Menu Privecy SI

News

AMMINISTRATORI di SISTEMA – Proroga dei termini

martedì, 30 giugno 2009
Provvedimenti a carattere generale – 25 giugno 2009   Bollettino del n. 106/giugno 2009,  pag. 0
 

[doc. web n. 1626595]
[vedi provv. 
15774991591970 e 1611986]

Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento – 25 giugno 2009
(G.U. n. 149 del 30 giugno 2009)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare, gli artt. 31 ss. e 154, comma 1, lett. c) e h), nonché il disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B del medesimo Codice;

VISTO il provvedimento del Garante del 27 novembre 2008 relativo a "misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", pubblicato sulla G.U. n. 300 del 24 dicembre 2008 (di seguito, "Provvedimento");

VISTO il provvedimento del Garante del 12 febbraio 2009 con cui si è disposto di unificare e contestualmente prorogare i termini per l’adempimento delle prescrizioni di cui al citato Provvedimento procrastinandone la scadenza al 30 giugno 2009, pubblicato sulla G.U. n. 45 del 24 febbraio 2009;

VISTO il provvedimento del Garante del 21 aprile 2009 con cui si è deciso di attivare una consultazione pubblica volta ad acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge con esclusivo riferimento a quanto prescritto al punto 2 del Provvedimento, dando tempo fino al 31 maggio 2009 per far pervenire osservazioni e commenti, pubblicato sulla G.U. n. 105 dell’8 maggio 2009;

TENUTO CONTO dei numerosi contributi pervenuti, sia da singoli titolari del trattamento sia da associazioni rappresentative di categoria, che evidenziano taluni problemi applicativi relativi alla completa attuazione di alcune delle misure e degli accorgimenti prescritti nel Provvedimento;

CONSIDERATO che, oltre ai predetti contributi, sono pervenute anche richieste di differimento dei termini indicati nel provvedimento del 12 febbraio 2009;

RILEVATA pertanto l’opportunità di integrare e parzialmente modificare il Provvedimento recependo alcune delle indicazioni emerse nel corso della consultazione pubblica per facilitare il corretto adempimento alle prescrizioni impartite, senza compromettere il livello di tutela assicurato agli interessati;

RITENUTO, in particolare, di prevedere che le prescrizioni relative alla conservazione degli estremi identificativi degli amministratori di sistema e alla verifica delle attività da questi svolte possano essere rimesse al responsabile del trattamento, all’atto della sua designazione da parte del titolare o anche tramite opportune clausole contrattuali;

RITENUTA, altresì, la necessità di prorogare i termini previsti per l’adempimento delle prescrizioni, disponendo che tutti i titolari del trattamento (qualunque sia la data di inizio dei trattamenti che li riguardano) adottino le misure e gli accorgimenti di cui al punto 2 del dispositivo del Provvedimento, come modificato e integrato dal presente provvedimento, entro il 15 dicembre 2009;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

DISPONE:

a) di apportare in premessa del Provvedimento le seguenti modifiche:

1. al punto 4.3, primo capoverso, le parole "nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque" sono eliminate;

2. al punto 4.3, terzo capoverso, la parola "deve" è sostituita dalle parole "o il responsabile del trattamento devono";

3. al punto 4.4, primo capoverso, dopo la parola "titolari" sono aggiunte le parole "o dei responsabili";

b) di apportare al punto 2 del Provvedimento le seguenti modifiche:

1. alla lettera c), primo capoverso, le parole "nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque" sono eliminate; al secondo capoverso, alla fine del penultimo periodo dopo la parentesi, sono aggiunte le parole "o tramite procedure formalizzate a istanza del lavoratore".

2. alla lettera d), le parole "il titolare deve" sono sostituite con "il titolare o il responsabile esterno devono";

3. alla lettera e), dopo le parole "titolari del trattamento" sono inserite le parole "o dei responsabili";

4. dopo il punto 3 è aggiunto il seguente punto 3-bis: "dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali";

c) di prorogare al 15 dicembre 2009 i termini per l’adempimento delle prescrizioni di cui al punto 2 del Provvedimento, come modificate e integrate dal punto b) del presente provvedimento;

d) di trasmettere copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 25 giugno 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Patroni Griffi

 

Nuove sanzioni per l’uso illecito dei “DATI PERSONALI” – Art 44 del D.L. 207 del 30 dicembre 2008

martedì, 30 dicembre 2008

Art. 44.
Disposizioni in materia di tutela della riservatezza

 

1. All’elenco n. 1, paragrafo 2, allegato alla legge 24 dicembre 2007, n. 244, le parole: «Decreto legislativo 30 giugno 2003, n. 196, articolo 166» sono soppresse.

2. All’articolo 161, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole da: «tremila euro a diciottomila euro» fino alla fine del comma sono sostituite dalle seguenti: «da seimila euro a trentaseimila euro».

3. L’articolo 162 del decreto legislativo 30 giugno 2003, n. 196, e’ così modificato:

    a) al comma 1, le parole: «da cinquemila euro a trentamila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro»;

    b) al comma 2, le parole: «da cinquecento euro a tremila euro» sono sostituite dalle seguenti: «da mille euro a seimila euro»;

    c) dopo il comma 2, sono aggiunti, in fine, i seguenti:

        «2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell’articolo 33 o delle disposizioni indicate nell’articolo 167 e’ altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all’articolo 33 e’ escluso il pagamento in misura ridotta.

        2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all’articolo 154, comma 1, lettere c) e d), e’ altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.».

4. All’articolo 162-bis, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «, che può essere aumentata» fino alla fine del comma sono soppresse.

5. All’articolo 163, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da diecimila euro a sessantamila euro» sono sostituite dalle seguenti: «da ventimila euro a centoventimila euro» e le parole: «e con la sanzione amministrativa accessoria» fino alla fine del comma sono soppresse.

6. All’articolo 164, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da quattromila euro a ventiquattromila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro».

7. Dopo l’articolo 164 del decreto legislativo 30 giugno 2003, n. 196, e’ inserito il seguente:

    «Art. 164-bis (Casi di minore gravità e ipotesi aggravate). 1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 e’ di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell’attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.

    2. In caso di più violazioni di un’unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non e’ ammesso il pagamento in misura ridotta.

    3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio.

    4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.».

8. All’articolo 165, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «161, 162 e 164» sono sostituite dalle seguenti: «del presente Capo» ed e’ aggiunto, in fine, il seguente periodo: «La pubblicazione ha luogo a cura e spese del contravventore.».

9. L’articolo 169 del decreto legislativo 30 giugno 2003, n. 196, e’ così modificato:

    a) nel comma 1, sono soppresse le parole da: « o con l’ammenda da» fino alla fine del comma;

    b) nel comma 2, le parole: «quarto del massimo dell’ammenda stabilita per la contravvenzione» sono sostituite dalle seguenti: «quarto del massimo della sanzione stabilita per la violazione amministrativa».

10. All’articolo 62, comma 1, del decreto legislativo 6 settembre 2005, n. 206, le parole: «da euro cinquecentosedici a euro cinquemilacentosessantacinque» sono sostituite da: «da tremila euro a diciottomila euro».

11. Agli oneri derivanti dal comma 1, pari a euro 299.000 a decorrere dal 2009, si provvede mediante corrispondente riduzione dell’autorizzazione di spesa di cui al decreto legislativo 30 giugno 2003, n. 196, come determinata dalla tabella C della legge 22 dicembre 2008, n. 203, (legge finanziaria 2009), in favore del Garante per la protezione dei dati personali, a decorrere dall’esercizio 2009.

AMMINISTRATORE DI SISTEMA – nuove disposizioni (non applicabili in caso di trattamento di dati comuni ai soli fini amministrativi/fiscali oggetto di semplificazione Art. 34 comma 1 bis)

giovedì, 27 novembre 2008

Provvedimenti a carattere generale – 27 novembre 2008 Bollettino del n. 99/novembre 2008, pag. 0

[doc. web n. 1577499]

[v. Comunicato stampa]

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare, gli artt. 31 ss. e 154, comma 1, lett. c) e h), nonché il disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B al medesimo Codice;

VISTI gli atti d’ufficio relativi alla protezione dei dati trattati con sistemi informatici e alla sicurezza dei medesimi dati e sistemi;

RILEVATA l’esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei c.d. "amministratori di sistema", nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati, evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella "Società dell’informazione" e dei rischi a esse associati;

CONSIDERATA l’esigenza di consentire più agevolmente, nei dovuti casi, la conoscibilità dell’esistenza di tali figure o di ruoli analoghi svolti in relazione a talune fasi del trattamento all’interno di enti e organizzazioni;

RITENUTA la necessità di promuovere l’adozione di specifiche cautele nello svolgimento delle mansioni svolte dagli amministratori di sistema, unitamente ad accorgimenti e misure, tecniche e organizzative, volti ad agevolare l’esercizio dei doveri di controllo da parte del titolare (due diligence);

CONSTATATO che lo svolgimento delle mansioni di un amministratore di sistema, anche a seguito di una sua formale designazione quale responsabile o incaricato del trattamento, comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti;

RILEVATA la necessità di richiamare l’attenzione su tale rischio del pubblico, nonché di persone giuridiche, pubbliche amministrazioni e di altri enti (di seguito sinteticamente individuati con l’espressione "titolari del trattamento": art. 4, comma 1, lett. f) del Codice) che impiegano, in riferimento alla gestione di banche dati o reti informatiche, sistemi di elaborazione utilizzati da una molteplicità di incaricati con diverse funzioni, applicative o sistemistiche;

RILEVATO che i titolari sono tenuti, ai sensi dell’art. 31 del Codice, ad adottare misure di sicurezza "idonee e preventive" in relazione ai trattamenti svolti, dalla cui mancata o non idonea predisposizione possono derivare responsabilità anche di ordine penale e civile (artt. 15 e 169 del Codice);

CONSTATATO che l’individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema riveste una notevole importanza, costituendo una delle scelte fondamentali che, unitamente a quelle relative alle tecnologie, contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va perciò curata in modo particolare evitando incauti affidamenti;

CONSIDERATO inoltre che, qualora ritenga facoltativamente di designare uno o più responsabili del trattamento, il titolare è tenuto a individuare solo soggetti che "per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza" (art. 29, comma 2, del Codice);

RITENUTO che i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008), debbano essere allo stato esclusi dall’ambito applicativo del presente provvedimento;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

PREMESSO:

1. Considerazioni preliminari
Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.

Attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti "in chiaro" le informazioni medesime.

