g-docweb-display Portlet

Newsletter 29.3.16 - Sicurezza banche dati, Caf, recupero crediti nel mirino del Garante - Fondi a partiti per telefono e sms: via libera del Garante

Stampa Stampa Stampa

 


Sicurezza delle banche dati, Caf, recupero crediti nel mirino del Garante

Il bilancio dell´attività ispettiva 2015 segna 3 milioni e 500mila euro di sanzioni riscosse e un aumento del 190% delle sanzioni contestate

 

Verifiche sulle misure di sicurezza adottate dai soggetti che hanno subito violazioni alle loro banche dati ("data breach"), attività dei Caf legata alla trasmissione on line del 730 precompilato, società di recupero crediti, agenzie per la ricerca di personale. Sono questi alcuni dei settori che verranno interessati dall´attività di accertamento del Garante per la protezione dei dati personali nei prossimi mesi. Nelle scorse settimane l´Autorità ha varato il piano ispettivo per il primo semestre 2016 che prevede nuovi ambiti di intervento [doc. web n. 4807706].

L´attività ispettiva verrà svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. Proprio di recente è stato firmato il nuovo protocollo di intesa  che rafforza l´attività di collaborazione tra la Guardia di Finanza e il Garante.

Oltre che sui settori ricordati,  le verifiche si incentreranno anche sui trattamenti di dati svolti  nell´ambito del dossier sanitario; sulle agenzie di investigazione privata, sul trasferimento dei dati negli Usa delle multinazionali; sulla implementazione delle misure per la tracciabilità delle operazioni bancarie. Le ispezioni riguarderanno, come di prassi, anche le istruttorie avviate su segnalazioni,  reclami e  ricorsi dei cittadini;  la verifica dell´obbligo di notificazione; il rispetto delle norme sull´informativa e il consenso; l´adozione delle misure di sicurezza a protezione dei dati sensibili trattati da soggetti pubblici e privati.

Per quanto riguarda il 2015, l´attività ispettiva ha segnato un significativo incremento dell´attività sanzionatoria del Garante. Le sanzioni contestate, circa 1700, hanno segnato un aumento di oltre il 190 per cento rispetto all´anno precedente, mentre le sanzioni già riscosse dall´erario  sono state pari a 3 milioni e 500 mila euro. 33 sono state le segnalazioni all´autorità giudiziaria.

Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy,  hanno riguardato  numerosi e delicati settori, sia nell´ambito pubblico che privato. Per  quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da software house che forniscono servizi di supporto all´attività della polizia giudiziaria e alla magistratura; alla geolocalizzazione dei dipendenti; al marketing telefonico svolto dai call center, anche operanti all´estero; agli istituti bancari; alla conservazione dei dati tlc e Internet; al trasferimento di dati verso Paesi extra Ue; alle strutture alberghiere e ai centri fitness; alle centrali rischi. Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata particolarmente  sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit,  e sulla sanità elettronica, dal  fascicolo sanitario elettronico al dossier sanitario alle prenotazioni  di prestazioni on line.

Il bilancio traccia un quadro persistenti elementi di  criticità nel trattamento dei dati delle persone; una ancora insufficiente informazione agli utenti sull´uso dei dati personali, sia  da parte di Pa che delle aziende (223 violazioni riscontrate); la mancata adozione delle misure di sicurezza; tempi eccessivi di conservazione dei dati di traffico telefonico e telematico. Diversi anche i procedimenti sanzionatori per omessa notificazione al Garante con riferimento a trattamenti di particolare delicatezza e le sanzioni  per non aver risposto alle richieste di informazione e documentazione del Garante.

Un capitolo a parte merita l´azione svolta dalla Guardia di finanza nell´ambito di una complessa indagine antiriciclaggio che ha visto coinvolte alcune società operanti nel settore del trasferimento di denaro (money  transfer) e ha portato a 1.172 sanzioni contestate. Dagli accertamenti è emerso che tali società avevano utilizzato illecitamente i dati di centinaia di persone o clienti ignari per frazionare fittiziamente il trasferimento all´estero di ingenti somme di denaro ed  eludere così i limiti che impongono agli operatori la segnalazione di transazioni al di sopra di certe soglie.

