Pegasus: il Garante privacy chiede informazioni alla società che distribuisce il software

Reading Time: < 1 minute

…e ha fatto più che bene!

In relazione alle recenti notizie di stampa che hanno fatto emergere un quadro preoccupante riguardo al trattamento di dati personali effettuato attraverso un indebito utilizzo del software Pegasus, il Garante per la protezione dei dati personali ha chiesto alla società che distribuisce il software di comunicare all’Autorità, entro i prossimi 20 giorni:

1) il ruolo che essa riveste rispetto ai trattamenti correlati all’utilizzo di Pegasus;
2) se vi siano, ed eventualmente chi siano, i clienti italiani che utilizzano il software.

Roma, 23 luglio 2021

Covid 19: Il Garante privacy “avverte” la Regione Sicilia L’ordinanza del Presidente delle Regione viola le norme sulla privacy dei lavoratori – Comunicato stampa e testo del provvedimento

Reading Time: 26 minutes

Il Garante per la protezione dei dati personali ha avvertito la Regione Sicilia e tutti i soggetti coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Sicilia, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento europeo e del Codice privacy.

L’ordinanza prevede infatti trattamenti di dati personali relativi allo stato vaccinale dei dipendenti pubblici e degli enti regionali, determinando limitazioni dei diritti e delle libertà individuali che possono essere introdotte solo da una norma nazionale di rango primario, previo parere dell’Autorità.

Le disposizioni regionali prevedono che tutti i dipendenti a contatto diretto con l’utenza siano “formalmente invitati” a ricevere la vaccinazione e, in assenza di questa, assegnati ad altra mansione.

Tali trattamenti relativi allo stato vaccinale del personale non previsti dalla legge statale, introducono, di fatto, un requisito per lo svolgimento di determinate mansioni su base regionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.

L’ordinanza prevede, inoltre, trattamenti generalizzati di dati relativi allo stato vaccinale dei dipendenti, anche da parte del medico competente, non conformi alla disciplina in materia di protezione dei dati e alla disciplina in materia di sicurezza nei luoghi di lavoro.

Considerata poi la delicatezza delle informazioni trattate e le possibili conseguenze discriminatorie in ambito lavorativo, il coinvolgimento dei datori di lavoro, previsto dall’ordinanza, in assenza di misure tecniche e organizzative può porsi in contrasto con le norme nazionali che vietano ai datori di lavoro di trattare informazioni relative alla salute, alle scelte individuali e alla vita privata dei dipendenti.

Il Garante, in considerazione delle gravi violazioni riscontrate, ha dunque ritenuto necessario intervenire tempestivamente per tutelare i diritti e le libertà degli interessati, prima che tali criticità producano i loro effetti, ed ha di conseguenza avvertito la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti, che, in assenza di interventi correttivi, i trattamenti di dati previsti possono violare la normativa privacy.

Il provvedimento adottato dal Garante è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza, anche al fine di segnalare alle Regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.

Roma, 23 luglio 2021


Provvedimento del 22 luglio 2021 [9683814]

Registro dei provvedimenti
n. 273 del 22 luglio 2021

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Decreto Legislativo 9 aprile 2008, n. 81, in materia di tutela della salute e della sicurezza nei luoghi di lavoro;

VISTO Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARSCoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021, che ha aggiornato il protocollo del 24 aprile 2020;

VISTO il decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da Covid-19”;

VISTO il Decreto del Presidente del Consiglio Dei Ministri del 17 giugno 2021 “Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Con l’ordinanza n. 75 del 7 luglio 2021 il Presidente della Regione Siciliana ha introdotto sul territorio regionale “Ulteriori misure per l’emergenza epidemiologica da Covid-19”, “al fine di conseguire celermente nel territorio della Regione Siciliana uno standard di vaccinazione non inferiore alla quota percentuale dell’80% per tutti i target anagrafici individuati a livello nazionale” e “tenuto conto del rischio di diffusione del virus nella variante comunemente nota come “Delta”.

Nella predetta ordinanza, il Presidente della Regione Siciliana prevede che sia disposta, una “ricognizione del personale non vaccinato operante nelle Pubbliche Amministrazioni e preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990”, disponendo, in particolare, all’art. 3 che:

–    “le AA.SS.PP. provvedono, mediante apposito interpello a tutti gli Enti pubblici operanti nel territorio della Regione Siciliana, alla ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione” (comma 1);

–    all’esito di tale ricognizione […] tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione” (comma 2);

–    “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna” (comma 2);

–    analoga attività ricognitiva debba essere effettuata “con riferimento al personale preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990, nonché agli autotrasportatori e al personale delle imprese che assicurano la continuità della filiera agro-alimentare e sanitaria e agli equipaggi dei mezzi di trasporto” (comma 1).

A seguito di richiesta di informazioni da parte di questa Autorità, con nota prot. n. XX del XX, la Regione Siciliana ha specificato che:

–    “l’Ordinanza contingibile e urgente del 7 luglio 2021, n. 75 è stata emanata dal Presidente della Regione sia in qualità di Autorità sanitaria regionale – ai sensi della legge n. 8233/1978 – sia come soggetto attuatore delle misure emergenziali connesse allo stato di emergenza dichiarato dal Consiglio dei Ministri relativo alla pandemia da Covid-19 (Ordinanza del Capo della Protezione civile n. 630/2020)”;

–    “si tratta, quindi, dell’esercizio di poteri riconosciuti per legge e volti ad intervenire con urgenza per contrastare l’evolversi (e, oggi, l’acuirsi) della pandemia. Impregiudicate, pertanto, le specifiche disposizioni contenute nelle rispettive discipline di settore, le attività giuridiche e materiali (incluse quelle relative al trattamento di dati) che il provvedimento richiede ai soggetti rientranti nella propria sfera applicativa sono strumentali alle finalità istituzionali perseguite dal Presidente, ossia la tutela di un diritto costituzionalmente rilevante quale è la salute dei siciliani”;

–    “le disposizioni contenute nella Ordinanza n. 75 del Presidente della Regione, volte a tutelare la salute pubblica, siano assolutamente legittime e, certamente, non siano volte a violare le norme in materia di protezione dei dati personali” e “come emerge dal tenore letterale dell’articolo 3 dell’Ordinanza, oggetto di verifica non è la individuazione dei nominativi dei lavoratori pubblici non ancora vaccinati, bensì la indicazione del “numero” dei detti dipendenti”;

–    “l‘attività di indagine, utile ai fini della Programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale, deve avvenite in anonimato. Ciò, è chiaro, garantisce sia i dipendenti sia l’attività pubblica volta a gestire l’emergenza sanitaria”;

–    “la corretta interpretazione della Ordinanza, avvalorata dalla [successiva] Circolare interpretativa, [che prevede il coinvolgimento del medico competente…] elimina in radice il problema del trattamento di un dato sensibile riferito ad una determinata persona fisica che, potenzialmente, potrebbe reputarsi leso”;

–    “può osservarsi come spetti sempre e solo al medico competente, nel rispetto della vigente normativa, valutare le condizioni di salute del dipendente e, eventualmente, comunicarle al datore di lavoro Per assumere le necessarie determinazioni (nel rispetto del CCNL e delle leggi di settore). Si pensi, a titolo meramente esemplificativo, alle c.d. fragilità già evidenziate per individuare i soggetti con priorità in sede di vaccinazione e che, ove presenti in lavoratori non vaccinati, a giudizio del medico competente potrebbero senza dubbio aumentare il rischio di salute dei medesimi ove svolgano mansioni a contatto con il pubblico”;

–    “si vuole, cioè, tutelare la salute del lavoratore in funzione della concreta attività svolta la cui valutazione compete sempre e solo al medico competente […]. E giova chiarire ulteriormente come, stante l’anonimato del dato, il datore di lavoro senza la specifica richiesta del medico competente (che valuta in concreto le condizioni di salute del dipendente) non potrebbe certamente intervenire mancando proprio la conoscenza dei lavoratori non vaccinati”;

–    “nella prudente ponderazione degli interessi (la salute pubblica, la sicurezza dei lavoratori e la protezione dei dati), quindi, si ritiene che non potrebbe certamente escludersi che uno degli elementi incidenti oggi in modo significativo sulla salute dei dipendenti sia proprio il rischio del contagio”;

–    “la decisione del medico, del resto, non sarebbe certamente (e non potrebbe esserlo, stante l’anonimato del dato) la conseguenza della ricognizione dei dipendenti vaccinati, bensì frutto di eventuale visita – come avviene per verificare la sicurezza dei lavoratori – e valutazioni specifiche delle condizioni di salute rispetto alle mansioni ricoperte”;

–    “in sintesi, dunque, non vi sarebbe alcun pregiudizio o intento “punitivo” per il dipendente non vaccinato né, certamente, potrebbe mai ritenersi una volontà discriminatoria. É tuttavia vero (drammaticamente lo ricordano le migliaia di morti) che la pandemia richiede misure urgenti e straordinarie affinché venga preservata la salute di tutti (lavoratori e non)”.

Più nel dettaglio con riguardo alla circolare (prot. XX del 13 luglio 2021) interpretativa e attuativa dell’ordinanza del Presidente della Regione n. 75 del 7 luglio 2021, a firma dell’Assessore regionale per la Salute e del Dirigente generale del Dipartimento regionale Attività sanitarie e Osservatorio epidemiologico, indirizzata ai rappresentati legali delle Aziende sanitarie provinciali del SSR, adottata successivamente alla richiesta di elementi dell’Autorità, emerge che:

–    “la suddetta rilevazione dovrà avvenire in prima istanza per finalità statistiche e ricognitive nonché di verifica della esatta percentuale, nell’ambito del target in esame, del numero dei dipendenti che non si sono ancora sottoposti a vaccinazione (non essendo pertanto richiesta, allo stato, indicazione nominativa dei dipendenti interessati dalla ricognizione medesima)”;

–    “si raccomanda alle AA SS PP. in indirizzo di garantire, all’atto di instaurare la necessaria interlocuzione con gli Enti pubblici datoriali, l’anonimato del personale dipendente (ad esempio mediante |invio di questionari da compilare in forma anonima) senza contestualmente procedere all’acquisizione di dati sensibili”;

–    “ulteriore attività demandata alle Aziende Sanitarie Provinciali all’esito della ricognizione del numero dei dipendenti degli Enti pubblici non ancora sottoposti a vaccinazione consiste nell’effettuazione – per il tramite dei datori di lavoro e, più in particolare, del medico competente – di un “invito” a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente, a prescindere quindi dal possesso o meno dello status di soggetto vaccinato”;

–    “i lavoratori che all’esito dell’invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneità, da svolgersi nelle forme e secondo le modalità previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonché dei provvedimenti recentemente adottati in materia dal Garante per la Protezione dei Dati Personali, che si concluderà nella stesura e nel giudizio finale (di idoneità o di inidoneità) circa lo svolgimento della specifica mansione a cui il lavoratore ê assegnato”;

–    “il datore di lavoro, ricevuto il suddetto giudizio, attuerà le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (cfr. artt. 41, 42 e 279 del D. gs. n. 81/2008 e ss.mm ii.)”;

–    “le determinazioni conseguenziali in ordine all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino, infine, verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento”.

OSSERVA

Per i profili di competenza dell’Autorità si rileva in via preliminare che il Garante ha recentemente chiarito che le certificazioni attestanti l’avvenuta vaccinazione (e, non diversamente la guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare) non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2 (cfr. Provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064, recante il “Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass”).

L’Autorità ha infatti più volte ribadito come la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, Considerando n. 37 del Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021).

Come evidenziato anche dal Presidente del Garante nella audizione informale alla Camera del 6 maggio 2021, in generale, la materia risulta essere assoggettata alla riserva di legge statale (Corte cost., sent. 5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21). Al riguardo, nel provvedimento di avvertimento del n. 207 del 25 maggio 2021 nei confronti della Regione Campania (doc web n. 9590466) il Presidente ha infatti rappresentato che la Corte Costituzionale ha recentemente evidenziato che “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza della n. 4/21).