La rilevanza, la specificità e la particolare criticità del ruolo dell’amministratore di sistema sono state considerate anche dal legislatore il quale ha individuato, con diversa denominazione, particolari funzioni tecniche che, se svolte da chi commette un determinato reato, integrano ad esempio una circostanza aggravante. Ci si riferisce, in particolare, all’abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615 ter) e di frode informatica (art. 640 ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques) di recente modifica1.

La disciplina di protezione dei dati previgente al Codice del 2003 definiva l’amministratore di sistema, individuandolo quale "soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione" (art. 1, comma 1, lett. c) d.P.R. 318/1999).

Il Codice non ha invece incluso questa figura tra le proprie definizioni normative. Tuttavia le funzioni tipiche dell’amministrazione di un sistema sono richiamate nel menzionato Allegato B, nella parte in cui prevede l’obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nel medesimo Allegato B spettano tipicamente all’amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.

Nel loro complesso, le norme predette mettono in rilievo la particolare capacità di azione propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attività per il cui svolgimento è previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli più delicati della "Società dell’informazione"2.

Nel corso delle attività ispettive disposte negli ultimi anni dal Garante è stato possibile rilevare quale importanza annettano ai ruoli di system administrator (e di network administrator o database administrator) la gran parte di aziende e di grandi organizzazioni pubbliche e private, al di là delle definizioni giuridiche, individuando tali figure nell’ambito di piani di sicurezza o di documenti programmatici e designandoli a volte quali responsabili.

In altri casi, non soltanto in organizzazioni di piccole dimensioni, si è invece riscontrata, anche a elevati livelli di responsabilità, una carente consapevolezza delle criticità insite nello svolgimento delle predette mansioni, con preoccupante sottovalutazione dei rischi derivanti dall’azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico.

Con il presente provvedimento il Garante intende pertanto richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici alla necessità di prestare massima attenzione ai rischi e alle criticità implicite nell’affidamento degli incarichi di amministratore di sistema.

L’Autorità ravvisa inoltre l’esigenza di individuare in questa sede alcune prime misure di carattere organizzativo che favoriscano una più agevole conoscenza, nell’ambito di organizzazioni ed enti pubblici e privati, dell’esistenza di determinati ruoli tecnici, delle responsabilità connesse a tali mansioni e, in taluni casi, dell’identità dei soggetti che operano quali amministratori di sistema in relazione ai diversi servizi e banche di dati.

2. Quadro di riferimento normativo
Nell’ambito del Codice il presente provvedimento si richiama, in particolare, all’art. 154, comma 1, lett. h), rientrando tra i compiti dell’Autorità quello di promuovere la "conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati".

La lett. c) del medesimo comma 1 prevede poi la possibilità, da parte del Garante, di prescrivere misure e accorgimenti, specifici o di carattere generale, che i titolari di trattamento sono tenuti ad adottare.

3. Segnalazione ai titolari di trattamenti relativa alle funzioni di amministratore di sistema
Ai sensi del menzionato art. 154, comma 1, lett. h) il Garante, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l’attenzione dei medesimi titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema; richiama inoltre l’attenzione sull’esigenza di valutare con particolare cura l’attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l’accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l’opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l’incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato, da vagliare anche in considerazione delle responsabilità, specie di ordine penale e civile (artt. 15 e 169 del Codice), che possono derivare in caso di incauta o inidonea designazione.

4. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell’art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008).

I seguenti accorgimenti e misure lasciano impregiudicata l’adozione di altre specifiche cautele imposte da discipline di settore per particolari trattamenti o che verranno eventualmente prescritte dal Garante ai sensi dell’art. 17 del Codice.

Per effetto del presente provvedimento:

4.1 Valutazione delle caratteristiche soggettive
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

4.2 Designazioni individuali
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

4.3 Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un’eventuale disposizione di legge che disciplini in modo difforme uno specifico settore.

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

4.5 Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

5. Tempi di adozione delle misure e degli accorgimenti
Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti di cui al punto 4 dovranno essere introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in centoventi giorni dalla medesima data.

Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all’inizio del trattamento dei dati.

TUTTO CIÒ PREMESSO IL GARANTE:

1. ai sensi dell’art. 154, comma 1, lett. h) del Codice, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l’attenzione dei medesimi titolari sull’esigenza di valutare con particolare attenzione l’attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l’accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l’opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l’incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato;

2. ai sensi dell’art. 154, comma 1, lett. c) del Codice prescrive l’adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008):

a. Valutazione delle caratteristiche soggettive
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

c. Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

d. Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

e. Verifica delle attività
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

f. Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

3. dispone che le misure e gli accorgimenti di cui al punto 2 del presente dispositivo siano introdotti, per tutti i trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al più presto e comunque entro, e non oltre, il termine che è congruo stabilire in centoventi giorni dalla medesima data; per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all’inizio del trattamento dei dati;

4. dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia–Ufficio pubblicazione leggi e decreti per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana.

Roma, 27 novembre 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli

 

 

——————————————————————————–

(1) V., ad es., l’art. 5 l. 18 marzo 2008, n. 48 che prevede, oltre a una maggiore pena, la procedibilità d’ufficio nel caso in cui il reato sia commesso con "abuso della qualità di operatore del sistema".
(2) Per altro verso il legislatore, nell’intervenire in tema di "Società dell’informazione", ha previsto che i certificatori di firma elettronica, i quali sono preposti al trattamento dei dati connessi al rilascio del certificato di firma, debbano possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche, oltre ai requisiti tecnici necessari per lo svolgimento della loro attività (artt. 26, 27 e 29 del d.lg. 7 marzo 2005 n. 82).

 

Nuove norme attuative dell’Allegato B) per stesura DPS semplificato

giovedì, 27 novembre 2008

Provvedimenti a carattere generale – 27 novembre 2008 Bollettino del n. 99/novembre 2008, pag. 0

[doc. web n. 1571218]

Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali – 27 novembre 2008
G.U. n. 287 del 9 dicembre 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare gli articoli 33 ss., nonché il relativo Allegato B) contenente il disciplinare tecnico in materia di misure minime di sicurezza;

VISTO l’art. 29 del decreto-legge 25 giugno 2008, n. 112, come modificato dalla legge di conversione 6 agosto 2008, n. 133, con il quale è stato, fra l’altro, modificato l’art. 34 del Codice;

RITENUTA l’esigenza di individuare alcune modalità semplificate di applicazione del predetto disciplinare tecnico da parte dei "soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale", nonché rispetto a "trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani", nel rispetto dei diritti degli interessati (comma 1-bis art. 34 cit.);

RILEVATA l’ulteriore esigenza che di tali modalità semplificate, da aggiornare periodicamente, sia data la più ampia pubblicità anche attraverso il sito Internet dell’Autorità (http://www.garanteprivacy.it);

VISTO il parere del Ministro per la semplificazione normativa formulato con nota del 21 novembre 2008, sullo schema preliminare del presente provvedimento trasmesso con nota del 3 novembre 2008;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

PREMESSO

Il presente provvedimento individua modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali, di seguito indicato come Allegato B).

La disciplina sulle misure minime di sicurezza
I soggetti che trattano dati personali sono tenuti a proteggerli attraverso adeguate misure di sicurezza.

Alcune di esse sono individuate puntualmente dal Codice e delineano il livello minimo di protezione dei dati: si tratta delle misure indicate dagli articoli 33 ss. del Codice, da adottare nei modi previsti dall’Allegato B).

Di recente sono state introdotte con disposizione di legge alcune semplificazioni relative ai trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all’adesione a organizzazioni sindacali o a carattere sindacale.

Per questi casi, la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) del Codice) è stata sostituita da un obbligo di autocertificazione (resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445) di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte (art. 29 d.l. 25 giugno 2008, n. 112, come modificato dalla legge di conversione 6 agosto 2008, n. 133).

In relazione ai trattamenti sopra menzionati, nonché a quelli effettuati da chiunque per correnti finalità amministrative e contabili in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante deve individuare modalità semplificate di applicazione dell’Allegato B) sentito il Ministro per la semplificazione normativa.

Tale individuazione avviene mediante il presente provvedimento, che sarà aggiornato con cadenza periodica.

Semplificazione per taluni trattamenti
Come il Garante ha già evidenziato nel provvedimento del 19 giugno 2008 (in Gazzetta Ufficiale 1° luglio 2008, n. 152 e in www.garanteprivacy.it, doc. web n. 1526724), nonché mediante la segnalazione al Parlamento e al Governo in materia di misure minime di sicurezza del 19 giugno 2008, da parte di taluni titolari del trattamento le medesime misure di sicurezza possono essere attuate in modo semplificato, alla luce dell’esperienza applicativa e senza diminuire dal punto di vista sostanziale le cautele volte a prevenire determinati rischi (art. 34, comma 1 bis, del Codice, come introdotto dall’art. 29 cit.).

Sono state pertanto individuate alcune nuove modalità volte a semplificare incisivamente l’applicazione di varie regole contenute nell’Allegato B).