Per quanto riguarda, invece, le violazioni penali, le  segnalazioni inviate alla magistratura hanno riguardato soprattutto casi di mancata adozione delle  misure minime di sicurezza e violazioni connesse al controllo a distanza dei lavoratori.

 

 

Fondi ai partiti per telefono e sms: via libera del Garante

 

I cittadini che intendono finanziare i partiti politici via sms, app o telefono fisso potranno farlo in modo agevole e veloce,  e soprattutto  con adeguate garanzie per i loro dati personali. Gli operatori telefonici potranno informare gli utenti e acquisire il consenso con modalità semplificate.

Con un parere reso ad Asstel [doc. web n. 4788463] il Garante privacy ha indicato le tutele che gli operatori telefonici dovranno inserire nel codice deontologico che la normativa chiede loro di adottare.

I  dati derivanti dalla raccolta di fondi, per il loro collegamento anche solo potenziale tra donatore e beneficiario, sono idonei a rivelare  le opinioni o le preferenze politiche dei sovventori. Sono quindi dati sensibili, alle quali il Codice privacy riconosce particolari garanzie.

Per la raccolta di fondi effettuata tramite sms, il Garante  suggerisce l´inoltro, sull´utenza da cui è stata avviata la procedura di "donazione", di un messaggio contenente una sintetica informativa e la richiesta di consenso al trattamento dei dati sensibili, anche a vantaggio dei partiti beneficiari. Il successivo invio, ad opera dell´utente, di un sms di conferma potrebbe costituire, eccezionalmente e limitatamente a questi casi, una modalità idonea di manifestazione del consenso per il trattamento dei dati sensibili. Resta comunque valida la possibilità, per gli operatori telefonici e i partiti politici di informare gli interessati e di acquisire il loro consenso scritto già al momento della  stipula del contratto, o in occasione dell´iscrizione  al partito o della partecipazione a iniziative a suo sostegno.

Per quanto riguarda invece l´uso del telefono fisso e mobile, il Garante indica come soluzioni, rispettivamente, l´utilizzo di sintetici messaggi preregistrati o di pop-up che compaiono sullo schermo dello smartphone, in grado di attirare l´attenzione dell´utente sui trattamenti di dati collegati alla donazione. Questa ipotesi consentirebbe agli utenti, in prima battuta (e salvo il rinvio a informative più articolate pubblicate nei siti internet dei singoli titolari o già rese in altre occasioni da questi ultimi), di essere sufficientemente informati. Quanto alla raccolta del consenso, quest´ultimo dovrà essere manifestato per iscritto o con modalità alternative, equiparabili allo scritto (ad es. apposizione di un flag).

Nell´ipotesi poi, in cui l´ordinamento preveda la pubblicazione dei dati dei sovventori, in particolare nel caso in cui l´importo complessivo delle donazioni (in varie forme effettuate) superi l´importo annuale di 5 mila euro, i partiti politici dovranno informare di questa eventualità la persona che ha donato i fondi e acquisire uno specifico consenso alla pubblicazione del suo nominativo.

 

 

 



No al riconoscimento facciale per ottenere finanziamenti 

 

Il Garante della privacy ha vietato l´uso di un sistema di riconoscimento facciale che avrebbe dovuto registrare e verificare i volti di chi richiede un finanziamento allo scopo di prevenire possibili furti di identità.

La società che aveva progettato il servizio prevedeva di acquisire - tramite scansione - la fotografia presente sul documento di identità dei potenziali clienti al momento in cui richiedevano mutui, prestiti o altre forme di finanziamento presso istituti di credito o altri intermediari finanziari. I dati biometrici del volto - inseriti in una banca dati e associati con altre informazioni personali - sarebbero stati poi confrontati con quelli già censiti o presenti in altri archivi, ad esempio per l´identificazione di soggetti ricercati. La ricerca sarebbe poi stata estesa anche a immagini pubblicate sulla stampa e su internet.