Il Garante ha pertanto reso parere favorevole sullo schema di decreto di attuazione della disciplina in tema di certificazioni verdi a condizione che, in sede di conversione in legge del d.l. 22 aprile 2021, n. 52 (“Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”), fossero, tra l’altro, specificamente definite le finalità del trattamento e fosse introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare. Al riguardo, si rappresenta che, in sede di conversione in legge del d.l. n. 52/2021, è stata modificata la disciplina sulle certificazioni verdi prevedendo che le stesse possono essere utilizzate esclusivamente ai fini di cui agli artt. 2, comma 1, 2-bis, comma 1, 2-quater, 5, comma 4, 7, comma 2, e 8-bis, comma 2, della legge n. 87/2021 (art. 9, comma 10 bis, legge n. 87/2021).

Con specifico riguardo al contesto lavorativo, il predetto decreto legge n. 52/2021, convertito nella legge n. 87/2021, nel prevedere specifiche misure atte a ridurre il rischio di contagio in ambienti in cui svolge anche l’attività lavorativa, non ha introdotto quella relativa al possesso di un attestato comprovante l’avvenuta vaccinazione o il risultato negativo di un test per Covid-19 (cfr. artt. 3, 3 bis, 4, 4 bis, 5, 5 bis, 6, 6 bis, 7, 8, 8 bis, 8 ter, legge n. 87/2021).

Anche in merito alla possibilità di introdurre la vaccinazione anti SARS-CoV-2, quale requisito per lo svolgimento di particolari professioni o mansioni, con particolare riguardo all’esposizione a un maggior rischio di contagio nel contesto sanitario, l’Autorità ha ritenuto necessario, nella prospettiva di certezza del diritto e nel principio di non discriminazione, che la materia dovesse essere oggetto di una regolazione uniforme con legge nazionale, nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b), del Regolamento) e del principio di ragionevolezza (art. 3 Cost.), tenendo conto della specifica situazione sanitaria ed epidemiologica in atto e delle evidenze scientifiche (cfr. FAQ n.3 in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it – doc. web n. 9543615).

Il legislatore è, dunque, successivamente intervenuto con il decreto legge del 1° aprile 2021, n. 44 (convertito in legge n. 76 del 28 maggio 2021 – Misure urgenti per il contenimento dell’epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici), il cui articolo 4 ha previsto che, limitatamente agli esercenti le professioni sanitarie e agli operatori di interesse sanitario, la vaccinazione anti SARS-CoV-2 costituisce “requisito essenziale per l’esercizio della professione e per lo svolgimento delle prestazioni lavorative”.

In tale quadro, con riguardo a tutte le altre categorie di lavoratori, nel rispetto della disciplina di protezione dei dati, della disciplina nazionale di settore e delle norme più specifiche e di maggior tutela che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento e 113 del Codice) nonché di quelle emanate nel contesto dell’emergenza epidemiologica in corso, il datore di lavoro non può trattare i dati relativi alla vaccinazione dei propri dipendenti (inclusa l’intenzione di aderire o meno alla campagna vaccinale). Come recentemente ribadito dal Garante anche con provvedimenti di carattere generale e documenti di indirizzo, eventuali trattamenti di dati personali inerenti alla vaccinazione di dipendenti sono allo stato consentiti, nel contesto lavorativo, per il tramite del medico competente, nei limiti e alle condizioni previste dalle disposizioni vigenti in materia di salute e sicurezza sui luoghi di lavoro che ne costituisco la base giuridica (d.lgs. 9 aprile 2008 n. 81; Provvedimento del 13 maggio 2021 – documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”, doc. web n. 9585300 e documento “Protezione dei dati – Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).

Alla luce delle considerazioni preliminari sopra riportate, si ritiene pertanto che le disposizioni di cui all’ordinanza del Presidente della Regione Siciliana del 7 luglio 2021, n.75, presentino le seguenti criticità:

1. Inidoneità della base giuridica.

In via preliminare, si rileva che l’individuazione della avvenuta vaccinazione quale condizione per esercitare diritti e libertà individuali o accedere agli ambienti di lavoro, non può essere prevista da un’ordinanza regionale, in quanto, come sopra evidenziato, la competenza circa l’introduzione di misure di sanità pubblica che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale e pertanto deve avvenire attraverso una disposizione che abbia le caratteristiche richieste dal Regolamento (art. 6, par. 3, del Regolamento), previa acquisizione del parere dell’Autorità.

In particolare, la predetta ordinanza presidenziale, pur alla luce delle precisazioni contenute nella circolare del 13 luglio, prot. n. XX, nel prevedere la generalizzata ricognizione del personale degli enti pubblici e di altri lavoratori non vaccinati e la conseguente assegnazione a differenti mansioni che non implichino il contatto con l’utenza esterna (cfr. art. 3, comma 2, cit.), introduce trattamenti di dati personali relativi allo stato vaccinale dei dipendenti che comportano limitazioni dei diritti e delle libertà individuali, allo stato non previsti da alcuna disposizione di legge statale (cfr., Corte cost., sent. n. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. n. 37/21).

A tale riguardo si rappresenta che l’Ufficio, ancorché in relazione all’uso delle certificazioni verdi, e più in generale dei certificati vaccinali, per finalità ulteriori e con modalità difformi rispetto a quelle espressamente previste dalla legge nazionale, ha ribadito alle regioni e alla Conferenza delle Regioni e delle Province autonome la necessità di soprassedere dall’adottare o dal dare attuazione ad iniziative territoriali (Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19 – 18 giugno 2021, doc. web n. 9671917; Provvedimento di avvertimento alla regione Campania in merito all’uso delle certificazioni verdi Covid-19 – del 25 maggio 2021, doc web n. 9590466). Ciò in considerazione del fatto che l’ordinanza presidenziale di una regione o di una provincia autonoma (e analogamente anche una circolare interpretativa) non rappresenta una valida base giuridica, alla luce delle caratteristiche richieste dalla disciplina di protezione dei dati (qualità della fonte, contenuti necessari, rispetto del principio di proporzionalità) per introdurre limitazioni ai diritti e alle libertà individuali che implichino il trattamento di dati personali, in quanto disciplina profili che ricadono nelle materie assoggettate alla riserva di legge statale (art. 6, parr. 2 e 3, del Regolamento e 2-ter e 2-sexies del Codice).

Peraltro l’ordinanza n. 75 della Regione Siciliana prevede che, “tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione” e che “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna” (comma 2). Tale circostanza, anche alla luce delle successive precisazioni effettuate con la circolare interpretativa sopra richiamata che prevede “l’assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino” (cfr. circolare p. 3), introduce in realtà un requisito per lo svolgimento di determinate mansioni (quelle che implicano “il contatto diretto del lavoratore con l’utenza esterna”) su base regionale e non previsto dalla legge nazionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.
Come messo in evidenza anche dalla Corte di Giustizia “l’esame della liceità dei requisiti [per lo svolgimento dell’attività lavorativa] e della verifica del permanere nel tempo dei medesimi […deve essere] effettuato […] rispetto al diritto nazionale [… e non può essere] sottratto a un controllo giurisdizionale effettivo” (v., in tal senso, sentenza del 17 aprile 2018, Egenberger, C-414/16, EU:C:2018:257, par. da 56 a 58)  atteso che la previsione di un requisito per lo svolgimento dell’attività lavorativa da cui far derivare una differenza di trattamento per il prestatore di lavoro (quale, come, nel caso di specie, l’adibizione a mansioni differenti) deve costituire “requisito professionale essenziale, legittimo e giustificato” rispetto alla “natura” delle attività di cui trattasi e al “contesto” in cui vengono espletate le sue mansioni.

Pertanto, la valutazione della liceità del trattamento di informazioni afferenti alla salute, vita privata e alle convinzioni personali, anche sotto il profilo del rispetto del principio di finalità e proporzionalità, così come pure la legittimità delle decisioni assunte dal datore di lavoro in conseguenza di tali trattamenti, è subordinata all’esistenza, oggettivamente verificabile, di un nesso diretto tra il requisito professionale e lo svolgimento dell’attività lavorativa (dovendo questo consistere in un “requisito essenziale e determinante” per lo svolgimento dell’attività lavorativa ed essere “necessario, a causa dell’importanza dell’attività professionale di cui trattasi”; punto 55). In ogni caso, “il principio della parità di trattamento in materia di occupazione e di condizioni di lavoro [..] trova la sua fonte in diversi atti internazionali e nelle tradizioni costituzionali comuni agli Stati membri, ma ha il solo obiettivo di stabilire, in queste stesse materie, un quadro generale per la lotta alle discriminazioni fondate su diversi motivi, tra i quali la religione o le convinzioni personali” (cfr. Corte di Giustizia, sentenza del 17 aprile 2018, Egenberger, C-414/16).

Con specifico riguardo al trattamento dei dati della stato vaccinale, peraltro, la normativa europea in materia di certificazioni vaccinali stabilisce che “è necessario evitare la discriminazione diretta o indiretta di persone che non sono vaccinate, per esempio per motivi medici, perché non rientrano nel gruppo di destinatari per cui il vaccino anti COVID-19 è attualmente somministrato o consentito, come i bambini, o perché non hanno ancora avuto l’opportunità di essere vaccinate o hanno scelto di non essere vaccinate” (cfr. considerando 36 del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021).

Alla luce delle considerazioni che precedono eventuali trattamenti di dati personali posti in essere dai soggetti a vario titolo indicati dall’ordinanza presidenziale n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, risultano privi di idonea base giuridica in violazione dell’art. 5, 6, 9, del Regolamento e 2-ter e 2-sexies del Codice).

2. I principi applicabili al trattamento dei dati personali.

In via preliminare, si rappresenta che il trattamento di dati personali previsto dalla predetta ordinanza persegue una pluralità di finalità, non sempre chiaramente individuate, che si fondano su differenti presupposti di legittimità e che sono perseguibili da parte di distinti titolari del trattamento.

Seppur non chiaramente individuate dalla Regione nel corso dell’istruttoria, dalla documentazione in atti si evince infatti che il trattamento che si intende porre in essere mira a perseguire diversi interessi e a tutelare beni giuridici distinti (es. adozione di misure di sanità pubblica; finalità statistiche e ricognitive nonché di verifica della esatta percentuale, nell’ambito del target in esame, del numero dei dipendenti; sicurezza sul lavoro).

Al riguardo, infatti, la disciplina in materia di protezione dei dati personali individua specifiche e autonome eccezioni al generale divieto di trattamento dei dati appartenenti alle categorie particolari, tra i quali si configurano quelli sulla salute, distinguendo anche con riguardo ai diversi presupposti di liceità, i trattamenti necessari per finalità di salute pubblica (art. 9, par. 2, lett. i), del Regolamento), di medicina preventiva e del lavoro (art. 9, parr. 2, lett. h), e 3, del Regolamento) e di ricerca scientifica a fini statistici (art. 9, par. 2, lett. j), del Regolamento).

Nel quadro dall’ordinamento vigente, anche nel contesto eccezionale, legato all’emergenza, occorre infatti che ciascuno dei soggetti chiamati a perseguire le predette finalità operi nell’ambito e nei limiti previsti dalla rispettiva disciplina applicabile, che ne costituisce la base giuridica, evitando la confusione di ruoli che può dare luogo a trattamenti illeciti di dati personali e che potrebbe determinare effetti lesivi dei diritti e delle libertà degli interessati.

Pertanto l’ordinanza n 75 del 7 luglio 2021 non individua in modo corretto le distinte finalità del trattamento perseguite, i titolari del trattamento legittimati a perseguirle, i diversi presupposti di liceità su cui debbono fondarsi i trattamenti, nonché le misure volte ad assicurare il rispetto dei principi di protezione dei dati con particolare riferimento a quello di liceità, correttezza e trasparenza e di protezione dei dati fin dalla progettazione e per impostazione predefinita (artt. 5 e 25 del Regolamento).

3. Trattamenti dei dati per finalità di sicurezza dei luoghi di lavoro. 

Alla luce delle precisazioni fornite dalla Regione (nota del XX, cit.), con la circolare successivamente emanata al fine di precisare e chiarire il portato dell’ordinanza n.75, è stato previsto, a tutela degli interessati, il coinvolgimento del medico competente nel trattamento dei dati.