L’obiettivo è garantire egualmente un idoneo livello di sicurezza tenendo conto delle ridotte dimensioni di alcune realtà organizzative, nonché della particolare natura di alcuni trattamenti a fini esclusivamente amministrativo-contabili. Ciò, sulla base di una dettagliata ricognizione delle singole questioni e di approfondimenti svolti in ordine alle questioni applicative che sono state poste a vario titolo all’attenzione di questa Autorità, in particolare attraverso quesiti e segnalazioni.

Le modalità semplificate elencate nell’unito prospetto potranno essere applicate immediatamente dai soggetti interessati.

TUTTO CIO’ PREMESSO IL GARANTE:

a) ai sensi dell’art. 34, comma 1-bis, del Codice individua nell’unito prospetto che costituisce parte integrante del presente provvedimento le modalità semplificate per applicare le misure minime di sicurezza per il trattamento dei dati personali;

b) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 27 novembre 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli

 

 

——————————————————————————–

Misure semplificate per applicare le misure minime di sicurezza nel trattamento dei dati personali

1. Soggetti che possono avvalersi della semplificazione
Le seguenti modalità semplificate sono applicabili dai soggetti pubblici o privati che:

a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale;

b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).

2. Trattamenti effettuati con strumenti elettronici
I soggetti di cui al paragrafo 1 possono applicare le misure minime di sicurezza prescritte dalla disciplina in materia di trattamenti realizzati con l’ausilio di strumenti elettronici (art. 34 del Codice e regole da 1 a 26 dell’Allegato B) osservando le modalità semplificate di seguito individuate.

2.1. Istruzioni agli incaricati del trattamento (modalità applicative delle regole di cui ai punti 4, 9, 18 e 21 dell’Allegato B))
Le istruzioni in materia di misure minime di sicurezza previste dall’Allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione.

2.2. Sistema di autenticazione informatica (modalità applicative delle regole di cui ai punti 1, 2, 3, 5, 6, 7, 8, 10 e 11 dell’Allegato B))
Per l’accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (di seguito, "username"), associato a una parola chiave (di seguito: "password"), in modo che:

a) l’username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici;

b) la password sia conosciuta solo dalla persona che accede ai dati.

L’username deve essere disattivato quando l’incaricato non ha più la qualità che rende legittimo l’utilizzo dei dati (ad esempio, in quanto non opera più all’interno dell’organizzazione).

Può essere adottata, quale procedura di autenticazione anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete.

In caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, se l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite. Riguardo a tali modalità, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad esempio, prescrivendo ai lavoratori che si assentino dall’ufficio per ferie l’attivazione di modalità che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile: si vedano le Linee guida in materia di lavoro per posta elettronica e Internet approvate dal Garante e pubblicate nella Gazzetta ufficiale 10 marzo 2007 , n. 58 [doc. web n. 1387522]).

2.3. Sistema di autorizzazione (modalità applicative delle regole di cui ai punti 12, 13 e 14 dell’Allegato B))
Qualora sia necessario diversificare l’ambito del trattamento consentito, possono essere assegnati agli incaricati –singolarmente o per categorie omogenee corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

2.4. Altre misure di sicurezza (modalità applicative delle regole di cui ai punti 15, 16, 17 e 18 dell’Allegato B))
I soggetti di cui al paragrafo 1 assicurano che l’ambito di trattamento assegnato ai singoli incaricati, nonché agli addetti alla gestione o alla manutenzione degli strumenti elettronici, sia coerente con i princìpi di adeguatezza, proporzionalità e necessità, anche attraverso verifiche periodiche, provvedendo, quando è necessario, ad aggiornare i profili di autorizzazione eventualmente accordati.

Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all’art. 615-quinquies del codice penale, nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l’aggiornamento deve essere almeno biennale.

I dati possono essere salvaguardati anche attraverso il loro salvataggio con frequenza almeno mensile. Il salvataggio periodico può non riguardare i dati non modificati dal momento dell’ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino.

2.5. Documento programmatico sulla sicurezza (modalità applicative delle regole di cui ai punti da 19.1 a 19.8 dell’Allegato B))
2.5.1. Fermo restando che per alcuni casi è già previsto per disposizione di legge che si possa redigere un’autocertificazione in luogo del documento programmatico sulla sicurezza (vedi il precedente par. 1, lett. a); art. 29 d.l. n. 112/2008 cit.), i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate.

Il documento deve essere redatto prima dell’inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.

Il documento deve avere i seguenti contenuti:

a) le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento;

b) una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;

c) l’elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento con le relative responsabilità;

d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

3. Modalità applicative per i trattamenti realizzati senza l’ausilio di strumenti elettronici (modalità applicative delle regole di cui ai punti 27, 28 e 29 dell’Allegato B))
I soggetti di cui al paragrafo 1 possono adempiere all’obbligo di adottare le misure minime di sicurezza di cui all’art. 35 del Codice applicando le misure contenute nell’Allegato B) relativamente ai trattamenti realizzati senza l’ausilio di strumenti elettronici (regole da 27 a 29 dello stesso Allegato B)), con le modalità semplificate di seguito individuate.

3.1. Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.

3.2. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

 

Cancellazione sicura dei dati

lunedì, 13 ottobre 2008

Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali – 13 ottobre 2008
G.U. n. 287 del 9 dicembre 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTI gli atti d’ufficio relativi alla problematica del rinvenimento di dati personali all’interno di apparecchiature elettriche ed elettroniche cedute a un rivenditore per la dismissione o la vendita o a seguito di riparazioni e sostituzioni; viste, altresì, le recenti notizie di stampa in ordine al rinvenimento da parte dell’acquirente di un disco rigido usato, commercializzato attraverso un sito Internet, di dati bancari relativi a oltre un milione di individui contenuti nel disco medesimo;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), con particolare riferimento agli artt. 31 e ss. e 154, comma 1, lett. h), nonché alle regole 21 e 22 del disciplinare tecnico in materia di misure minime di sicurezza allegato "B" al Codice;

VISTO il d.lg. 25 luglio 2005, n. 151 (Attuazione delle direttive 2002/95/Ce, 2002/96/Ce e 2003/108/Ce, relative alla riduzione dell’uso di sostanze pericolose nelle apparecchiature elettriche ed elettroniche, nonché allo smaltimento dei rifiuti), che prevede misure e procedure finalizzate a prevenire la produzione di rifiuti di apparecchiature elettriche e elettroniche, nonché a promuovere il reimpiego, il riciclaggio e altre forme di recupero di tali rifiuti in modo da ridurne la quantità da avviare allo smaltimento (cfr. art. 1, comma 1, lett. a) e b));

CONSIDERATO che l’applicazione della disciplina contenuta nel menzionato d.lg. n. 151/2005, mirando (tra l’altro) a privilegiare il recupero di componenti provenienti da rifiuti di apparecchiature elettriche ed elettroniche (Raee), anche nella forma del loro reimpiego o del riciclaggio in beni oggetto di (nuova) commercializzazione (cfr. in particolare artt. 1 e 3, comma 1, lett. e) ed f), d.lg. n. 151/2005), comporta un rischio elevato di "circolazione" di componenti elettroniche "usate" contenenti dati personali, anche sensibili, che non siano stati cancellati in modo idoneo, e di conseguente accesso ad essi da parte di terzi non autorizzati (quali, ad esempio, coloro che provvedono alle predette operazioni propedeutiche al riutilizzo o che acquistano le apparecchiature sopra indicate);

CONSIDERATO che il "reimpiego" consiste nelle operazioni che consentono l’utilizzo dei rifiuti elettrici ed elettronici o di loro componenti "allo stesso scopo per il quale le apparecchiature erano state originariamente concepite, compresa l’utilizzazione di dette apparecchiature o di loro componenti successivamente alla loro consegna presso i centri di raccolta, ai distributori, ai riciclatori o ai fabbricanti" (art. 3, comma 1, lett. e), d.lg. n. 151/2005) e il "riciclaggio" consiste nel "ritrattamento in un processo produttivo dei materiali di rifiuto per la loro funzione originaria o per altri fini" (art. 3, comma 1, lett. e), d.lg. n. 151/2005);

CONSIDERATO che rischi di accessi non autorizzati ai dati memorizzati sussistono anche in relazione a rifiuti di apparecchiature elettriche ed elettroniche avviati allo smaltimento (art. 3, comma 1, lett. i), d.lg. n. 151/2005);

RILEVATA la necessità di richiamare l’attenzione su tali rischi di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali (di seguito sinteticamente individuati con la locuzione "titolari del trattamento": art. 4, comma 1, lett. f) del Codice), dismettono sistemi informatici o, più in generale, apparecchiature elettriche ed elettroniche contenenti dati personali (come pure dei soggetti che, su base individuale o collettiva, provvedono al reimpiego, al riciclaggio o allo smaltimento dei rifiuti di dette apparecchiature);

RILEVATO che la disciplina di cui al citato d.lg. n. 151/2005 e alla normativa secondaria che ne è derivata (allo stato contenuta nel d.m. 25 settembre 2007, n. 185, recante "Istituzione e modalità di funzionamento del registro nazionale dei soggetti obbligati al finanziamento dei sistemi di gestione dei rifiuti di apparecchiature elettriche ed elettroniche (Raee)", nell’ulteriore d.m. del 25 settembre 2007, recante "Istituzione del Comitato di vigilanza e di controllo sulla gestione dei Raee", nonché nel d.m. 8 aprile 2008, recante "Disciplina dei centri di raccolta dei rifiuti urbani raccolti in modo differenziato come previsto dall’art. 183, comma 1, lettera cc) del decreto legislativo 3 aprile 2006, n. 152 e successive modifiche") lascia impregiudicati gli obblighi che gravano sui titolari del trattamento relativamente alle misure di sicurezza nel trattamento dei dati personali (e la conseguente responsabilità);

RILEVATO che ogni titolare del trattamento deve quindi adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici (artt. 31 ss. del Codice); ciò, considerato anche che, impregiudicati eventuali accordi che prevedano diversamente, produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano essere soggetti, in base alla particolare disciplina di settore, a specifici obblighi di distruzione dei dati personali eventualmente memorizzati nelle apparecchiature elettriche ed elettroniche a essi consegnate;