Nel corso dell´istruttoria per la verifica preliminare del progetto sottoposto alla sua attenzione, l´Autorità ha innanzitutto evidenziato che non può ritenersi necessario e proporzionato un uso generalizzato e incontrollato dei dati biometrici dei clienti che, tra l´altro, si possono prestare a utilizzi impropri e possibili abusi.

Il Garante, inoltre, ha individuato molteplici criticità relative al nuovo sistema, che peraltro avrebbe comportato la raccolta dei volti di un numero enorme di persone (si pensi che le posizioni creditizie attualmente attive in Italia sono diverse decine di milioni). Risultava, ad esempio, scarsamente affidabile il processo di confronto delle fotografie delineato dalla società, con un alto rischio di falsi positivi e falsi negativi, e mancava del tutto una rigorosa garanzia di affidabilità ed integrità dei dati trattati. Dagli elementi forniti all´Autorità è poi emerso che non erano state previste neppure adeguate misure di sicurezza – tra le altre, quelle a protezione della rete di comunicazione elettronica sulla quale i dati biometrici sarebbero stati trasmessi al sistema centralizzato di acquisizione dati - con conseguenti ripercussioni per i diritti individuali in caso di violazione, di accessi di persone non autorizzate o, comunque, di abusi riguardo alle informazioni memorizzate.

Neppure la modalità di acquisizione del consenso  al trattamento dei propri dati biometrici era conforme al Codice della privacy, risultando il consenso di fatto obbligato e senza che fossero previsti metodi alternativi di verifica dell´identità per accedere al finanziamento.

 


Trasporto pubblico a Bari: sì alla "scatola nera", ma con adeguate tutele

 

Via libera del Garante [doc. web n. 4807812] ad una società di trasporto pubblico di Bari per l´installazione, all´interno di 140 veicoli, di una "scatola nera" che consentirà di ricostruire i sinistri, tutelare la sicurezza di autisti e passeggeri e prevenire o perseguire gli atti di vandalismo.  Il sistema rileverà la velocità e le accelerazioni del veicolo,  videoregisterà ciò che accade a bordo e geolocalizzerà le informazioni registrate, rilevando automaticamente i dati di servizio (linea corsa, autista, bus).

Attraverso l´installazione di quattro telecamere (una rivolta all´esterno, tre all´interno del mezzo, con modalità tali da escludere la postazione del conducente), saranno raccolte le immagini dell´interno del veicolo e della sede stradale prospiciente.

La registrazione delle immagini avverrà solo in precise condizioni, quali accelerazioni/decelerazioni o sobbalzi rilevanti o in caso di attivazione del sistema di allarme da parte dell´autista. Su ciascun veicolo verranno collocati cartelli informativi che, con modalità semplificata, indicheranno la presenza di un sistema di videosorveglianza associato ad un dispositivo per la ricostruzione degli incidenti.

I dati degli eventi rilevanti o anomali saranno conservati per settantadue ore e poi automaticamente cancellati; in caso di sinistri, potranno essere conservati per ventiquattro mesi e comunicati all´istituto assicuratore.
Il Garante ha ritenuto lecito pertinente e non eccedente il trattamento dei dati personali previsto dal sistema anche in considerazione del bilanciamento degli interessi in gioco e del fatto che la società ha rappresentato di aver stipulato con le organizzazioni sindacali un accordo relativo all´installazione della scatola nera, conformemente a quanto stabilito dalla disciplina in materia di controlli a distanza dei lavoratori.

A tutti gli interessati  dovrà essere resa idonea informativa e dovranno essere adottate specifiche misure di sicurezza, tra cui un sistema di log per la registrazione degli accessi e delle operazioni sui dati e l´utilizzo di tecniche di cifratura. La società dovrà predisporre misure tecniche per non consentire l´identificazione dei soggetti non coinvolti negli eventi; i dati di localizzazione trattati allo scopo di razionalizzare le corse dovranno essere anonimizzati ed utilizzati in forma aggregata. Considerato che il sistema comporta la geolocalizzazione dei veicoli, dovrà essere effettuata la notificazione al Garante in base al Codice privacy. L´Autorità suggerisce poi che la società predisponga preventivamente un´adeguata campagna informativa, anche mediante il proprio servizio di comunicazione con il pubblico.

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it