In particolare, “all’esito della ricognizione del numero dei dipendenti degli Enti pubblici non ancora sottoposti a vaccinazione” le aziende devono rivolgere “- per il tramite dei datori di lavoro e, più in particolare, del medico competente – un “invito” a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente”. Successivamente “i lavoratori che all’esito dell’invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneità, da svolgersi nelle forme e secondo le modalità previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonché dei provvedimenti recentemente adottati in materia dal Garante per la Protezione dei Dati Personali, che si concluderà nella stesura e nel giudizio finale (di idoneità o di inidoneità) circa lo svolgimento della specifica mansione a cui il lavoratore ê assegnato”. A propria volta “i1 datore di lavoro, ricevuto il suddetto giudizio, attuerà le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (cfr. artt. 41, 42 e 279 del D.lgs. n. 81/2008 e ss.mm ii.). Inoltre è prevista l’adozione di “determinazioni consequenziali in ordine all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento” (cfr. circolare cit. p. 3; sul punto l’ordinanza, art. 3, comma 2, dispone infatti che “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna”).

In proposito si osserva che la finalità di sicurezza e salute sui luoghi di lavoro afferisce, tipicamente, all’adempimento degli obblighi in materia di “diritto del lavoro”, che legittimano il trattamento di dati personali dei dipendenti da parte del datore di lavoro (artt. 5, 6, par. 1, lett. c), 9, par. 2, lett. b), e 88 Regolamento) e del medico competente (art. 9, parr. 2, lett. h), e 3, del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), ciascuno nell’ambito dei differenti compiti ed entro i precisi limiti fissati dalla legge. Ciò anche nel quadro delle disposizioni nazionali più specifiche e di maggior tutela che garantiscono la dignità e la libertà del dipendente nel contesto lavorativo (artt. 88 del Regolamento e 113 del Codice; cfr., con riguardo al l tradizionale riparto di competenze tra il medico competente e il datore di lavoro, “Protezione dei dati: il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).

In tale quadro, le finalità e le operazioni del trattamento che devono essere poste in essere dal medico competente sono determinate esclusivamente dalla legge. In particolare le norme nazionali di settore in materia di tutela della salute e di sicurezza dei luoghi lavoro assegnano specifici compiti e responsabilità al medico competente e costituiscono la base giuridica dei relativi trattamenti dei dati personali di cui specificano anche le modalità (d.lgs. n. 81/2008).

Il professionista sanitario deve trattare i dati in modo autonomo, nel rispetto della disciplina di protezione dei dati e dei principi che regolano l’attività diagnostica, delle regole di deontologia professionale, con particolare riguardo al segreto. Per tali ragioni nello svolgimento di tali compiti che la legge gli attribuisce in via esclusiva, in particolare l’attività di sorveglianza sanitaria dei singoli lavoratori, il medico competente è, per legge, l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro. Né le sue valutazioni possono, per definizione, risentire o essere condizionate da terzi ovvero dalle scelte organizzative e gestionali dell’ente/datore di lavoro (ancorché in quella struttura organizzativa tale figura sia funzionalmente inserita), rispetto al quale deve, al contrario, mantenere autonomia e terzietà (art. 39 d.lgs. n. 81/2008).

In tale contesto, quindi, il trattamento dei dati personali anche relativi alla vaccinazione dei dipendenti, come precisato in recenti occasioni dal Garante, può certamente essere effettuato dal solo del medico competente (art. 9, parr. 2, lett. h), e 3. del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), stante gli specifici limiti per il trattamento di tali dati da parte del datore di lavoro, ma ciò deve comunque avvenire nei limiti e alle condizioni stabilite dalla richiamata disciplina di settore in materia di sicurezza sul lavoro.

In base a tale quadro normativo, il medico competente nell’ambito dei compiti di sorveglianza sanitaria che la legge gli attribuisce in via esclusiva (il medico “programma e effettuata la sorveglianza sanitaria”; “la sorveglianza sanitaria è effettuata dal medico competente”), è l’unico soggetto legittimato a trattare i dati relativi alla salute dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, del d.lgs. n. 81/2008), potendo, “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori, ovvero su richiesta del lavoratore in presenza di proprie specifiche o sopravvenute condizioni di salute, stabilire caso per caso se ricorrono i presupposti e la necessità di sottoporre i lavoratori a ulteriori visite straordinarie e/o a indagini diagnostiche (art. 41, commi 2 e 4, d.lgs. 81/2008).

Ciò in quanto il medico, anche nel periodo emergenziale in corso, non tratta i dati per conto o in base alle istruzioni e indicazioni di altri soggetti (enti pubblici, autorità sanitarie, datori di lavoro) ma in qualità di titolare del trattamento (artt. 4, n. 7, e 24 del Regolamento; cfr. EDPB, Guidelines 7/2020 on the concepts of controller and processor in the GDPR), nel quadro di specifiche diposizioni di legge finalizzate anzitutto al perseguimento della tutela della salute nei luoghi di lavoro e della collettività (cfr., v., in particolare Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 24 aprile 2020, aggiornato il 6 aprile 2021 il cui contenuto è vincolante per i datori di lavoro pubblici e privati; Circolare del Ministero della Salute del 29 aprile 2020, n. 0014915, recante “Indicazioni operative relative alle attività del medico competente nel contesto delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2 negli ambienti di lavoro e nella collettività”).

Per tali ragioni la previsione attraverso l’ordinanza presidenziale in esame di dar corso a una ricognizione generalizzata del numero di dipendenti non vaccinati e l’indiscriminata effettuazione di visite straordinarie in favore di tutti i dipendenti che si presentino “spontaneamente” dinanzi al medico competente dopo essere stati “formalmente invitati per il tramite dei datori di lavoro a ricevere la vaccinazione” (art. 3 ordinanza cit. ; ovvero dai datori di lavoro “per il tramite del medico competente” cfr. circolare, cit.), e dunque a prescindere dalle specifiche valutazioni del professionista sulla base del documento di valutazione dei rischi e di eventuali peculiari o sopravvenute condizioni di salute del singolo lavoratore, non risulta conforme al quadro normativo sopra descritto (art. 41 d.lgs. 81/2008).

Non sussistono, inoltre, i presupposti per un ricorso in modo generalizzato e preventivo alla sorveglianza sanitaria eccezionale prevista nel periodo dell’emergenza con esclusivo riguardo ai lavoratori “fragili” in quanto esposti a maggiori rischi, individuati dalle norme di settore nell’età o in pregressi o sopravvenuti stati morbosi (cfr., art. 83 del Decreto-Legge 19 maggio 2020, n. 34, convertito con modificazioni dalla l. 17 luglio 2020, n. 77; v. anche Circolare Ministero del lavoro e delle politiche sociali e del Ministero della salute n. 28877 del 04 settembre 2020-DGPREDGPRE-P -Aggiornamenti e chiarimenti con riguardo alle lavoratici e ai lavoratori “fragili”).

In ogni caso, come chiarito dal Garante, il medico che nell’ambito della sorveglianza sanitaria venga a conoscenza di dati relativi alla avvenuta o meno vaccinazione dei dipendenti può, considerata la specificità del contesto lavorativo, delle condizioni cliniche del singolo lavoratore nonché delle indicazioni fornite dalle autorità sanitarie anche in merito alla efficacia e affidabilità medico-scientifica del vaccino, valutare “se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica” del singolo lavoratore (cfr., FAQ in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it – doc. web n. 9543615).

Anche con riguardo a tale profilo, la procedura introdotta dalla Regione con la predetta ordinanza che prevede che l’adozione di “determinazioni consequenziali in ordine  all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino” (cfr. circolare p. 3; e ordinanza), non appare conforme al quadro normativo in materia di protezione dei dati, alla disciplina in materia di sicurezza dei luoghi di lavoro nonché alle disposizioni introdotte nel periodo dell’emergenza epidemiologica in corso, comportando trattamenti in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

4. I trattamenti di dati da parte dei datori di lavoro.

L’ordinanza n. 75, anche a seguito delle precisazioni effettuate con la successiva circolare, non chiarisce inoltre il ruolo e le finalità del trattamento dei dati effettuati dal datore di lavoro, prevedendo che le aziende sanitarie pongano in essere un interpello nei confronti di tutti gli Enti pubblici operanti nel territorio della Regione Siciliana funzionale alla “ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione “ e che tale attività di indagine, “utile ai fini della programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale”, debba avvenire assicurando la “gestione anonima” dei dati (cfr. nota del XX cit.).

Tuttavia né l’ordinanza né la circolare chiariscono quali specifiche misure tecniche e organizzative debbano essere adottate affinché, in ragione della particolare delicatezza delle informazioni trattate e degli elevati rischi e delle possibili conseguenze, anche indirette, per gli interessati nel contesto lavorativo e professionale (cfr., con riguardo alla “vulnerabilità” degli interessati nel contesto lavorativo, cfr. artt. 35 e 88, par. 2, del Regolamento e “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017), le aziende sanitarie e i datori di lavoro possano assicurare in tutte le fasi del trattamento e fin dal momento “la necessaria interlocuzione con gli Enti pubblici datoriali, l’anonimato del personale dipendente”, essendo particolarmente generico il mero riferimento in via esemplificativa all’ ”|invio di questionari da compilare in forma anonima” (cfr. circolare, cit.).

Non è, inoltre, specificato con quali modalità e garanzie il datore di lavoro possa acquisire nell’ambito della propria struttura organizzativa il solo dato numerico relativo ai dipendenti non vaccinati, con la conseguenza che le decisioni e le scelte organizzative e tecniche in proposito – che possono comportare trattamenti di dati personali non conformi alla disciplina di protezione dei dati e/o incidere anche sul livello di sicurezza e integrità dei dati trattati (art. 5, par. 1, lett. f), e 32 del Regolamento) – siano rimesse alle valutazioni di volta in volta, assunte da singoli datori di lavoro.

Si aggiunga, peraltro, che la prospettata raccolta e comunicazione di dati numerici e non nominativi da parte dei datori di lavoro può, specie nei contesti lavorativi di piccole dimensioni, consentire di identificare, anche indirettamente, gli interessati, anche in ragione della disponibilità di ulteriori informazioni, quali il profilo professionale, l’unità produttiva e il comprensorio territoriale.

I datori di lavoro posso legittimamente trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), dei dipendenti se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla normativa nazionale e comunitaria (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento). Ad eccezione, pertanto, di quanto previsto per la vaccinazione quale requisito professionale per il personale sanitario, il trattamento da parte del datore di lavoro di dati relativi allo stato vaccinale dei dipendenti non è previsto da alcuna disposizione di legge (artt. 5, par. 1, lett. a), nonché 9, par. 2, lett. b), del Regolamento).

Pertanto, nell’ambito delle procedure previste dalla predetta ordinanza, il trattamento da parte dei datori di lavoro di informazioni, che consentano anche indirettamente l’identificazione degli interessati, possono determinare trattamenti di dati personali privi di idonea base giuridica e porsi in contrasto, in talune circostanze, con le disposizioni dell’ordinamento che vietano al datore di lavoro di conoscere informazioni attinenti alla salute e alla sfera privata del lavoratore (art. 88 del Regolamento, art. 113 del Codice in relazione all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276; cfr. Corte di Giustizia, Grande Sezione, sentenza 11 settembre 2018, causa C-68/17).

Tali norme, volte a prevenire effetti discriminatori nel contesto lavorativo, costituiscono nell’ordinamento interno quelle disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione – analogamente alle specifiche situazioni di trattamento del capo IX del Regolamento – determina anche l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d), del Regolamento (cfr., da ultimo, con specifico riguardo alla violazione dell’art.113 del Codice nell’ambito lavorativo pubblico, provv. n. 190 del 13 maggio 2021, doc. web n. 9669974; cfr., anche la giurisprudenza della Corte europea dei diritti dell’uomo, nel caso Antovic e Mirković v. Montenegro, Application n. 70838/13 del 28.11.2017, che ha stabilito che il rispetto della “vita privata” deve essere esteso anche ai luoghi di lavoro pubblici, richiamando il rispetto delle garanzie previste dalla legge nazionale applicabile).