RILEVATO che dall’inosservanza delle misure di sicurezza può derivare in capo al titolare del trattamento una responsabilità penale (art. 169 del Codice) e, in caso di danni cagionati a terzi, civile (artt. 15 del Codice e 2050 cod. civ.);

RILEVATO che analoghi obblighi relativi alla destinazione dei dati gravano sul titolare del trattamento nel caso in cui la dismissione delle apparecchiature coincida con la cessazione del trattamento (art. 16 del Codice);

RILEVATO che le misure da adottare in occasione della dismissione di componenti elettrici ed elettronici suscettibili di memorizzare dati personali devono consistere nell’effettiva cancellazione o trasformazione in forma non intelligibile dei dati personali negli stessi contenute, sì da impedire a soggetti non autorizzati che abbiano a vario titolo la disponibilità materiale dei supporti di venirne a conoscenza non avendone diritto (si pensi, ad esempio, ai dati personali memorizzati sul disco rigido dei personal computer o nelle cartelle di posta elettronica, oppure custoditi nelle rubriche dei terminali di comunicazione elettronica);

CONSIDERATO che tali misure risultano allo stato già previste quali misure minime di sicurezza per i trattamenti di dati sensibili o giudiziari, sulla base delle regole 21 e 22 del disciplinare tecnico in materia di misure minime di sicurezza che disciplinano la custodia e l’uso dei supporti rimovibili sui quali sono memorizzati i dati, che vincolano il riutilizzo dei supporti alla cancellazione effettiva dei dati o alla loro trasformazione in forma non intelligibile;

RITENUTO che i titolari del trattamento, in occasione della dismissione delle menzionate apparecchiature elettriche ed elettroniche, qualora siano sprovvisti delle necessarie competenze e strumentazioni tecniche per la cancellazione dei dati personali, possono ricorrere all’ausilio o conferendo incarico a soggetti tecnicamente qualificati in grado di porre in essere le misure idonee a cancellare effettivamente o rendere non intelligibili i dati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l’esecuzione di tali operazioni o si impegnino ad effettuarle;

RITENUTO che chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti debba comunque assicurarsi dell’inesistenza o della non intelligibilità di dati personali sui supporti, acquisendo, ove possibile, l’autorizzazione a cancellarli o a renderli non intelligibili;

CONSIDERATO che, ferma restando l’adozione di ulteriori opportune cautele volte a prevenire l’indebita acquisizione di informazioni personali, anche fortuita, da parte di terzi, le predette misure, suscettibili di aggiornamento alla luce dell’evoluzione tecnologica, possono in particolare consistere, a seconda dei casi, anche nelle procedure di cui agli allegati documenti, che costituiscono parte integrante del presente provvedimento;

RITENUTA la necessità di curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati (art. 154, comma 1, lett. h), del Codice), con riferimento alla dismissione di apparecchiature elettriche ed elettroniche, anche attraverso la pubblicazione del presente provvedimento sulla Gazzetta Ufficiale della Repubblica Italiana;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi dell’art. 154, comma 1, lett. h) del Codice, richiama l’attenzione di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali, non distruggono, ma dismettono supporti che contengono dati personali, sulla necessità di adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:

a. reimpiegate o riciclate, anche seguendo le procedure di cui all’allegato A);

b. smaltite, anche seguendo le procedure di cui all’allegato B).

Tali misure e accorgimenti possono essere attuate anche con l’ausilio o conferendo incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l’esecuzione delle operazioni effettuate o che si impegnino ad effettuarle.

Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti è comunque tenuto ad assicurarsi dell’inesistenza o della non intelligibilità di dati personali sui supporti, acquisendo, ove possibile, l’autorizzazione a cancellarli o a renderli non intelligibili;

2. dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana.

Roma, 13 ottobre 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli

 

 

 

——————————————————————————–

Allegato A) al provvedimento del Garante del 13 ottobre 2008

Reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche
In caso di reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche le misure e gli accorgimenti volti a prevenire accessi non consentiti ai dati personali in esse contenuti, adottati nel rispetto delle normative di settore, devono consentire l’effettiva cancellazione dei dati o garantire la loro non intelligibilità. Tali misure, anche in combinazione tra loro, devono tenere conto degli standard tecnici esistenti e possono consistere, tra l’altro, in:

Misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o informatici:
1. Cifratura di singoli file o gruppi di file, di volta in volta protetti con parole-chiave riservate, note al solo utente proprietario dei dati, che può con queste procedere alla successiva decifratura. Questa modalità richiede l’applicazione della procedura di cifratura ogni volta che sia necessario proteggere un dato o una porzione di dati (file o collezioni di file), e comporta la necessità per l’utente di tenere traccia separatamente delle parole-chiave utilizzate.

2. Memorizzazione dei dati sui dischi rigidi (hard-disk) dei personal computer o su altro genere di supporto magnetico od ottico (cd-rom, dvd-r) in forma automaticamente cifrata al momento della loro scrittura, tramite l’uso di parole-chiave riservate note al solo utente. Può effettuarsi su interi volumi di dati registrati su uno o più dispositivi di tipo disco rigido o su porzioni di essi (partizioni, drive logici, file-system) realizzando le funzionalità di un c.d. file-system crittografico (disponibili sui principali sistemi operativi per elaboratori elettronici, anche di tipo personal computer, e dispositivi elettronici) in grado di proteggere, con un’unica parola-chiave riservata, contro i rischi di acquisizione indebita delle informazioni registrate. L’unica parola-chiave di volume verrà automaticamente utilizzata per le operazioni di cifratura e decifratura, senza modificare in alcun modo il comportamento e l’uso dei programmi software con cui i dati vengono trattati.

Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici:
3. Cancellazione sicura delle informazioni, ottenibile con programmi informatici (quali wiping program o file shredder) che provvedono, una volta che l’utente abbia eliminato dei file da un’unità disco o da analoghi supporti di memorizzazione con i normali strumenti previsti dai diversi sistemi operativi, a scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre "binarie" (zero e uno) in modo da ridurre al minimo le probabilità di recupero di informazioni anche tramite strumenti elettronici di analisi e recupero di dati.
Il numero di ripetizioni del procedimento considerato sufficiente a raggiungere una ragionevole sicurezza (da rapportarsi alla delicatezza o all’importanza delle informazioni di cui si vuole impedire l’indebita acquisizione) varia da sette a trentacinque e incide proporzionalmente sui tempi di applicazione delle procedure, che su dischi rigidi ad alta capacità (oltre i 100 gigabyte) possono impiegare diverse ore o alcuni giorni), a secondo della velocità del computer utilizzato.

4. Formattazione "a basso livello" dei dispositivi di tipo hard disk (low-level formatting–LLF), laddove effettuabile, attenendosi alle istruzioni fornite dal produttore del dispositivo e tenendo conto delle possibili conseguenze tecniche su di esso, fino alla possibile sua successiva inutilizzabilità;

5. Demagnetizzazione (degaussing) dei dispositivi di memoria basati su supporti magnetici o magneto-ottici (dischi rigidi, floppy-disk, nastri magnetici su bobine aperte o in cassette), in grado di garantire la cancellazione rapida delle informazioni anche su dispositivi non più funzionanti ai quali potrebbero non essere applicabili le procedure di cancellazione software (che richiedono l’accessibilità del dispositivo da parte del sistema a cui è interconnesso).

 

 

——————————————————————————–

Allegato B) al provvedimento del Garante del 13 ottobre 2008

Smaltimento di rifiuti elettrici ed elettronici
In caso di smaltimento di rifiuti elettrici ed elettronici, l’effettiva cancellazione dei dati personali dai supporti contenuti nelle apparecchiature elettriche ed elettroniche può anche risultare da procedure che, nel rispetto delle normative di settore, comportino la distruzione dei supporti di memorizzazione di tipo ottico o magneto-ottico in modo da impedire l’acquisizione indebita di dati personali.

La distruzione dei supporti prevede il ricorso a procedure o strumenti diversi a secondo del loro tipo, quali:

sistemi di punzonatura o deformazione meccanica;
distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd);
demagnetizzazione ad alta intensità.

Semplificazioni per l’Informativa e Consenso

giovedì, 19 giugno 2008

Prescrizioni del Garante [art. 154, 1 c) del Codice] – 19 giugno 2008
Bollettino del n. 95/giugno 2008,

[doc. web n. 1526724]

Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili – 19 giugno 2008 (*)
Gazzetta Ufficiale 1° luglio 2008, n. 152

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196) e ritenuta l’opportunità di promuovere alcune misure di semplificazione per l’intero settore pubblico e privato in relazione alle correnti attività amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Esigenze alla base di nuove misure di semplificazione
Presso vari operatori si avverte l’esigenza di alcune semplificazioni nell’applicazione della disciplina sulla protezione dei dati personali.

La riflessione in ambito pubblico e privato è avvertita in modo particolare presso piccole e medie imprese, liberi professionisti e artigiani, per quanto riguarda la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalità amministrative e contabili.

Sulla base dell’esperienza acquisita in materia vengono prospettate alcune criticità rispetto a determinate modalità per adempiere a obblighi di legge o derivanti da un contratto, avvertite come troppo onerose in rapporto alle garanzie per gli interessati.

Il Garante ha completato un’analisi approfondita della problematica. In aggiunta alle misure di semplificazione disposte con decisioni per casi specifici, l’Autorità ha intrapreso varie iniziative, anche sulla base di un dialogo con le categorie interessate, che ha già comportato l’approvazione di un provvedimento di carattere generale ("Guida pratica e misure di semplificazione per le piccole e medie imprese", Provv. 24 maggio 2007, n. 21, in G.U. 21 giugno 2007, n. 142 e doc. web n. 1412271).

