fatta chiarezza sulle tipologie di Cookie: tecnici e di profilazione, nonché sui rispettivi ruoli dei soggetti coinvolti: editori e terze parti; il Garante ha precisato la necessità di: i) fornire l informativa all utente; ii) acquisire il consenso dell utente; iii) rispettare il c.d. principio dell opt-in e iv) notificare il trattamento al Garante nel caso di profilazione dell interessato. Riguardo all informativa, in particolare, è stata prevista la possibilità di fornirne una prima «breve», tramite un banner che informi l utente della presenza di cookie sulla pagina, della provenienza degli stessi e che lo indirizzi verso un informativa «estesa» con l indicazione che, nella pagina dell informativa estesa, l utente potrà negare il proprio consenso, mentre la prosecuzione della navigazione comporta la prestazione del consenso. Il Garante non ha mancato, infine, di precisare le conseguenze del mancato rispetto della disciplina in materia di cookie, ovvero: - per l ipotesi di omessa informativa o informativa inidonea è prevista una sanzione amministrativa che va da 6 mila a 36 mila Euro; - l installazione di cookie sui terminali degli utenti in assenza del consenso degli stessi è sanzionata con il pagamento di una somma che va da 10 mila a 120 mila Euro; - l omessa o incompleta notifica al Garante è sanzionata con il pagamento di una somma che va da 20 mila a 120 mila Euro.
MOBILE PAYMENT: TEMPO SCADUTO, LE NUOVE REGOLE SONO OPERATIVE A partire dal 1 aprile 2015 le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le società che forniscono l'interfaccia tecnologica, le aziende che offrono contenuti digitali e servizi, nonché tutti gli altri soggetti coinvolti nella transazione tramite il sistema di c.d. mobile payment dovranno essere in regola con le previsioni del provvedimento generale del Garante Privacy del 22 maggio 2014, pubblicato in Gazzetta Ufficiale n. 137 del 16 giugno 2014. Tramite il suddetto provvedimento il Garante ha voluto assicurare adeguata tutela ai dati personali recepiti dai vari soggetti coinvolti durante l utilizzo del servizio cercando, soprattutto, limitando l utilizzabilità di tali informazioni per finalità differenti ed ulteriori rispetto a quelle legate all acquisto vero e proprio, come ad esempio campagne pubblicitarie, analisi delle abitudini degli acquirenti o addirittura profilazioni degli stessi. I soggetti coinvolti sono quindi obbligati a fornire agli utenti un informativa privacy chiara e completa, che rechi indicazioni non soltanto circa le finalità di erogazione del servizio, ma anche riguardo agli ulteriori scopi per i quali i dati vengono trattati. In particolare il Garante, conscio delle peculiarità del servizio di specie e dei mezzi con i quali l utente si interfaccia al suo utilizzo, ha previsto particolari misure relative al momento del rilascio e alla forma dell informativa, così come anche per la prestazione del consenso. I dati degli utenti, infine, saranno soggetti ad un limite massimo di conservazione e a particolari misure di sicurezza.