RITENUTO

alla luce delle rilevanti criticità sopra illustrate, che quanto previsto dall’ordinanza presidenziale della Regione Siciliana n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, non risulta conforme alla disciplina in materia di protezione dei dati personali in quanto:

–   individua misure per la prevenzione e gestione dell’emergenza epidemiologica da Covid 19 che prevedono il trattamento di informazioni personali, relative alla salute degli interessati, e incidono sui diritti e libertà degli stessi che possono essere introdotte solo da una norma del diritto dell’Unione o nazionale di rango primario che abbia le caratteristiche richieste dal Regolamento e previa acquisizione del parere dell’Autorità;

–   introduce trattamenti preventivi e generalizzati di dati relativi allo stato vaccinale dei dipendenti, non previsti da alcuna disposizione di legge statale e comunque non conformi alle disposizioni di settore, in violazione dei principi di protezione dei dati e senza prevedere misure adeguate a garantire la protezione dei dati in ogni fase del trattamento (artt. 5, 6, 9, 25 e 32 del Regolamento e artt. 2-ter e 2-sexies del Codice);

–   introduce trattamenti che, in assenza di specifiche e adeguate misure tecniche e organizzative, possono comportare la violazione da parte dei datori di lavoro della disciplina nazionale più specifiche e di maggiore garanzia a tutela della dignità degli interessati nei luoghi di lavoro (art. 88 del Regolamento, art. 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276).

Considerato che il Regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento (art. 58, par 2, lett. a)) e che ricorre l’esigenza di intervenire tempestivamente al fine di tutelare i diritti e le libertà degli interessati prima che le richiamate violazioni producano effetti.

Considerato quindi che risulta necessario avvertire la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) del fatto che i trattamenti di dati personali di cui all’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, in assenza di interventi correttivi, possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276).

Ritenuto inoltre di comunicare il presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, per le valutazioni di competenza anche al fine di segnalare alle regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.

TUTTO CIÒ PREMESSO, IL GARANTE

a)    ai sensi dell’art. 58, par 2, lett. a), del Regolamento avverte la Regione Siciliana (C.F. 80012000826) e tutti i soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276.

b)    trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza;

c)    ai sensi dell’art. 154-bis, comma 3, del Codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

 

Roma, 22 luglio 2021

 

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Garante Privacy: maggiori tutele per i dati giudiziari

Reading Time: 2 minutes

Il Garante per la privacy ha espresso parere favorevole sullo schema di regolamento, predisposto dal Ministero della giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti.

Il testo, che recepisce buona parte delle indicazioni fornite dall’Autorità nel corso di diverse interlocuzioni con il Ministero, rafforza in maniera significativa le tutele previste per le persone e definisce un complesso di garanzie minime e coerenti nei principali settori nei quali possono essere trattati dati giudiziari: dall’ambito forense al mondo del lavoro, dalla verifica dei requisiti di onorabilità a quella della solidità e affidabilità di soggetti privati, dall’ambito assicurativo a quello delle professioni intellettuali o della ricerca storica e statistica, oppure nella mediazione e conciliazione delle controversie civili e commerciali.

La bozza di regolamento si applica anche ai dati relativi alle misure di prevenzione, come quelle per gli indiziati di appartenenza ad associazione di tipo mafioso. Il testo prescrive inoltre che tutti i titolari rispettino i principi di proporzionalità e di minimizzazione previsti dal Gdpr, trattando solo dati indispensabili e per il tempo strettamente necessario rispetto alla finalità perseguita. Chi tratta i dati, dovrà anche verificare l’affidabilità delle fonti, adottando specifiche garanzie volte ad assicurare l’esattezza dei dati trattati, che dovranno essere sempre aggiornati rispetto, tra l’altro, all’evoluzione della posizione giudiziaria dell’interessato.

Al fine di rafforzare ulteriormente le garanzie già previste nel testo del Ministero, il Garante ha comunque espresso nel parere ulteriori osservazioni. In particolare, il Garante ha richiesto che le garanzie introdotte con il decreto siano previste come parametro di riferimento minimo anche per quei trattamenti che vengono svolti in ambito pubblico sulla base di previsioni normative diverse. Ha inoltre chiesto che sia prestata particolare attenzione ai dati giudiziari raccolti da fonti aperte in caso di trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità nei pagamenti. In tali casi si dovrebbero ammettere, quali legittime fonti di raccolta, solo i siti internet istituzionali, nonché quelli di ordini professionali e di associazioni di categoria.

Il Garante ha inoltre sottolineato che, nella maggior parte dei casi, il consenso dell’interessato non può essere considerato una base giuridica legittima per il trattamento dei dati giudiziari; questo aspetto vale in particolare nella gestione del rapporto di lavoro dove il dipendente si trova in una posizione di disparità tale, rispetto al datore di lavoro, da non garantire una libera espressione del consenso.

L’Autorità ha infine rilevato l’importanza di disciplinare anche i trattamenti svolti da soggetti no-profit, per finalità di mediazione e conciliazione delle controversie civili e commerciali, nonché quelli per finalità di accesso a sistemi o aree sensibili in determinati ambiti, particolarmente rilevanti nel contesto socio-economico attuale.

Privacy: sindaco di Messina costretto dal Garante a rimuovere foto di minori disagiati e sanzionato per 50.000 euro

Reading Time: 2 minutes

Per denunciare situazioni di degrado presenti nel suo Comune, un sindaco non può pubblicare sulle proprie pagine social immagini e video in chiaro di minorenni disabili e di persone disagiate, o di presunti autori di trasgressioni esponendoli ai commenti offensivi degli utenti del social network.

Lo ha stabilito il Garante per la privacy, in un recente provvedimento, ordinando al sindaco di Messina di rimuovere dal proprio profilo le immagini pubblicate e sanzionandolo per 50mila euro.

L’Autorità è intervenuta a seguito di alcune segnalazioni che denunciavano un utilizzo di dati non conforme alla disciplina in materia di dati personali da parte del sindaco.

Nel corso del procedimento è emerso che all’interno della pagina Facebook “De Luca Sindaco di Messina”, tra gli altri contenuti, era pubblicato un video che ritraeva persone riconoscibili e in evidenti condizioni di difficoltà socio-economica, senza che la loro identificabilità fosse giustificata da ragioni di interesse pubblico. La pubblicazione del video, a giudizio del Garante, travalica i limiti posti dal principio di essenzialità dell’informazione stabilito dalle disposizioni in materia di protezione dei dati personali e dalla Regole deontologiche dei giornalisti, viola il diritto di non discriminazione e lede la dignità delle persone riprese.

In un’altra pagina del profilo era stata pubblicata, inoltre, l’immagine di un ragazzo disabile, associata al provvedimento che assegnava ai genitori un posto auto nei pressi dell’abitazione, per di più con l’indirizzo in chiaro. Anche in questo caso la diffusione è risultata ingiustificata ed in contrasto sia con il principio di essenzialità dell’informazione che con le disposizioni poste a tutela dei minori e delle persone con problemi di salute.

Altre immagini e video – diffusi senza rendere irriconoscibili i minori ripresi in condizioni di degrado per documentare la questione delle “baraccopoli” o la descrizione delle condizioni di salute di una bambina – sono risultati anch’essi in contrasto con le norme a tutela della riservatezza e in violazione delle regole fissate dalla Carta di Treviso. Quanto alle immagini di presunti trasgressori delle norme sul decoro urbano, il Sindaco aveva provveduto ad eliminarle nel corso dell’istruttoria.

A conclusione del procedimento l’Autorità ha quindi vietato al sindaco di Messina l’ulteriore trattamento dei dati, eccettuata la loro conservazione ai fini di un eventuale utilizzo in sede giudiziaria, e gli ha ordinato il pagamento di una sanzione di 50mila euro.

dalla Newsletter del Garante per la Privacy.

Privacy: il Garante infligge a Iren una sanzione di 3 milioni di euro

Reading Time: < 1 minute

Il consenso, inizialmente rilasciato da un cliente ad una società anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni infatti non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato.

Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso. A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati personali per attività di telemarketing, che non aveva raccolto direttamente, ma che aveva acquisito da altre fonti. Iren infatti aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren.

L’ammontare della sanzione applicata dal Garante, è stato motivato anche dal fatto che le liste anagrafiche, prive di tutti i consensi necessari e di cui il Garante ha vietato ogni ulteriore utilizzo a fini promozionali, riguardavano diversi milioni di persone. L’Autorità ha infine rivolto un avvertimento alla società per aver fornito una rappresentazione ed una documentazione probatoria incompleta ed inidonea durante l’istruttoria.

dalla Newsletter del Garante per la Privacy

Il Garante della Privacy ha disposto il blocco dell’app PA-IO

Reading Time: 13 minutes

Il Garante della privacy ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app che prevedono l’interazione con i servizi di Google e Mixpanel, e che comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso. (Vedere qui)

Ecco il testo del Provvedimento:


Provvedimento correttivo nei confronti di PagoPA sul funzionamento dell’App IO – 9 giugno 2021

Registro dei provvedimenti
n. 230 del 9 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 64-bis del decreto legislativo 7 marzo 2005, n. 82, (di seguito, CAD), che, al comma 1, prevede le pubbliche amministrazioni “rendono fruibili i propri servizi in rete, in conformità alle Linee guida, tramite il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri”;

VISTO l’art. 8, comma 3, del decreto legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, che prevede che, per la progettazione, lo sviluppo, la gestione e l’implementazione del punto di accesso telematico di cui al predetto art. 64-bis del CAD, la Presidenza del Consiglio dei Ministri si avvale della società PagoPA S.p.a., istituita con d.P.C.M. 19 giugno 2019, ai sensi del comma 1 del medesimo art. 8 del d.l. 135/2018 (di seguito, PagoPA o Società);

VISTI lo schema di Linee guida di cui all’art. 64-bis del CAD, trasmesso al Garante dall’Agenzia per l’Italia digitale (di seguito, AgID) per il parere previsto dall’art. 71 del CAD – in una prima versione in corso di aggiornamento – il 3 maggio 2021, e la valutazione di impatto sulla protezione dei dati, trasmessa dalla Società il 26 giugno 2020, relativa alle caratteristiche dei trattamenti illo tempore effettuati, in fase di sperimentazione;

RILEVATO che il predetto punto di accesso telematico è costituito dall’App IO per dispositivi mobili (scaricabile gratuitamente dagli app store di Apple e Google) e dall’insieme dei sistemi e delle componenti tecnologiche messe a disposizione da PagoPA (di seguito, nel loro complesso, Piattaforma IO), ed è integrato con la piattaforma di cui all’art. 5, comma 2, del CAD (c.d. “Piattaforma PagoPA”);

VISTO il provvedimento n. 102 del 12 giugno 2020 (doc. web n. 9367375), con il quale il Garante, oltre a rilasciare il parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate adottato ai sensi dell’art. 176 del decreto legge 19 maggio 2020, n. 34 – convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, in materia di “tax credit vacanze” (c.d. bonus vacanze) – ha altresì autorizzato l’Agenzia delle entrate ad utilizzare la Piattaforma IO, ai sensi degli artt. 58, par. 3, lett. c), del Regolamento e 2-quinquiesdecies del Codice, nel rispetto delle seguenti prescrizioni:

l’utente deve essere informato della possibilità di disattivare le notifiche push e anche sui trattamenti effettuati in caso di attivazione delle stesse, assicurando, in ogni caso, che il contenuto delle notifiche si limiti ad avvisare l’utente della necessità di consultare l’App, senza fornire indicazioni di dettaglio relative al mittente e al contenuto del messaggio oggetto della notifica (punto 5.2 del provvedimento);

occorre garantire che la predetta App non preveda l’adesione automatica a tutti i servizi ivi disponibili e alla relativa messaggistica, adottando misure tecniche e organizzative necessarie a garantire agli utenti la possibilità di scegliere gli Enti erogatori da cui ricevere la predetta messaggistica (c.d. modalità opt-in), anche nella fase sperimentale (punto 5.3 del provvedimento);

deve essere assicurata la legittimità del trasferimento dei dati personali verso Paesi terzi, considerato che, per la gestione della Piattaforma IO, PagoPA si avvale di alcuni fornitori (tra cui Microsoft, Google, Instabug e Mixpanel) che effettuano trattamenti al di fuori dell’Unione europea (punto 5.4 del provvedimento);