Dall’istruttoria sono emerse tre valutazioni di fondo:

a) alcune modalità applicative, seguite soprattutto presso piccole imprese, liberi professionisti e artigiani, sono ancora basate su approcci prettamente burocratici e di ordine puramente formale. Istituti posti a garanzia degli interessati vengono banalizzati in contrasto con lo spirito del Codice che intende assicurare una protezione elevata dei diritti e delle libertà fondamentali "nel rispetto dei princìpi di semplificazione, armonizzazione ed efficacia" (art. 2, comma 2). Da tali prassi conseguono adempimenti superflui o ripetuti inutilmente, talvolta anche per effetto di erronee valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non deriva un reale valore aggiunto ai fini della correttezza e della trasparenza del trattamento e che gli interessati avvertono con disinteresse o fastidio;

b) è possibile apportare ulteriori semplificazioni (in particolare per agevolare la corrente attività gestionale di organismi pubblici e privati di ridotte dimensioni), in aggiunta a quelle già introdotte per legge o da questa Autorità e in armonia con la disciplina complessiva, anche comunitaria, della materia, salvaguardando i diritti e le libertà fondamentali dei cittadini;

c) la protezione dei dati personali può rappresentare una risorsa, anche per piccole e medie imprese, rendere più efficiente l’attività gestionale e incrementare la fiducia degli interessati.

L’Autorità intende fornire un suo nuovo contributo in materia esercitando le attribuzioni che le sono conferite per legge.

Con il presente provvedimento sono pertanto individuate soluzioni concrete volte ad agevolare ulteriormente l’ordinaria attività di gestione amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono trattati dati di carattere sensibile o giudiziario. Di seguito, vengono quindi enunciate nuove linee guida-interpretative della normativa vigente e sono individuate alcune modalità innovative per semplificare taluni adempimenti, in modo particolare per l’informativa agli interessati e il consenso.

2. L’informativa agli interessati
Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti); spesso, ciò accade in relazione a informazioni che non hanno carattere sensibile o giudiziario.

Alcune tra le criticità menzionate riguardano le modalità con cui l’informativa è fornita per iscritto, anziché oralmente (art. 13). Sono stati formati spesso moduli lunghi e burocratici, privi di comunicatività e basati sull’eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento. Alla mancanza di chiarezza si è sommata l’inutile ripetizione dell’informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario.

Il Garante intende prescrivere a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l’informativa nei termini di cui al seguente dispositivo (artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c)).

3. Il consenso
Il Garante, con riferimento al consenso (art. 23), considerati i princìpi di efficacia e proporzionalità e in relazione agli artt. 2, 18, 24 comma 1 e 154, comma 1, lett. c), del Codice, intende anche prescrivere a tutti i titolari del trattamento pubblici e privati alcune misure opportune affinché non richiedano il consenso nei vari casi in cui esso non deve essere richiesto (dai soggetti pubblici) o è superfluo (per i soggetti privati). Ciò, in particolare, quando:

a) il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalità amministrative e contabili;

b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell’interessato (v., per i presupposti relativi a ciascuno dei predetti casi, l’art. 24, comma 1; v. anche l’art. 18, comma 4).

Il Garante, in applicazione dell’istituto del bilanciamento degli interessi (art. 24, comma 1, lett. g)) intende anche individuare un’ulteriore ipotesi nella quale il consenso non va richiesto.

Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, potrà utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta elettronica, come già previsto per legge: art. 130, comma 4) di posta cartacea forniti dall’interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale.

Tale bilanciamento degli interessi considera le difficoltà rappresentate da alcuni operatori economici nel conservare un proprio diretto "canale comunicativo" con i soggetti con i quali abbiano già instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell’interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste, per la situazione appena indicata, per l’uso della posta elettronica (art. 130, comma 4; v. anche, con riguardo alle comunicazioni postali, l’ art. 58, comma 2, d.lg. n. 206/2005).

Non è necessario rivolgere un’istanza al Garante per avvalersi delle opportunità previste dal presente punto 3.

Viene infine dato atto nel seguente dispositivo di alcune altre risultanze dell’istruttoria relative alla designazione degli incaricati del trattamento e alla notificazione dei trattamenti.

TUTTO CIÒ PREMESSO IL GARANTE

1) ai sensi degli artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c), del Codice formula a tutti i titolari del trattamento in ambito privato e pubblico, in particolare a piccole e medie imprese, liberi professionisti, artigiani, le seguenti indicazioni per semplificare l’informativa rispetto allo svolgimento di correnti finalità amministrative e contabili, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono:

a) fornire un’unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati;

b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente;

c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;

d) redigere, per quanto possibile, una prima informativa breve. All’interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l’informativa breve, quando è scritta, può avere la seguente formulazione:

"I SUOI DATI PERSONALI

Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su…";
 

e) per l’informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili;

f) l’informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito).
Anche questa più ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell’ultimo aggiornamento;

g) è possibile non inserire nell’informativa più articolata gli elementi noti all’interessato (art. 13, commi 2 e 4). E’ opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l’informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l’organismo o soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall’interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l’informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma 5);

h) è opportuno che l’informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento;

i) è invece necessario fornire un’informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari;

2) invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento, anche in collaborazione con questa Autorità. Il Garante si riserva in questo quadro di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia;

3) richiama l’attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalità che sono consentiti all’unità cui sono addetti gli incaricati stessi (art. 30);

4) richiama l’attenzione dei titolari del trattamento sulla circostanza che, per effetto delle previsioni del Codice e delle determinazioni già adottate da questa Autorità, la notificazione telematica al Garante non è necessaria per perseguire finalità amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37);

5) ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati è svolto, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico;

6) in applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g)), dispone che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall’interessato, ai fini dell’invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che:

a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita;

b) l’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l’utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l’interruzione di tale trattamento (art. 7, comma 4);

c) l’interessato medesimo, così adeguatamente informato già prima dell’instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni;

7) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana, nonché alle associazioni di categoria, ai ministeri interessati e alle camere di commercio.

Roma, 19 giugno 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli

 

——————————————————————————–

(*) Congiuntamente al presente provvedimento sulla semplificazione, in fase di pubblicazione sulla Gazzetta ufficiale, il Garante ha segnalato alle competenti autorità di Governo l’opportunità di apportare una modifica al Codice con riferimento alla disciplina delle misure minime di sicurezza e al documento programmatico, per contemperare meglio l’applicazione delle necessarie cautele di sicurezza dei dati e dei sistemi con l’esigenza di adattarle alle attività che, specie presso piccole e medie imprese, liberi professionisti e artigiani, vengono svolte in relazione ad attività di corrente gestione amministrativa e contabile.

In tale prospettiva, il Garante ha ipotizzato una modifica normativa dell’art. 33 del Codice, del seguente tenore:

"Art.

All’articolo 33 del decreto legislativo 30 giugno 2003 n. 196, dopo il comma 1, è aggiunto il seguente:
"1-bis. Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all’adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani".".

 

Nuovi interventi del Garante contro lo spamming

martedì, 28 agosto 2007

Vietato il trattamento dei dati ad un sito Internet e a due societa che inviavano fax promozionali

Nuovi interventi del Garante  contro l’invio di  e-mail e fax  pubblicitari  indesiderati. L’Autorita ha vietato l’uso illecito di dati personali a fini di marketing a tre societa che operavano senza consenso dei destinatari. Nel primo caso il Garante [doc. web n. 1424068], in seguito alla segnalazione di un utente che lamentava la ricezione di e-mail pubblicitarie indesiderate, ha vietato il trattamento dei dati ad un  sito Internet che promuoveva libri. Chiamata a dar conto del proprio operato l’azienda  dichiarava di utilizzare  una mailing list  per l’invio mensile di un messaggio "memo" relativo ai libri presentati sul  sito e, ritenendolo lecito, inviava ai nuovi utenti, reperiti in rete, un messaggio pubblicitario, insieme alla richiesta del consenso.

Nel vietare il trattamento dei dati il  Garante ha  ribadito  non si  possono inviare e-mail per pubblicizzare un prodotto o un servizio senza aver prima ottenuto il consenso del destinatario, e che e  necessario ottenerlo prima di effettuare qualunque uso dell’indirizzo di posta elettronica. Negli altri due casi [doc. web nn. 14339391433896], invece, i segnalanti  lamentavano  la ricezione di pubblicita indesiderata via fax da parte di aziende che promuovevano servizi.  Di fronte all’Autorita, le societa hanno dichiarato che i messaggi pubblicitari erano rivolti a soggetti economici presenti negli elenchi "categorici" (es. pagine gialle) e non a consumatori e, quindi, ritenevano di potersi avvalere di una disposizione di carattere generale del Codice della privacy che permette di prescindere dal consenso degli interessati, quando il trattamento riguarda informazioni relative allo svolgimento di attivita economiche. Tuttavia, secondo quanto affermato dai segnalanti, i  dati personali erano presenti solo su elenchi telefonici ordinari e utilizzabili quindi solo per comunicazioni interpersonali, non avendo fornito alcun consenso per il loro uso a fini di marketing. Ne, dalla documentazione e risultato che sia stato richiesto un successivo consenso dei destinatari.

Rinnovate le autorizzazioni generali per i dati sensibili e giudiziari

giovedì, 28 giugno 2007

Il Garante ha rinnovato le autorizzazioni al trattamento dei dati sensibili e giudiziari che saranno efficaci dal 1 luglio 2007 sino al 30 giugno  2008.

I sette provvedimenti in corso di pubblicazione sulla Gazzetta Ufficiale riguardano, come in passato,  i rapporti di lavoro, i dati sulla salute e le vita sessuale,  le associazioni e fondazioni, i liberi  professionisti, le attivita creditizie, assicurative, i sondaggi, l’elaborazione dati e da altre attivita private, gli investigatori privati e i dati di carattere giudiziario.