VISTO, inoltre, il provvedimento n. 232 del 26 novembre 2020 (doc. web n. 9492345), con il quale il Garante si è espresso, ai sensi degli artt. 58, par. 3, lett. c), del Regolamento e 2-quinquiesdecies del Codice, in merito all’utilizzo dell’App IO per l’attuazione del Programma infrannuale di rimborso in denaro (c.d. cashback) di cui all’art. 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160, da parte del Ministero dell’economia e delle finanze, richiamando le predette prescrizioni e riservandosi ogni ulteriore valutazione all’esito della complessiva istruttoria in merito ai trattamenti effettuati nell’ambito dell’App IO quale punto di accesso telematico di cui all’art. 64-bis del CAD;

RILEVATO, altresì, che, da ultimo, l’art. 42, comma 2, del decreto legge 31 maggio 2021, n. 77, ha previsto che “le certificazioni verdi COVID-19 di cui all’articolo 9 del decreto-legge 22 n. 52 del 2021, sono rese disponibili all’interessato […] anche tramite il punto di accesso telematico di cui all’articolo 64-bis del decreto legislativo 7 marzo 2005, n. 82”, e che il Garante, nel rendere il parere con il provvedimento adottato in data odierna, sullo schema di decreto del Presidente del Consiglio dei Ministri di attuazione, che disciplina i trattamenti connessi all’attivazione della Piattaforma nazionale-DGC per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19, si è riservato di effettuare ulteriori approfondimenti sull’utilizzo dell’App IO;

CONSIDERATO che il predetto punto di accesso telematico rappresenta una delle c.d. piattaforme abilitanti al centro delle politiche di trasformazione digitale della pubblica amministrazione e che l’App IO, allo stato scaricata da circa 11,5 milioni di utenti, attualmente rende disponibili oltre 12 mila servizi erogati da più di 5 mila enti a livello nazionale e locale;

RITENUTO, pertanto, necessario assicurare che, nelle more dell’adozione delle citate Linee guida attuative dell’art. 64-bis del CAD e della valutazione complessiva del Garante sui trattamenti che si intendono effettuare attraverso il predetto punto di accesso telematico, i trattamenti di dati personali attualmente in essere, o che si intendono a breve avviare, attraverso la Piattaforma IO, avvengano comunque nel rispetto del Regolamento e del Codice;

CONSIDERATI i recenti approfondimenti istruttori di carattere tecnico-giuridico effettuati d’ufficio, per tali ragioni, sulla base dell’analisi del codice sorgente dell’App IO, della documentazione disponibile in rete, relativa anche alle librerie software richiamate all’interno dell’App, nonché dell’osservazione del comportamento tenuto dalla stessa durante la sua esecuzione su un dispositivo mobile, con particolare riguardo alle sue interazioni con i servizi di Google LLC (di seguito, Google), Mixpanel Inc. (di seguito, Mixpanel) e Instabug Inc. (di seguito, Instabug), società stabilite negli Stati Uniti, responsabili del trattamento di PagoPA, che si avvalgono anche di sistemi informatici (risorse elaborative e di memorizzazione) ivi ubicati e di ulteriori fornitori anch’essi stabiliti in Paesi terzi;

RILEVATI i gravi elementi di criticità emersi nel corso dei predetti approfondimenti istruttori, che richiedono un immediato esame dell’Autorità, in ragione dei rischi di elevata probabilità e gravità che presentano per i diritti e le libertà degli interessati di seguito illustrati:

A) le interazioni dell’App IO con i servizi di Google e Mixpanel: l’App IO, all’atto del primo avvio e durante la sua esecuzione sul dispositivo di un utente, archivia talune informazioni sullo stesso e, in alcuni casi, accede a informazioni già archiviate, per trasmetterle a Google e Mixpanel. In particolare:

con riferimento all’utilizzo delle librerie software di Google, è emerso che l’App IO, al suo primo avvio su un dispositivo Android, effettua in modo automatico l’inizializzazione dei servizi Firebase di Google, creando così un identificativo univoco associato all’installazione dell’App, che sarebbe necessario, nel caso in esame, solo ai fini dell’invio di notifiche push da parte di Google. Tale identificativo viene, invece, generato, per impostazione predefinita, in relazione ai dispositivi di tutti gli utenti dell’App IO, a prescindere dalla volontà di ciascuno di avvalersi di tale servizio di notifica, e viene utilizzato anche nell’ambito di alcune interazioni dell’App con i servizi Firebase Analytics di Google che consentono, quantomeno, di monitorare le installazioni dell’App IO sui dispositivi degli utenti. Ciò, senza che sia chiara la finalità di tale trattamento e, peraltro, senza che l’utente ne sia adeguatamente informato e sia messo nelle condizioni di esprimere, in modo consapevole, il consenso previsto dall’art. 122 del Codice;

con riguardo, invece, alle librerie software di Mixpanel, si osserva che, come anche evidenziato da PagoPA nella determinazione di acquisto di tale servizio, disponibile sul sito della Società, queste rappresentano uno “strumento di analisi dei prodotti tecnologici volto a comprendere il comportamento degli utenti dei singoli prodotti, a visualizzarne, segmentarne ed analizzarne i dati, al fine di misurarne il successo e la diffusione e individuarne, per questa strada, aree di miglioramento” ed “è in grado di offrire informazioni dettagliate e in tempo reale su come le persone interagiscono con l’App in modo da potersi concentrare sulle funzionalità di maggior impatto e innovare più velocemente i servizi digitali resi disponibili al cittadino sull’App”. Gli accertamenti tecnici effettuati hanno evidenziato che le librerie di tracciamento di Mixpanel, presenti all’interno dell’App IO, sono state configurate per inviare automaticamente e sistematicamente i dati relativi a una pluralità di eventi (generati nel corso dell’utilizzo dell’app da parte dell’utente) ai sistemi di Mixpanel, unitamente a un identificativo unico dell’utente. Ciò, senza che l’utente, anche in questo caso, ne sia adeguatamente informato e sia posto nelle condizioni di esprimere il consenso di cui all’art. 122 del Codice. Le informazioni inviate a Mixpanel riguardano, tra le altre, il bonus vacanze dell’Agenzia delle entrate (es. eventi relativi alla verifica dei requisiti per la richiesta del bonus e alla generazione dello stesso), il programma cashback del Ministero dell’economa e finanze (es. l’elenco delle transazioni che partecipano al programma cashback e i c.d. hashpan degli strumenti di pagamento elettronico degli utenti, ), nonché l’utilizzo della Piattaforma PagoPA (es. gli eventi relativi all’aggiunta di strumenti di pagamento al portafoglio dell’utente e all’esecuzione di pagamenti a favore di pubbliche amministrazioni e gestori di pubblici servizi). Al riguardo, occorre tener presente che l’identificativo univoco utilizzato, in base alle sue caratteristiche, è qualificabile come dato personale e può essere utilizzato per creare profili degli utenti dell’App IO e identificarli, essendo generato mediante una funzione deterministica, peraltro resa pubblica (cfr. repository GitHub dell’App IO), che, a partire dal codice fiscale di un utente, produce sempre lo stesso identificativo, anche in caso di utilizzo di un diverso dispositivo mobile, consentendo così la reidentificazione degli interessati. Ciò, in quanto tale identificativo presenta un elevato grado di associabilità al codice fiscale dell’utente, tenuto anche conto che, nel caso in esame, l’identificativo è trasmesso dall’App IO ai sistemi di Mixpanel unitamente all’indirizzo IP del dispositivo dell’utente e ad altre informazioni relative al suo dispositivo e agli eventi oggetto di tracciamento;

B) l’attivazione automatica dei servizi offerti all’interno dell’App IO: risulta accertato che, contrariamente a quanto già prescritto dal Garante con il citato provvedimento del 12 giugno 2020, all’atto del primo accesso da parte dell’utente, tutti i servizi resi disponibili da ogni ente presente nell’App IO, sia a livello nazionale che locale, e quelli che progressivamente diverranno disponibili, sono già attivi, per impostazione predefinita, e spetta all’utente provvedere a disattivare, in modo puntuale, i servizi non di interesse (c.d. modalità opt-out), il cui numero, di recente aumentato esponenzialmente, è pari, a oggi, a oltre 12 mila servizi riferibili a più di 5 mila enti. Non è stata, peraltro, implementata una funzionalità per consentire all’interessato di disattivare in blocco tutti i servizi presenti nell’App, né per disattivare tutti i servizi offerti da un singolo ente;

C) l’utilizzo delle notifiche push: l’utilizzo di tali notifiche per informare gli utenti della ricezione di un messaggio all’interno dell’App IO comporta inevitabilmente il trattamento di dati personali da parte dei gestori dei sistemi operativi dei dispositivi utilizzati (Apple e Google). Inoltre, è stato accertato che, per ciascun servizio attivo, risultano abilitate, per impostazione predefinita, oltre all’inoltro dei messaggi via e-mail, anche le funzionalità relative all’invio delle predette notifiche, con la conseguenza che l’identificativo univoco attribuito da Google agli utenti con dispositivi Android (cfr. lett. A), punto 1) viene generato anche laddove l’interessato decida di non avvalersi di tale modalità di notifica;

RITENUTO, alla luce di quanto sopra esposto, che, in particolare:

l’utilizzo delle librerie di Google e Mixpanel comporti, seppur in misura differente tra loro, un tracciamento che consente di ricondurre, a soggetti determinati identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso dei diversi servizi offerti all’interno dell’App IO, che non risulta strettamente necessario per erogare i servizi esplicitamente richiesti da un utente nell’ambito dell’App IO, né, con riferimento a Mixpanel, è necessario per il perseguimento delle finalità di “assistenza, debug e miglioramento dell’App IO” dichiarate da PagoPA (nell’informativa resa agli utenti e nella documentazione fornita al Garante). Ciò, peraltro, senza che siano chiare le finalità dei trattamenti effettuati attraverso tali strumenti e senza che l’utente sia adeguatamente informato e possa esprimere quindi con piena consapevolezza il consenso, previsto dall’art. 122 del Codice, per l’archiviazione di informazioni sul proprio dispositivo e per l’accesso a quelle già archiviate;

la sistematica raccolta e i successivi trattamenti delle sopraccitate informazioni, aventi carattere estremamente personale (es. transazioni economiche e hashpan degli strumenti di pagamento degli utenti, trattati da PagoPA nell’ambito del programma cashback in qualità di responsabile del trattamento per conto del Ministero dell’economia e delle finanze) e riferite a milioni di interessati, sui sistemi di Mixpanel, non risultino conformi, oltreché ai principi di liceità, correttezza e trasparenza e di limitazione della finalità, anche ai principi di minimizzazione e di integrità e riservatezza (quest’ultimo con particolare riguardo alla mancata adozione di misure adeguate a garantire la riservatezza degli hashpan degli strumenti di pagamento degli utenti) di cui all’art. 5, par. 1, del Regolamento;

il ricorso ai servizi offerti da Google, Mixpanel e Instabug, che a loro volta si avvalgono di numerosi fornitori stabiliti fuori dall’Unione europea, comporta inevitabilmente il trasferimento dei dati sopra descritti verso Paesi terzi (es. Stati Uniti, India, Australia), in relazione ai quali non è stata comprovata, allo stato, l’adozione di garanzie adeguate ai sensi degli artt. 44 e ss. del Regolamento. Ciò, tenuto conto anche che, indipendentemente dal luogo in cui sono ubicati i sistemi informatici su cui conservati i dati personali degli utenti dell’App IO, l’accesso remoto a tali sistemi di trattamento, da parte di soggetti stabiliti al di fuori dell’Unione europea, configura comunque un trasferimento di dati verso Paesi terzi (cfr., sul punto, le “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati”, adottate dal Comitato europeo per la protezione dei dati il 10 novembre 2020, spec. note 22 e 27);

l’attivazione, per impostazione predefinita, di tutti i servizi disponibili all’interno dell’App IO (oltre 12 mila), con la descritta abilitazione automatica della ricezione di notifiche push e di inoltro via e-mail, non consente agli utenti la possibilità di scegliere gli enti e i servizi per i quali ricevere le predette notifiche e i messaggi in modalità opt-in, elemento che deve ritenersi necessario, nel caso di specie, anche in considerazione della mancata adozione di modalità semplificate per la disattivazione degli stessi da parte degli utenti, in contrasto, quindi, con i principi di proporzionalità e di privacy by design e by default;

CONSIDERATA, su tale base, la necessità di intervenire urgentemente su tali aspetti per tutelare i diritti e le libertà degli interessati, nelle more della conclusione degli accertamenti in corso, in ragione del fatto che, come sopra rappresentato, i trattamenti in esame coinvolgono milioni di interessati e sono riferibili a sempre più numerosi servizi offerti da pubbliche amministrazioni e gestori di pubblici servizi attraverso l’App IO, che riguardano anche dati particolarmente delicati (es. transazioni economiche e strumenti di pagamento) e sulla salute, tenuto conto che è stato recentemente prospettato anche l’utilizzo dell’App IO per la messa a disposizione degli utenti delle certificazioni verdi Covid-19;

RITENUTO, dunque, in via d’urgenza – essendo la notifica di cui all’art. 166, comma 5, del Codice incompatibile con la natura e le finalità del presente provvedimento – di dover adottare le seguenti misure:

1) imporre a PagoPA, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, la limitazione provvisoria – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con:

a) i servizi di Google, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità;

b) i servizi di Mixpanel, sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati, già inviati a Mixpanel, effettuato per finalità diverse dalla mera conservazione degli stessi;

2) ingiungere a PagoPA, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare, entro trenta giorni dalla ricezione del presente provvedimento, misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché quelle necessarie ad assicurare le medesime garanzie nei confronti di coloro che risultano già utenti dell’App in relazione ai servizi attivati automaticamente;

3) ingiungere a PagoPA, ai sensi dell’art. 157 del Codice, di fornire all’Autorità:

a) entro trenta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle misure che intende adottare al fine di rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti effettuati mediante l’App IO che prevedono le interazioni di cui al precedente punto 1), lett. a) e b);

b) entro quaranta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2);

RISERVATA ogni altra determinazione, anche sanzionatoria, da adottarsi nei confronti dei soggetti a vario titolo coinvolti nei trattamenti di dati personali effettuati mediante la Piattaforma IO, sulla base di successivi approfondimenti e di interlocuzioni con la Società;

TENUTO CONTO che: l’inosservanza di un ordine di limitazione provvisoria del trattamento adottato dal Garante è soggetta alla sanzione penale di cui all’art. 170 del Codice e alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e), del Regolamento; l’inosservanza di un ordine adottato dal Garante ai sensi dell’art. 58, par. 2, del Regolamento è soggetta alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 6, del Regolamento; il mancato riscontro a una richiesta di informazioni di cui all’art. 157 del Codice, è soggetto, ai sensi dell’art. 166, comma 2, del Codice, alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

RITENUTO che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 del Garante concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, impone a PagoPA S.p.A. (CF/P.IVA 15376371009) la limitazione provvisoria – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con:

a) i servizi di Google LLC, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità per taluni servizi;

b) i servizi di Mixpanel Inc., sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati già inviati a Mixpanel effettuato, anche da parte di altri soggetti, per finalità diverse dalla mera conservazione degli stessi;

2) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a PagoPA S.p.A. di adottare, entro trenta giorni dalla ricezione del presente provvedimento, misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché ad assicurare le medesime garanzie nei confronti di coloro per i quali, essendo già utenti dell’App IO, sono stati attivati automaticamente servizi non richiesti in modo libero, esplicito e specifico;

3) ai sensi dell’art. 157 del Codice, ingiungere a PagoPA S.p.A., di fornire all’Autorità:

a) entro trenta giorni dalla ricezione del presente provvedimento, un riscontro, adeguatamente documentato, in merito alle misure che intende adottare al fine di rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti effettuati mediante l’App IO che prevedono le interazioni di cui al precedente punto 1), lett. a) e b);

b) entro quaranta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2);

4) dispone la trasmissione del presente provvedimento anche alla Presidenza del Consiglio dei Ministri, al Ministero dell’economia e delle finanze, al Ministero della salute, all’Agenzia delle entrate e all’AgID per le valutazioni di competenza;

5) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del decreto legislativo 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 9 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Telemarketing selvaggio: l’ordinanza-ingiunzione del Garante della privacy a Planet Group s.p.a.: 80.000 euro di sanzione amministrativa

Reading Time: 19 minutes

Finalmente veniamo a capo di uno dei filoni più importanti e resistenti del Telemarketing selvaggio, quelle aziende che ci chiamano sul telefono (cellulare!) per proporci di tutto, dal trading on line al cambio di gestore telefonico, da una nuova fornitura di gas e luce all’acquisto di generi alimentari on line (a me è successo anche questo).

Si chiama Planet Group, e ha contattato in poco meno di tre anni (dal 2016 al 2019) qualcosa come 47.981 utenze telefoniche per conto della TIM. Il Garante per la protezione dei dati personali ha aperto un’istruttoria, che si è conclusa con l’irrogazione di una sanzione pecuniaria di ben 80.000 euro. Sanzioni di minore entità sono state irrogate alla Plurima s.r.l. (5000 euro, anche in considerazione dello stato di grave crisi economica in cui versa dopo il ritiro ell’incarico di intermediario da parte di TIM) e Mediacom s.r.l. (15000 euro).

Ma leggete il testo di questa ordinanza-ingiunzione e come si è svolta l’istruttoria. E’ un testo molto lungo ma vi posso assicurare che ne vale la pena. Perché, checché ne pensiate, sia pure dopo anni, TUTTE le segnalazioni e i reclami inviati al Garante sortiscono il loro effetto. Ed è giusto tutelare la nostra privacy, perché siamo diventati merce, non persone. E allora avanti così.


Ordinanza ingiunzione nei confronti di Planet Group spa – 11 marzo 2021

Registro dei provvedimenti
n. 98 dell’11 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presiden-te, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati perso-nali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI, fra i provvedimenti del Garante a contenuto generale più rilevanti, le Linee guida in materia di attività promozionale e contrasto allo spam, 4 luglio 2013, doc. web n. 254234 e il provv. gen. 19 gennaio 2011, Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l’impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni, doc. web n. 1784528;

VISTI le numerose doglianze pervenute all’Autorità, contenute in segnalazioni e reclami, riguardanti anche la ricezione di chiamate promozionali indesiderate per conto di TIM s.p.a., alcune imputate direttamente agli operatori di “Planet Group”;

VISTI gli esiti degli accertamenti effettuati presso Tim s.p.a., destinataria del provvedimento, correttivo e sanzionatorio, del 15 gennaio 2020 [doc. web n.  9256486], nonché presso le socie-tà di call center – come Planet Group spa (di seguito indicata come: “Planet Group” o “la Società”) – incaricate dello svolgimento delle campagne promozionali;

VISTI la memoria del 13 novembre 2020 nonché il verbale di audizione di Planet Group del 30 novembre 2020;

VISTA la complessiva documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Le doglianze degli interessati

Sono pervenute all’Autorità, dal 2017 ai primi mesi del 2019 (peraltro, secondo una dinamica confermatasi anche nei mesi successivi), numerosissime doglianze (nell’ordine di varie centinaia), contenute in segnalazioni e reclami, in particolare riguardanti la ricezione di chiamate promozionali, per conto di TIM s.p.a. avvenute:

a) in assenza di consenso degli interessati; oppure:

b) nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni; ovvero

c) anche dopo l’esercizio del diritto di opposizione.

In taluni casi (XX; XX; XX) sono state evidenziate, proprio con riguardo agli operatori di Planet Group, telefonate reiterate particolarmente insistenti e poco attente alle esigenze ed impegni pur prospettate dagli interessati al momento del contatto.

2. L’attività istruttoria dell’Ufficio e relativi esiti.

In ragione di tale situazione l’Autorità ha ritenuto opportuno effettuare un’articolata attività istruttoria, al fine di acquisire maggiori elementi di valutazione rispetto alle suindicate doglianze, procedendo con accertamenti ispettivi presso Tim e i suoi partner, fra cui Planet Group, ove le operazioni sono state avviate il 27 marzo 2019. Successivamente (il 30 settembre 2019) l’Ufficio ha inviato una prima richiesta di informazioni integrative con riguardo alle modalità del trattamento, in relazione alla quale la Società ha fornito riscontro il 13 dicembre 2019. Sono state successivamente formulate alcune ulteriori richieste di informazioni riguardo ad altre doglianze (pervenute tramite segnalazioni e reclami), rispetto alle quali la Società ha fornito riscontri, rispettivamente, il 17 dicembre 2019 e il 1° luglio 2020.

Sulla base dei suddetti riscontri nonché della documentazione complessivamente acquisita, l’Ufficio, il 12 ottobre u.s., ha provveduto ad inviare a Planet Group comunicazione di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, esponendo quanto segue.

Planet Group- nel periodo compreso fra il 1° gennaio 2016 e il 13 dicembre 2019 – ha contattato, per conto dei propri committenti (fra cui Tim) un numero complessivo di 47.981 utenze telefoniche “referenziate” (ossia estranee alle liste di contattabilità fornite da Tim, ma suggerite dai soggetti contattati in esse inseriti).

Con riferimento a tali contatti, Planet Group non ha circostanziato né dimostrato lo status di “referenziato” per le singole utenze contattate “fuori lista” (inclusi, fra gli elementi, l’origine e le modalità esatte, anche temporali, di acquisizione dei dati in questione), ma si è limitata a definirle, genericamente ed indistintamente, quali utenze “referenziate”, nel sen-so sopra individuato (v. riscontro 13 dicembre 2019, cit.) e ad indicare l’utenza ‘referenziante’.

La medesima Società ha dichiarato di aver effettuato tale attività in base al proprio contrattualizzato ruolo di responsabile del trattamento, evidenziando di aver comunque interrotto siffatta raccolta di dati e il successivo utilizzo per i contatti promozionali e di aver previsto sessioni formative per i propri operatori, mirate al corretto trattamento dei dati (v. riscontro 13 dicembre 2019).

Nella citata comunicazione, l’Ufficio ha evidenziato che, con specifico riguardo ad alcune doglianze (Sigg.ri XX; XX; XX; XX; XX; XX; XX; XX; XX), la Società, in linea generale (salvo alcuni specifici contatti, per i quali ha affermato la non riferibilità a sé della linea chiamante utilizzata), non ha contestato le circostanze (data, ora, modalità, ossia telefonata con operatore) relative alle comunicazioni promozionali lamentate dagli interessati né il diniego del trattamento formulato dagli stessi (v. riscontro 1° luglio 2020, cit.). Inoltre, alcune telefonate riferite ad alcuni dei summenzionati interessati (XX; XX; XX; XX) sono state espressamente confermate da Planet Group (v. verbale 28 marzo 2019).

Con riguardo alle telefonate in questione, la Società ha dichiarato di aver agito in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento, evidenziando – fatta salvo il caso di XX – che le numerazioni contattate appartenevano alle liste ricevute da TIM spa per lo svolgimento delle proprie campagne promozionali (v. riscontro 1° luglio 2020, cit.). In quest’ottica, Planet Group ha indicato il codice dell’utenza come risultante nelle dette liste (eccezion fatta per l’utenza intestata a XX).

Con riferimento a XX, l’Ufficio ha dunque ritenuto – sulla base del riscontro fornito dalla Società – che il contatto, non essendo stato fornito da Tim, sia stato acquisito da Planet Group in altro modo. Può dunque affermarsi che tale utenza rientri nelle c.d. utenze ‘fuori lista’, di cui sopra e che non risultino in atti elementi riguardo all’eventuale acquisizione del necessario previo specifico consenso per la finalità promozionale.