Le nuove autorizzazioni non recano significative modifiche rispetto a quelle in scadenza, alle quali sono state apportate solo alcune circoscritte integrazioni relative a modifiche normative intervenute nei settori considerati.

Garante Privacy – 28/06/2007

Guida pratica e misure di semplificazione per le piccole e medie imprese

giovedì, 21 giugno 2007

Sommario

1. I soggetti che effettuano il trattamento
2. La notificazione del trattamento
3. L’informativa
4. Il consenso dell’interessato
5. La sicurezza dei dati
6. Il trasferimento dei dati in paesi terzi
7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell’art. 7 del codice
8. Check list


Con la disciplina contenuta nel decreto legislativo n. 196 del 2003 (Codice in materia di protezione dei dati personali) l’ordinamento italiano si e dotato di un quadro organico per attuare obblighi internazionali nascenti dalla Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (Strasburgo, 28 gennaio 1981) e per recepire direttive comunitarie (95/46/Ce e 2002/58/Ce).

Specie nello svolgimento delle ordinarie attivita d’impresa, e in particolare per le realta produttive di piccole dimensioni, alcuni adempimenti contenuti nella disciplina di protezione dei dati personali vengono reputati talvolta onerosi. Una giusta protezione dei dati personali e della riservatezza puo in verita rappresentare una risorsa per l’impresa, rendendone piu efficiente l’attivita in modo da incrementare la fiducia di consumatori e utenti.

Questa guida intende fornire a chi opera nella realta delle medie e piccole imprese uno strumento utile per curare gli adempimenti derivanti dalla normativa vigente, indicando le soluzioni semplificate a disposizione.

La guida, integrata da una check list e pubblicata sul sito web dell’Autorita, potra subire aggiornamenti nel tempo. (1)

1. I soggetti che effettuano il trattamento

Nello svolgimento dell’attivita di impresa e normale che vengano trattati dati personali, vale a dire informazioni riferibili a soggetti identificati o identificabili (ad esempio, dipendenti (2), clienti e fornitori). I dati devono essere pertinenti e non eccedenti rispetto a finalita legittime, esatti e aggiornati (art. 11 del Codice). Le operazioni di trattamento (quali la raccolta, comunicazione o diffusione di dati personali) sono effettuate anche a cura del responsabile (se designato) e degli incaricati del trattamento.

1.1. Chi e il titolare del trattamento?
Il "titolare del trattamento", e la "[…] entita che esercita un potere decisionale del tutto autonomo sulle finalita e sulle modalita del trattamento, ivi compreso il profilo della sicurezza" (art. 28 del Codice). In particolare, nell’ambito dello svolgimento dell’attivita economica, "titolare del trattamento" puo essere la persona fisica (si pensi all’imprenditore individuale) o giuridica (ad esempio, la societa) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la diffusione).
Il "titolare del trattamento" e chiamato ad attuare gli obblighi in materia (riassunti nella presente Guida) e, se ritiene di designare uno o piu responsabili del trattamento, e tenuto a vigilare sulla puntuale osservanza delle istruzioni da impartire loro.

1.2. Chi sono i responsabili del trattamento?
Il "responsabile del trattamento" (possono essere piu d’uno), e una figura che puo essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacita ed affidabilita, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice).
Tale figura, la cui designazione da parte del "titolare del trattamento" e quindi facoltativa, ricorre frequentemente in presenza di articolazioni interne delle realta produttive dotate di una certa autonomia (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del personale o del settore marketing) o, rispetto a soggetti esterni all’impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le societa di recupero crediti (3), etc.)

1.3. Chi sono gli incaricati del trattamento?
Gli "incaricati del trattamento" sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorita del titolare (o del responsabile) attenendosi a istruzioni scritte (art. 30 del Codice). Il "titolare del trattamento" e tenuto a designarli.
e sufficiente assegnare un dipendente ad una unita organizzativa, a condizione che risultino per iscritto le categorie di dati cui puo avere accesso e gli ambiti del trattamento. (4)

2. La notifica del trattamento

La notificazione e una dichiarazione con la quale il titolare del trattamento, prima di iniziarlo, rende nota al Garante (che la inserisce nel registro pubblico dei trattamenti consultabile da chiunque sul sito web dell’Autorita) l’esistenza di un’attivita di raccolta e di utilizzazione dei dati personali.

2.1. e sempre necessario notificare il trattamento dei dati al Garante?
In linea di principio i trattamenti ordinari svolti presso piccole realta produttive non vanno notificati: si pensi ai trattamenti di dati relativi ai dipendenti, ai fornitori o alla clientela (5). In particolare, non devono essere notificati i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa.
In questo quadro la notificazione deve essere effettuata in ipotesi particolari (indicate all’art. 37 del Codice). Con specifico riguardo all’attivita di impresa, i trattamenti soggetti a notificazione sono quelli relativi a:

    • dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilita economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti; come detto, non rientrano in quest’ambito, i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa.
    • dati genetici (6), biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (ad esempio, dati trattati mediante sistemi di geolocalizzazione installati su veicoli al fine di individuarne la posizione);
    • dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalita dell’interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione), ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
    • dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non, quindi, quelli trattati direttamente dall’imprenditore), nonche dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

2.2. Come si effettua la notificazione al Garante?
Solo utilizzando l’interfaccia disponibile sul sito web dell’Autorita e seguendo le istruzioni ivi indicate (v. art. 38 del Codice).

2.3. Quando occorre fare una nuova notificazione?
Solo in caso di cessazione del trattamento o di mutamento di alcuni elementi dell’originaria notificazione.

3. L’informativa

Chi effettua operazioni di trattamento di dati personali deve rappresentare agli interessati le caratteristiche essenziali dei trattamenti effettuati. L’informativa deve essere resa per i dati raccolti presso l’interessato e per quelli reperiti presso terzi. La disciplina prevede alcune ipotesi di semplificazione e di esonero.

3.1. Cosa e l’informativa?
L’informativa, da rendersi con chiarezza e senza inutili formalita, anche in modo sintetico e colloquiale, contiene i seguenti elementi (art. 13 del Codice):

    • finalita e modalita del trattamento;
    • natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere;
    • soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza;
    • diritti riconosciuti all’interessato dall’articolo 7 del Codice;
    • estremi identificativi del titolare e, se designato, del responsabile del trattamento.

Se taluno di questi elementi e gia noto all’interessato, non e necessario farlo presente nuovamente.

3.2. Quando deve essere resa l’informativa?
In caso di dati raccolti presso l’interessato, l’informativa deve essere resa, anche in forma orale, prima delle operazioni del trattamento. Nel rapporto con fornitori, clienti, dipendenti e collaboratori non e necessario ripeterla in occasione di ogni contatto: e sufficiente fornirla con una formula generale una tantum, all’inizio delle operazioni di trattamento (che potranno anche protrarsi nel tempo).

L’informativa deve essere resa anche nel caso in cui i dati personali sono raccolti presso terzi; in tal caso, deve essere fornita al momento della registrazione dei dati o, se e prevista la comunicazione a terzi da parte del titolare, non oltre la prima comunicazione. Vanno indicate anche le categorie dei dati trattati.

3.3. e possibile rendere l’informativa in una forma semplificata?
e possibile fornire l’informativa anche oralmente, in modo sintetico e colloquiale, senza includere elementi gia noti all’interessato (art. 13, comma 2, del Codice). Si puo utilizzare anche uno spazio all’interno dell’ordinario materiale cartaceo e della corrispondenza.

Inoltre la disciplina prevede margini ulteriori di semplificazione (art. 13, comma 3, del Codice), tenendo conto delle circostanze concrete da rappresentare al Garante, formulando apposita istanza, anche tramite associazioni di categoria.

3.4. In quali casi non e necessario rendere l’informativa agli interessati?
In relazione ai dati raccolti presso terzi, tenuto conto delle circostanze concrete, si puo omettere di fornire l’informativa se i dati sono trattati (art. 13, comma 5, lett. c), del Codice):

    • in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
    • ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000, n. 397) o per far valere o difendere un diritto in sede giudiziaria.

Inoltre, e prevista la possibilita di esonero totale o parziale dall’obbligo di fornire l’informativa:

    • nei casi in cui renderla, a giudizio del Garante -cui puo essere inviata apposita istanza-, risulti impossibile o manifestamente sproporzionato rispetto al diritto fatto valere.

4. Il consenso dell’interessato

Talora il soggetto privato che effettua operazioni di trattamento e tenuto a raccogliere il consenso dell’interessato per effettuare un trattamento di dati lecito (art. 23 del Codice). Piu spesso, pero, nello svolgimento dell’ordinaria attivita d’impresa, il consenso dell’interessato non e necessario (art. 24 del Codice).

4.1. Nello svolgimento dell’attivita d’impresa e necessario acquisire il consenso degli interessati?
Con particolare riferimento ai trattamenti di dati personali (non sensibili) nell’ordinaria attivita d’impresa, non e necessario il consenso nei casi in cui (cfr. art. 24 del Codice):

    • i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale (art. 24, comma 1, lett. b), del Codice);
    • il trattamento viene posto in essere per dare esecuzione a un obbligo legale (art. 24, comma 1, lett. a) del Codice);
    • i dati provengono da registri ed elenchi pubblici (art. 24, comma 1, lett. c), del Codice);
    • i dati sono relativi allo svolgimento di attivita economiche da parte dell’interessato (art. 24, comma 1, lett. d), del Codice).

A queste macro-categorie, che comprendono larga parte dei trattamenti effettuati ordinariamente da un’impresa, devono essere aggiunte le ulteriori ipotesi di esonero enumerate all’art. 24 del Codice. (7)

Nei casi restanti, l’interessato deve aver manifestato un consenso libero, specifico e informato in relazione al trattamento effettuato. Il consenso deve essere documentato per iscritto (art. 23 del Codice).