Lo stesso – si è già detto nella nota del 12 ottobre u.s. – può dirsi per l’utenza di XX (v. riscontro 17 dicembre 2019, cit.), in relazione alla quale la Società non ha smentito né le telefonate lamentate, né l’opposizione effettuata dall’interessato nell’ambito delle stesse; non ha fornito alcun elemento sull’origine dei dati né riguardo al necessario consenso o ad altro idoneo presupposto di liceità. Analogo discorso vale anche per l’utenza di XX, che risulta contattata in base ad un’iniziativa non autorizzata di un operatore di codesta Società, circostanza genericamente indicata e non chiarita (v.: riscontro 30 gennaio 2019, reso dalla Società e veicolato da Tim spa nell’ambito dell’attività istruttoria avviata: provv. 15 gennaio 2020, par. 2.3).

È stato dunque rilevato come Planet Group abbia trattato i dati dei suindicati interessati (con particolare riguardo alle utenze fuor lista) in assenza del necessario specifico preventi-vo consenso per la finalità promozionale, ma anche di altro idoneo presupposto giuridico (v. artt.: 6, par.1, Regolamento – 130, Codice), con contestuale violazione del principio di li-ceità (art. 5, par. 1, lett. a, Regolamento).

Per altre utenze (XX; XX; XX), l’Ufficio ha osservato che – pur ipotizzando le stesse validamente consensate per le finalità promozionali di Tim – risulta esser stato effettuato un trattamento successivo all’opposizione chiaramente formulata, talora in forma reiterata, dagli interessati.

Precisato che l’opposizione – rilevante ai fini della normativa vigente in materia – è già quella eventualmente effettuata dall’interessato nel corso della telefonata e che va dunque puntualmente e tempestivamente recepita dal titolare/ responsabile del trattamento, si deve ribadire come la suddetta condotta integri la violazione del diritto di opposizione al trattamento per finalità di marketing (art. 21, par. i  2 e 3, del Regolamento) nonché del principio di correttezza (art. 5, par. 1, lett. a, Reg. cit.).

Per taluni altri interessati (in particolare, XX; XX; XX; XX) non può dirsi recepita l’opposizione effettuata, dato che la relativa utenza non è presente in black list (v. verbale 28 marzo 2019, cit.). Analoga lacuna (assenza in black list) è emersa per n.  45 utenze, risultate presenti nei sistemi della Società come destinatarie di telefonate promozionali, per le quali l’Ufficio, in sede ispettiva (v. verbale 29 marzo 2019), aveva richiesto di effettuare una verifica (v. riscontro del 12 aprile 2019, all. ti “1_Check_Controllo_Utenze” e “2_Check_Controllo_Utenze”).

Peraltro, in sede di attività istruttoria relativa ai trattamenti di dati effettuati per conto di Tim, è risultato che la Società ha effettuato attività telefonica in modo insistente e concentrato (fino a 4 telefonate al giorno: v. casi di XX e XX, riscontro 1° luglio 2020; fino a 155 telefonate verso un’altra utenza, peraltro nel ristretto periodo di un mese), violando anche in tal caso il richiamato principio di correttezza e ponendo in pericolo altresì il diritto alla tranquillità individuale, connesso a quello alla protezione dei dati (v. provv. 15 gennaio 2020, cit., par. 3.2).

Complessivamente, le violazioni sopra indicate hanno rivelato anche un non adeguato disegno e governo dei trattamenti e delle misure poste a presidio della conformità dei medesimi alla normativa, in contrasto anche con il fondamentale principio di privacy by design (art. 25, par. 1, del Regolamento).

Pertanto, l’Ufficio, con la menzionata comunicazione di avvio del procedimento, il 12 ottobre u.s., ha rilevato la contestabilità a Planet Group della violazione delle seguenti disposizioni di seguito indicate:

– art. 5, par. 1, lett. a), del Regolamento;

– art. 6, par.1, del Regolamento;

– 130 del Codice;

– art. 21, parr.  2 e 3, del Regolamento;

– art. 25, par. 1, del Regolamento.

Con la memoria difensiva presentata il 13 novembre u.s. nell’ambito del procedimento instaurato, Planet Group ha rappresentato che: “Per la grande maggioranza delle utenze di cui alla comunicazione in oggetto, e precisamente per 36.039 utenze contattate delle 47.981 contestate, come si evince dall’identità dei codici fiscali, presenti nelle liste delle utenze da contattare comunicate a Planet Group, che si ritrovano anche nei contratti attivati per conto di Telecom. In altri termini, è stato contattato, in seconda istanza e su indicazione del soggetto contattato, un soggetto terzo (familiare e/o convivente dello stesso) che ha stipulato il contratto su delega del soggetto contattato. Tale circostanza si evince dalle registrazioni dei contratti stipulati che, in considerazione del loro ‘peso’ non possono essere prodotte in tale sede e che saranno spedite, su supporto informatico, all’indirizzo dell’Autorità. Pertanto, deve ritenersi del tutto errato il numero delle utenze che sarebbero state contattate illegittimamente.”.

Con specifico riguardo alla violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, del Regolamento, la Società ha rappresentato che le stesse dovrebbero “trovare applicazione tenendo conto non già di 47.981 utenti, ma al più, laddove la scrivente società dovesse versare nell’impossibilità di reperire condizioni che legittimino il trattamento, esclusivamente di 11.943 utenti.”

Peraltro, Planet ha affermato di aver agito “nei confronti degli anzidetti 47.981 utenti …. in qualità di responsabile del trattamento, contattando numerazioni presenti nelle liste trasmesse da Telecom Italia e adoperando gli script assegnati dalla società titolare del trattamento”, chiedendo di tener conto “di tali aspetti … in sede di eventuale comminazione della sanzione, alla luce dell’art. 82, par. 2, lett. a) dove, tra gli elementi di cui occorre tener conto, si menziona il numero degli interessati.”, osservando, in via correlata che “in merito alla nozione di “danno”, preme rilevare che gli interessati non hanno subito alcun danno risarcibile e, quindi, deve concludersi che ‘il livello del danno da essi subito’ di cui all’ultimo inciso della disposizione in esame, sia nei fatti insussistente. …. Allo stesso tempo, in più occasioni la giurisprudenza di merito ha puntualizzato che le telefonate commerciali, salvo che non integrino gli estremi della molestia, non sono risarcibili: pertanto, nel caso di specie, gli unici casi in cui potrebbe essere astrattamente ipotizzabile un danno, potrebbero essere quelli dei segnalanti XX e XX.”.

Riguardo alla violazione dell’art. 21, parr. 2 e 3, del Regolamento, Planet Group ha evidenziato di aver “cooperato immediatamente con l’Autorità e … provveduto, sin nei giorni successivi all’ispezione, ad implementare misure informatiche e organizzative che potessero facilitare sia l’esercizio dei diritti degli interessati, sia la cancellazione delle utenze che avevano manifestato la propria volontà di non essere contattate per finalità commerciali.” . Inoltre, non contestando il fatto che  “45 utenze non risulterebbero essere state inserite in black list,” ha tuttavia evidenziato che “trattasi di un numero decisamente esiguo in proporzione alle lamentate e presunte violazioni ….” e  che “la mancata presenza in black list non dimostra in alcun modo – anche perché non risultano ulteriori doglianze – che tali soggetti interessati siano stati contattati successivamente alla loro richiesta di non ricevere ulteriori comunicazioni commerciali.”

La Società inoltre -con specifico riguardo alla contestata violazione dell’art. 25, par. 1, del Regolamento- ha eccepito la genericità della relativa motivazione nonché l’applicazione della norma in questione unicamente al titolare del trattamento e non anche al responsabile del trattamento, ruolo rivestito dalla medesima, a suo dire, nell’ambito delle campagne di TIM.

Nell’ambito dell’audizione tenutasi il 30 novembre u.s., Planet Group, riportandosi interamente a quanto già dichiarato con la nota del 13 novembre 2020, ha rappresentato che:

– “A riprova del corretto comportamento assunto, nonché per una corretta quantificazione del nume-ro degli utenti contattati”, avrebbe provveduto “a depositare memorie informatiche (nel numero totale o a campione significativo, in base a quanto tecnicamente possibile per la Società e quanto di conseguenza riterrà stabilire l’Autorità) delle registrazioni telefoniche intrattenute con gli utenti contattati”; documentazione che, tuttavia, non risulta pervenuta a questa Autorità;

– con riferimento all’applicazione dell’eventuale sanzione: “l’art. 25 GDPR sulla privacy by design … pare un riferimento giuridico carente delle necessarie motivazioni, in quanto la condotta societaria si è conformata al proprio ruolo di responsabile del trattamento – e non titolare – ed ha effettuato le telefonate sul presupposto della necessaria base giuridica.”

Inoltre, con espresso riferimento al criterio sanzionatorio del ‘danno’ di cui all’art.83, par.2, lett. a), Planet Group ha evidenziato:

– di ritenere esiguo il numero dei soggetti contattati e inconsistenti i danni, comunque difficili da accertare, eventualmente arrecati agli interessati, citando nuovamente alcune sentenze in materia di responsabilità da violazione della normativa in materia;

–  che: “ …. non risulta …. che nessun soggetto abbia rivolto nei confronti della medesima alcuna pretesa risarcitoria, nè abbia esperito azione risarcitoria…… e che non sembra emergere, nella fattispecie, alcun allarme sociale riguardo al comportamento generale della società nell’ambito della ge-stione dei dati personali.”

3. Valutazione della complessiva condotta della Società

Va evidenziato preliminarmente che, nella fattispecie concreta, Planet Group è da ritenersi di fatto titolare, insieme a Tim, dei trattamenti promozionali rivolti alle numerazioni “fuori lista” o “referenziate”, con la conseguente applicabilità di principi ed obblighi in materia di pro-tezione dei dati; in tal senso, non assume rilievo qualificare il suo ruolo come titolare autonomo o invece congiunto a Tim.

Dagli atti infatti è emerso come Planet Group abbia contribuito a stabilire sia le finalità pro-mozionali sia le modalità di contatto (v. art. 28 del Regolamento), organizzando quest’ultime in assenza di istruzioni operative formalizzate dalla committente; modalità di fatto poi accettate da Tim, che ha recepito i contratti conclusi e introitato le relative utilità. Planet Group risulta aver operato eccedendo, di fatto, rispetto al ruolo di mero responsabile “del trattamento formal-mente affidato per l’esecuzione di campagne promozionali rivolte agli interessati presenti nelle liste TIM e determinando “finalità e mezzi del trattamento”, nell’ambito di un disegno unitario e di fatto condiviso, perlomeno riguardo alla finalità di acquisizione di nuovi clienti e nei suoi effetti operativi, con TIM (v. provv. 1° febbraio 2018, doc. web n. 7810723). Ciò anche in considerazione della circo-stanza inconfutabile, che l’utilizzo di numerazioni “fuori lista” era funzionale al perseguimento di un interesse condiviso, sia di TIM, sia dei suoi partner, dal quale ognuno traeva un vantaggio di natura economica”: v. provv. 15 gennaio 2020, cit., par. 3).

Comunque, anche ove si riconoscesse a Planet Group il ruolo di responsabile (anziché titola-re o contitolare) del trattamento, la valutazione della sua condotta in termini di illiceità non muterebbe. Infatti, con specifico riguardo alle telefonate effettuate, nei confronti di utenze “fuori lista”, è risultato che sono stati contattati soggetti “referenziati”, in base a una costante prassi operativa riconducibile a una cosciente scelta aziendale della Società e non riferibile ad eccezionali iniziative dal personale.

Al contempo, è però chiaro come vada distinto il ruolo dei call center che, come Planet, han-no eseguito le campagne promozionali da quello del committente (Tim, nella fattispecie), invero preponderante e ben più incisivo, con riguardo alle dinamiche e prassi operative condivise nonché all’introitamento dei profitti derivanti dalle campagne promozionali.