4.2. Quali sono gli adempimenti da osservare per trattare dati sensibili?
Cautele maggiori devono essere osservate nel trattamento dei dati sensibili: tali sono considerate le informazioni idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche dei dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4, comma 1, lett. d), del Codice).
Per il trattamento dei dati sensibili di regola e necessario il consenso scritto, oltre l’autorizzazione del Garante.
Il Garante ha rilasciato sette autorizzazioni generali che comprendono tutti i trattamenti abitualmente effettuati nell’ordinaria attivita di impresa. Non vi e quindi bisogno di rivolgere una richiesta al Garante, che va presentata solo per casi del tutto eccezionali non contemplati dalle medesime autorizzazioni gia rilasciate (questa ipotesi si e sinora verificata in casi rari). (8)
Inoltre, per i dati sensibili il Codice non richiede il consenso dell’interessato se:

    • il trattamento e necessario per svolgere le investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 o per far valere o difendere in sede giudiziaria un diritto. I dati vanno trattati solo per tali finalita e per il periodo strettamente necessario al loro perseguimento (art. 26, comma 4, lett. c) del Codice); (9)
    • il trattamento e necessario per adempiere a specifici obblighi o compiti previsti dalla legge oppure da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza. Occorre rispettare i limiti previsti dall’autorizzazione generale del Garante (art. 26, comma 4, lett. d) del Codice).

5. La sicurezza dei sistemi

Il profilo della sicurezza e dell’integrita delle informazioni oggetto di legittimo trattamento e un elemento qualificante delle discipline di protezione dei dati personali (artt. 31 ss. del Codice e disciplinare tecnico di cui all’All. B al Codice).

5.1. Chi deve adottare le misure di sicurezza
L’obbligo generale di adottare idonee misure di sicurezza e posto dal Codice. Il titolare del trattamento puo adempiervi avvalendosi anche di un responsabile (art. 29, comma 2, del Codice).

5.2. Quali misure di sicurezza devono essere adottate?
Il titolare del trattamento e tenuto ad adottare tutte le misure idonee, valutate alla luce delle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, a ridurre i rischi di distruzione o di perdita anche accidentale dei dati o di accesso non autorizzato o non consentito ai dati (art. 31 del Codice).
In questo quadro vanno anche attuate le misure minime, applicabili a piccole e medie imprese (artt. 33-35 e all. B del Codice (10) ).

5.3. Come e quando deve essere redatto il DPS?
In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi informatici deve essere redatto il documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) e regola 19 dell’Allegato B al Codice). Si puo tener conto dei suggerimenti gia formulati dal Garante che recependo le esigenze e le istanze peculiari di professionisti e piccoli operatori, con particolare riguardo alle piccole e medie imprese ha gia reso disponibile on-line, a far data dal 11 giugno 2004, una "Guida operativa".

Il Dps:

    • va redatto o aggiornato entro il 31 marzo di ciascun anno;
    • non deve essere comunicato al Garante, ma semplicemente conservato dal titolare presso la propria struttura per essere esibito in occasione di eventuali accertamenti ispettivi (art. 34, comma 1, lett. g) del Codice e regola 19 dell’Allegato B) al Codice);
    • deve essere redatto dal "[…] titolare di un trattamento di dati sensibili o giudiziari anche attraverso il responsabile, se designato […]" (regola 19 dell’All. B) cit.).

6. Il trasferimento di dati personali in paesi terzi

Nello svolgimento dell’attivita di impresa puo risultare necessario trasferire dati personali fuori dell’Unione europea (ad esempio relativi alla clientela o ai dipendenti). Il Codice prevede specifiche regole al riguardo.

6.1. Quando si applica la disciplina del Codice in materia di trasferimento di dati fuori dall’Unione europea?

La disciplina in materia di trasferimento di dati fuori dall’Unione europea (Ue) riguarda principalmente i flussi di dati personali verso i c.d. Paesi terzi, considerato che i Paesi situati all’interno dell’Ue hanno attuato, nei rispettivi ambiti, la direttiva 95/46/Ce, adottando specifiche normative in materia di protezione dei dati personali. Il loro rispetto e considerato idoneo per trasferire dati nell’Ue (art. 42 del Codice).

6.2. In quali casi e consentito il trasferimento dei dti fuori dall’Unione europea?
Il trasferimento e sempre consentito in varie ipotesi (art. 43 del Codice), tra le quali, con particolare riferimento alle attivita d’impresa, possono ricordarsi i casi in cui:

    • l’interessato ha manifestato il proprio consenso espresso e, se si tratta di dati sensibili, in forma scritta;
    • il trasferimento e necessario per eseguire obblighi derivanti da un contratto del quale e parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato;
    • il trasferimento e necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento;
    • e necessario ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000, n. 397), o, comunque, per far valere o difendere un diritto in sede giudiziaria;
    • il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

6.3. Qualora non sussistano i presupposti sopra indicati, in quali circostanze il trasferimento e comunque autorizzato?
Il trasferimento e consentito anche quando e autorizzato dal Garante in presenza di adeguate garanzie per i diritti dell’interessato:

    • individuate dal Garante;
    • in base alle decisioni di adeguatezza adottate daalla Commissione europea in ordine al livello di protezione dei dati garantito dall’ordinamento del Paese destinatario (artt. 25, par. 6, e 26, par. 4, della direttiva 95/46/CE); (11)
    • in base alla decisione di adeguatezza delle garanzie contenute nel Safe Harbor per il trasferimento verso organizzazioni stabilite negli Stati Uniti d’America che ad esso aderiscono; (12)
    • in base all’adozione di clausole contrattuali standard tra "esportatore" e "importatore" di dati, il cui contenuto e stato ritenuto idoneo dalla Commissione europea (artt. 25, par. 6, e 26, par. 4, della direttiva 95/46/CE). (13)

7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell’art. 7 del Codice

La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai dati personali a se riferiti e di esercitare gli altri diritti previsti dall’art. 7 del Codice. (14)

7.1. Cosa si deve fare quando l’interessato esercita il diritto d’accesso?
Se l’interessato esercita il proprio diritto d’accesso ai dati che lo riguardano o uno degli altri diritti che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di regola) entro quindici giorni dal ricevimento dell’istanza (art. 146 del Codice).

7.2. Quali sono le conseguenze nel caso in cui non venga fornito il riscontro all’interessato?
In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi all’autorita giudiziaria o con ricorso al Garante (art. 145 del Codice).

8. Check list

La seguente lista di controllo e predisposta per i "titolari del trattamento"; mira a riassumere, in forma interrogativa, i punti sopra riassunti. La risposta negativa ad uno dei quesiti, denota un possibile profilo critico dal punto di vista della protezione dei dati personali.

 Quesito

SI

NO

1. I soggetti che effettuano il trattamento

e stata effettuata una valutazione circa le operazioni di trattamento di dati personali, anche sensibili, effettuate dall’impresa?

I dati trattati sono pertinenti e non eccedenti rispetto alle legittime finalita del trattamento, oltre che esatti e aggiornati?

Le persone fisiche che all’interno dell’impresa trattano dati personali sono state designate tutte quali "incaricate del trattamento"?

Sono state fornite a tutti gli "incaricati del trattamento" istruzioni scritte circa i propri compiti?

Se all’interno dell’impresa sono stati individuati soggetti che hanno ambiti di autonomia nel trattamento dei dati personali, sono stati designati per iscritto "responsabili del trattamento"?

Se fuori dell’impresa enti o persone fisiche trattano dati personali nel suo interesse, obbligati a seguirne le istruzioni (come accade per i casi di outsourcing), sono stati designati per iscritto quali "responsabili del trattamento"?

2. La notificazione del trattamento

Si e verificato, prima di intraprendere operazioni di trattamento, se l’impresa effettua i trattamenti da notificare al Garante?

Se sono intervenute modificazioni relativamente ai trattamenti gia eventualmente notificati, e stato curato il loro aggiornamento in una nuova notificazione?

Se cessano i trattamenti, cio ha formato oggetto di specifica notificazione?

3. L’informativa

e stata fornita l’informativa agli interessati in caso di dati raccolti presso di essi?

e stata fornita l’informativa agli interessati in caso di dati raccolti presso soggetti diversi dagli interessati stessi?

4. Il consenso dell’interessato

Il trattamento dei dati personali viene effettuato in presenza di uno dei presupposti di liceita indicati all’art. 24 del Codice?

Se non ricorre uno dei presupposti di liceita indicati all’art. 24 del Codice, e stato raccolto il consenso dell’interessato?

Se sono trattati dati sensibili e stato raccolto il consenso scritto degli interessati?

Se sono trattati dati sensibili, e stato verificato se il trattamento rientra tra quelli gia autorizzati dal Garante con le autorizzazioni generali?

Se il trattamento di dati sensibili non rientra tra quelli previsti dalle autorizzazioni generali, e stata richiesta al Garante un’autorizzazione ad hoc?

5. La sicurezza dei dati

Sono state adottate idonee misure di sicurezza per proteggere i dati personali?

Sono state adottate le misure minime di sicurezza previste per proteggere i dati personali?

Se sono trattati dati sensibili e giudiziari, e stato redatto, quando e necessario, il documento programmatico per la sicurezza e ne vengono osservate le previsioni?

Periodicamente, e comunque entro il 31 marzo di ciascun anno, formano oggetto di rinnovata valutazione le misure di sicurezza individuate con il documento programmatico per la sicurezza?

6. Il trasferimento dei dati in paesi terzi

Se i dati personali trattati dall’impresa sono soggetti a trasferimento verso Paesi terzi (esterni all’Unione europea e all’area economica europea), il trasferimento avviene:

  • in presenza di una delle condizioni previste dall’art. 43 del Codice? oppure
  • verso uno dei paesi che assicurano un livello adeguato di protezione (Svizzera, Argentina, Isola di Man, Baliato di Guernsey)? oppure
  • verso un’impresa statunitense che aderisce al Safe Harbor? oppure
  • in presenza di clausole contrattuali standard tra esportatore e importatore? oppure
  • in presenza di un’autorizzazione ad hoc da parte del Garante?

7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell’art. 7 del Codice

In presenza dell’esercizio del diritto d’accesso, viene dato riscontro all’interessato secondo le modalita previste dalla legge? 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

 

 

 

 

 

 


(1)  La guida ha mero valore indicativo ed esemplificativo rispetto al contenuto delle disposizioni normative, alla cui osservanza chiunque resta vincolato.

(2)  In relazione al trattamento dei dati personali dei dipendenti si vedano altresi le  "Linee guida in materia di trattamento di dati personali di lavoratori per finalita di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" , doc. web n.  1364099.

(3) In materia v. il provvedimento generale del  30 novembre 2005 , doc. web n.  1213644.

(4)  Cosi, in un’azienda nella quale ad una unita organizzativa sono stati assegnati un determinato numero di dipendenti, si potra ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unita mediante una previsione scritta (ad es. nell’organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unita.

(5) Specifiche indicazioni sono contenute anche nel provvedimento del Garante del 31 marzo 2004 Provvedimento relativo ai casi da sottrarre all’obbligo di notificazione, in G.U. del 6 aprile 2004, n. 81 e in www.garanteprivacy.it, doc. web  852561. V. pure,  Chiarimenti sui trattamenti da notificare al Garante , 23 aprile 2004, doc. web. n.  993385.

(6) V. in materia Provv.  22 febbraio 2007 , doc. web n.  1389918.

(7)  Art. 24. Casi nei quali puo essere effettuato il trattamento senza consenso

1. Il consenso non e richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

a) e necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) e necessario per eseguire obblighi derivanti da un contratto del quale e parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalita che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilita e pubblicita dei dati;
d) riguarda dati relativi allo svolgimento di attivita economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
e) e necessario per la salvaguardia della vita o dell’incolumita fisica di un terzo. Se la medesima finalita riguarda l’interessato e quest’ultimo non puo prestare il proprio consenso per impossibilita fisica, per incapacita di agire o per incapacita di intendere o di volere, il consenso e manifestato da chi esercita legalmente la potesta, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2;
f) con esclusione della diffusione, e necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalita e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
g) con esclusione della diffusione, e necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attivita di gruppi bancari e di societa controllate o collegate, qualora non prevalgano i diritti e le liberta fondamentali, la dignita o un legittimo interesse dell’interessato;
h) con esclusione della comunicazione all’esterno e della diffusione, e effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, e con modalita di utilizzo previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13;
i) e necessario, in conformita ai rispettivi codici di deontologia di cui all’allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.


(8) V., allo stato, l’Autorizzazione n. 1/2005 al trattamento dei dati sensibili nei rapporti di lavoro – 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web  1203930; Autorizzazione n. 2/2005 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale – 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web  1203946; Autorizzazione  n. 3/2005  al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni – 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203934; Autorizzazione  n. 4/2005  al trattamento dei dati sensibili da parte dei liberi professionisti – 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203954; Autorizzazione  n. 5/2005  al trattamento dei dati sensibili da parte di diverse categorie di titolari – 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203938; Autorizzazione  n. 6/2005  al trattamento dei dati sensibili da parte degli investigatori privati – 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203950; Autorizzazione  n. 7/2005  al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici – 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203942.

(9)  Tuttavia "se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalita o in un altro diritto o liberta fondamentale e inviolabile".

(10)  Le misure minime di sicurezza contenute nell’allegato B) del Codice riguardano anzitutto i trattamenti effettuati con strumenti elettronici: esse comprendono un sistema di autenticazione informatica con credenziali di autenticazione (cioe, un codice per l’identificazione dell’incaricato associato a una parola chiave), programmi per elaboratore volti a prevenirne la vulnerabilita (ad esempio, antivirus), procedure per realizzare il salvataggio periodico dei dati (c.d. procedure di back up ) e la redazione di un documento programmatico sulla sicurezza in caso di trattamento di dati sensibili. Per i trattamenti effettuati senza l’ausilio di strumenti elettronici rientrano tra le misure minime le istruzioni scritte finalizzate al controllo ed alla custodia dei dati impartite agli incaricati e l’uso di contenitori o locali con idonea serratura per custodire i dati personali.

(11)  Per l’Argentina, Decisione della Commissione del 30 giugno 2003, n. 2003/490/CE; per il Canada, Decisione della Commissione del 20 dicembre 2001, n. 2002/2/CE; per il Baliato di Guernesy, Decisione della Commissione del 21 novembre 2003, n. 2003/821/CE; per l’Isola di Man, Decisione della Commissione del 28 aprile 2004, n. 2004/411/CE; per la Svizzera, Decisione della Commissione del 26 luglio 2000, n. 2000/518/CE. In relazione ad esse v., nell’ordine, le autorizzazioni rilasciate dal Garante:  Autorizzazione del 9 giugno 2005  in G.U. del 25 luglio 2005, n. 171, doc. web n.  1151846; Autorizzazione del 30 aprile 2003  in G.U. n. 191 del 19 agosto 2003, doc. web n.  1075324; Autorizzazione del 7 settembre 2004  in G.U. del 22 luglio 2005, n. 169, doc. web n.  1139333; Autorizzazione del 9 giugno 2005  in G.U. del 25 luglio 2005, n. 171, doc. web n.  1151889; Autorizzazione del 17 ottobre 2001  in G.U. del 26 novembre 2001 n. 275 – Suppl. Ordinario n. 250, doc. web n.  39428.

(12)  Cfr. Decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE e la correlativa l’ Autorizzazione del 10 ottobre 2001  (in G.U. 26 novembre 2001), doc. web n.  39939. Le organizzazioni aderenti al Safe Harbor sono pubblicate sul sito web: www.export.gov/….

(13)  Cfr. Decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/Ce, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a "incaricati" del trattamento residenti in paesi terzi, a norma della direttiva 95/46/Ce (e correlativa deliberazione del Garante  n. 3 del 10 aprile 2002 , doc. web n.  1065361); Decisione della Commissione europea del 15 giugno 2001, n. 2001/497/CE, relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/Ce (e correlativa deliberazione del Garante del  10 ottobre 2001 , doc. web  42156). La Commissione ha altresi individuato un modello alternativo di clausole contrattuali tipo (definito Insieme II) con la decisione del 27 dicembre 2004, n. 2004/915/Ce (e la correlativa autorizzazione del Garante del  9 giugno 2005 , doc. web n.  1151949 ).

(14) Art. 7. Diritto di accesso ai dati personali ed altri diritti.

1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:

a) dell’origine dei dati personali;
b) delle finalita e modalita del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L’interessato ha diritto di ottenere:

a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non e necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4. L’interessato ha diritto di opporsi, in tutto o in parte:

a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorche pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

21/06/2007 – Garante Privacy

Stop alle telefonate indesiderate: il Garante impone a gestori e call center di interrompere comportamenti illeciti

venerdì, 15 giugno 2007

Entro il 10 settembre devono essere adottate misure per il rispetto degli utenti. Si rischia il blocco dei dati per fare pubblicita

Stop alle telefonate indesiderate che arrivano a qualunque ora nelle case dei cittadini italiani per promuovere servizi e prodotti.

Con cinque provvedimenti, riguardanti alcuni dei principali gestori telefonici e societa che operano in qualita di call center per conto degli stessi gestori e di altre importanti aziende, il Garante (Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan, Giuseppe Fortunato) ha prescritto una serie di misure affinche venga rispettata la riservatezza e gli altri diritti degli utenti.

Societa telefoniche e call center dovranno interrompere i trattamenti illeciti di dati, informando l’Autorita gia entro il 5 luglio sullo stato di adempimento delle misure richieste, di carattere organizzativo, tecnico e procedurale, che andranno comunque adottate al piu tardi entro il 10 settembre 2007.

Il Garante si e riservato di adottare provvedimenti piu drastici in caso di mancato adempimento, quali blocchi o divieti.

In particolare, gestori e call center dovranno:

  • interrompere l’uso indebito di numeri telefonici raccolti ed utilizzati a scopi commerciali senza il previsto consenso da parte degli interessati;
  • regolarizzare le banche dati informando gli utenti e ottenendo da essi lo specifico consenso all’utilizzo dei dati per scopi pubblicitari;
  • informare con la massima trasparenza gli utenti anche al momento del contatto sulla provenienza dei dati e sul loro uso;
  • registrare la volonta degli utenti di non essere piu disturbati;
  • interrompere l’utilizzo illecito di dati per attivare servizi non richiesti (segreterie, linee internet veloci);
  • effettuare controlli sui responsabili dei trattamenti svolti presso i diversi call center.

I provvedimenti sono stati adottati all’esito di una intensa attivita ispettiva effettuata nei mesi scorsi in tutta Italia nei confronti dei principali gestori telefonici e call center, avviata anche sulla base delle innumerevoli segnalazioni giunte dai cittadini. Le ispezioni degli uffici del Garante, in collaborazione con il Nucleo speciale funzione pubblica e privacy della Guardia di finanza, hanno accertato trattamenti illeciti di dati personali e comportamenti non corretti nei confronti degli utenti, nonostante i richiami del Garante e lo specifico provvedimento generale adottato lo scorso anno dall’Autorita proprio per contrastare il fenomeno delle chiamate indesiderate effettuate per fini promozionali o per vendere direttamente prodotti e servizi, il cosiddetto "teleselling".

Va ricordato, infine, che per violazioni relative ad omessa o insufficiente informativa agli utenti, nel corso del 2007 il Garante ha finora avviato a fornitori di servizi di comunicazione elettronica e call center 44 procedimenti sanzionatori, 22 dei quali gia definiti con il pagamento di somme per un totale di oltre 130 mila euro.

15/06/2007 – Garante Privacy