Occorre poi riproporre le considerazioni già formulate da questa Autorità con il provv. 15 gennaio 2020 (par. 3.1., cit.). In particolare, “non può invocarsi quale base giuridica …. quella del ‘legittimo interesse’ alle attività di marketing, magari unitamente al presunto interesse del soggetto ‘referenziante’, che coinvolge nella promozione l’amico o il parente. Va poi evidenziato che il legittimo interesse, di cui all’art. 6, par. 1, lett. f), del Regolamento – già previsto sia dall’abrogata direttiva 95/46/CE, nonché dal Codice previgente alle modifiche apportatevi dal d.lgs. n. 101/2018 (d.lgs. n. 196/2003, art. 24, comma 1, lett. g) – non può surrogare – in via generale – il consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso – come già la direttiva 95/46/CE all’art. 7, comma 1, lett. f) – lo ammette solo ‘a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali’. … In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.”.

Va inoltre ribadito anche nel caso di Planet Group quanto già chiarito nel citato provv. 15 gennaio 2020, ossia che: “L’applicazione della base giuridica del legittimo interesse presuppone quindi la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall’Autorità di controllo) di quest’ultimo sui diritti, libertà e meri interessi degli interessati (nello spe-cifico, i destinatari delle comunicazioni promozionali non assistite dal consenso). In tale confronto, è necessaria l’attenta ponderazione dell’impatto del trattamento, che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato”(1).

Peraltro, richiamando sempre il provv. 15 gennaio 2020: “il titolare del trattamento non può ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso. Poiché ha l’obbligo di comunicare [nell’informativa rilasciata all’interessato] la base legittima al mo-mento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati (così v. Linee guida del Gruppo Art. 29 sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01)”.

Pertanto -qualora non ricorrano i sopra delineati presupposti per il legittimo interesse e ad eccezione delle ipotesi del c.d. “soft spam” (art. 130, comma 4, Codice), nonché del sistema di “opt-out” per i dati presenti negli elenchi pubblici- si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo consenso informato, libero, specifico e documentato degli interessati(2).

Si deve rilevare peraltro come Planet Group abbia rappresentato, riguardo alle utenze ‘fuori lista’, che è stato chiamato “in seconda istanza e su indicazione del soggetto contattato, un soggetto terzo (familiare e/o convivente dello stesso) che ha stipulato il contratto su delega del soggetto contattato.

Il meccanismo di delega in questione non è idoneo a surrogare l’adempimento dell’obbligo di acquisizione di un previo libero e specifico consenso al marketing da parte del soggetto contat-tato, in seconda battuta, in quanto delegato (per es. ad attivare un prodotto o servizio) dal primo soggetto contattato (presente nelle liste della committente), né può valere come altra idonea base giuridica, ed infatti non è ricompreso nell’elenco delle condizioni di liceità di cui all’art. 6 del Regolamento. In tale prospettiva, non assume alcun rilievo che Planet Group non abbia poi prodotto le memorie informatiche atte a comprovare siffatto svolgimento dei contatti telefonici. In particolare, tale meccanismo non può integrare – di regola – la condizione del ‘legittimo interesse’ (come sopra esposto nella sua corretta dimensione e limiti operativi).

Differentemente da quanto asserito ed argomentato da Planet Group, la condotta della Società – al pari delle analoghe attività promozionali effettuate da altri call center – determina alarme sociale, ed è infatti oggetto di numerosissime doglianze (ancora oggi connotandosi come la problematica più ricorrente fra quelle pervenienti a questa Autorità) e fonte di conseguenti, e talora complesse, attività istruttorie, nonostante i reiterati provvedimenti, sia a carattere gene-rale sia diretti a determinati titolari.

Inoltre, in alcuni casi concreti, è certamente ravvisabile – anche al riguardo l’argomentazione della Società non risulta condivisibile – un danno serio ed apprezzabile, la cui concreta configurabilità, quanto ai presupposti ed anche alla relativa quantificazione, anche ai fini risarcitori, evidentemente spetta alla competente valutazione dell’autorità giudi-ziaria.

Con specifico riguardo al mancato tempestivo recepimento del diritto di opposizione,  è necessario ricordare che, ai sensi dell’art. 12, comma 3, del Regolamento: “Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.  Ciò vale per tutte le istanze di esercizio dei diritti degli interessati, ma assume rilevanza ancor maggiore – nell’ottica del contrasto del marketing indesiderato – con specifico riguardo alle istanze di opposizione al trattamento per finalità di marketing, oggetto non a caso della maggior parte delle più critiche doglianze pervenute e pervenienti tuttora all’Autorità.

Va peraltro evidenziato come risultino gravi i molteplici casi di contatto reiterato e insistente con la connessa violazione del diritto di opposizione al trattamento, ma anche del menzionato fondamentale principio di correttezza, in ragione di modalità che appaiono invasive dei fondamentali diritti alla riservatezza e alla tranquillità individuale. Va inoltre evidenziato che, per quanto in atti, non risulta che la Società – a differenza di altri call center incaricati da Tim – abbia adottato misure per provare a governare – e tempestivamente comprovare – il fenomeno delle chiamate fuori lista, conducendolo nei corretti binari della normativa vigente.

In base a quanto complessivamente acquisito, l’Autorità ritiene dunque – conformemente al-le valutazioni già formulate con la citata comunicazione dell’Ufficio del 12 ottobre u.s. – che siano ravvisabili nella fattispecie le seguenti violazioni in capo a Planet Group:

– art. 5, par. 1, lett. a), del Regolamento;

– art. 6, par.1, del Regolamento;

– 130 del Codice;

–  art. 21, par. i 2 e 3, del Regolamento, il cui disvalore può ritenersi assorbente rispetto alla violazione dell’art. 12, par.3, Regolamento;

– art. 25, par. 1, del Regolamento.

Pertanto si ritiene, ai sensi dell’art. 58, par. 2, lett. d) ed f), del Regolamento, di dover adot-tare nei confronti di Planet Group la limitazione definitiva dei trattamenti sopra descritti, in-giungendo altresì di conformarli alla disciplina vigente.
4.Ordinanza-ingiunzione per l’applicazione della sanzione amministrativa pecuniaria

Le violazioni, come sopra indicate, impongono anche l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Planet Group della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e  5, del Regolamento (pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Tali violazioni risultano integrate in relazione a trattamenti collegati effettuati da Planet Group, per cui si ritiene applicabile la disposizione di maggior favore prevista dall’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, sono state violate, con dolo o colpa, varie disposizioni del Regolamento, la sanzione comminata per la violazione più grave (di cui all’art. 83, par. 5, lett. a e b, del Regolamento) può assorbire quella applicabile per la violazione meno grave (v. art. 83, par. 4, lett. a, del Regolamento).

Per la determinazione dell’ammontare della sanzione nella fattispecie concreta occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento, che, nella presente fattispecie, possono considerarsi nei termini seguenti:

– la limitata durata della violazione (art. 83, par. 2, lett. a), del Regolamento);

– il numero limitato di interessati coinvolti, se relazionato alla notevolissima mole di telefonate promozionali effettuate dalle società di call center, partner di TIM (art. 83, par. 2, lett. a), cit.);

– la dimensione soggettiva della condotta, che deve ritenersi non dolosa, ma colposa, con par-ticolare riferimento al carattere reiterato e insistente di alcuni contatti telefonici e alla man-cata tempestiva attuazione del diritto di opposizione al trattamento (art. 83, par. 2, lett. b), del Regolamento);

– la dichiarata interruzione delle attività di contatto dei soggetti ‘referenziati’ sin dal 9 ottobre 2019, in base al divieto comunicatole da Tim (art. 83, par. 2, lett. c), del Regolamento);

– l’assenza di precedenti violazioni e provvedimenti dell’Autorità a carico della Società (art. 83, par. 2, lett. e), del Regolamento);

– la pronta cooperazione con l’Autorità nel corso degli accertamenti ispettivi e del procedi-mento (art. 83, par. 2, lett. f), del Regolamento);

– le categorie di dati personali interessate dalla violazione, essenzialmente individuabili in meri dati di contatto (art. 83, par. 2, lett. g), del Regolamento);

–  l’attuale gravissima crisi economica e finanziaria, anche a causa dell’emergenza sanitaria in corso (art. 83, par. 2, lett. k, del Regolamento).

A tali circostanze attenuanti si contrappongono le seguenti circostanze aggravanti:

–  la mancata adozione, per quanto in atti, di misure finalizzate a disciplinare e governare le attività di contatto di utenze ‘fuori lista’ prima che, il 9 ottobre 2019, subentrasse il divieto di Tim riguardo tale attività (art. 83, par. 2, lett. c), del Regolamento);

– la difformità della condotta della Società rispetto alla consistente attività provvedimentale, con la quale sono stati forniti indicazioni e chiarimenti in materia (v. provvedimenti generali e Linee Guida citati nel presente provvedimento), e la costante interlocuzione dell’Autorità con i soggetti che operano nel settore del telemarketing – possono ragionevolmente far ritenere raggiunta da tutti gli operatori (inclusa Planet Group), una sufficiente consapevolezza delle disposizioni che devono essere indefettibilmente osservate (art. 83, par. 2, lett. k, cit.).

In base al complesso degli elementi sopra indicati, in applicazione dei principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa ma anche della gravità delle condotte riscontrate, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Planet Group la sanzione amministrativa del pagamento di una somma di euro 80.000,00 (ot-tantamila) pari allo 0,40 % della sanzione edittale massima (euro 20.000.000).

Tale percentuale tiene conto, in termini comparativi con analoghe fattispecie, dell’elevato numero di utenze referenziate trattate senza base giuridica, dell’accertamento di gravi violazioni ulteriori, in particolare del diritto di opposizione e del principio di correttezza nella ge-stione di alcune telefonate promozionali; nonché della mancata adozione di apposite tempesti-ve misure per rimediare a tali violazioni

Nel caso in argomento si ritiene che debba applicarsi poi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto degli accertamenti, vale a dire il fenomeno del marketing indesiderato per conto delle compagnie telefoniche, oggetto, come sopra osservato, di numerosissime doglianze e conseguenti istruttorie di quest’Autorità, nonostante i reiterati provvedimenti sia a carattere generale sia diretti a determinati titolari.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione e adotta le seguenti misure correttive nei confronti di Planet Group S.p.a., con sede legale in Milano, viale Monza n. 265 (p.i. 07483620964):

a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone la limitazione definitiva del trattamento dei dati personali degli interessati, per i quali non disponga di un consenso libero e specifico per la finalità promozionale o di un’altra idonea e documentata base giuridica ai sensi degli artt. 6 e 7 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge l’implementazione di misure tecniche ed organizzative tali da assicurare:

1. il trattamento per la finalità promozionale solo dei dati personali per i quali disponga di un consenso libero e specifico per tale finalità o di un’altra idonea e documentata base giuridica ai sensi degli artt. 6 e 7 del Regolamento;

2. la gestione corretta, nonché documentata adeguatamente e tempestivamente, del fe-nomeno delle chiamate eventualmente rivolte ad utenze c.d. “fuori lista”;

3. l’inserimento in black list, senza ingiustificato ritardo, dei dati degli interessati che in qualunque modo si oppongano al trattamento nonché la pronta comunicazione al committente della campagna promozionale;

4. la verifica documentabile, ad intervalli regolari, dell’effettiva registrazione, senza in-giustificato ritardo, della volontà degli interessati riguardo all’attività promozionale e dell’effettivo conseguente inserimento in black list delle numerazioni raggiunte da contatti commerciali con esito di diniego al trattamento;

5.  modalità corrette e non invasive nello svolgimento delle telefonate promozionali e nell’eventuale utilizzo di altri mezzi al medesimo fine;

c)  ai sensi dell’art.58, par.1, lett. a), del Regolamento nonché dell’art. 157 del Codice, ingiunge alla medesima Società di fornire, nel termine di 30 giorni dal ricevimento del presente provvedimento, riscontro documentato con riguardo alle iniziative intraprese al fine di dare attuazione a quanto disposto ai punti 1 e 2; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, lett. e, del Regolamento;

ORDINA

a Planet Group spa, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 80.000,00 (ottantamila), a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 80.000,00 (ottantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7 del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione sul sito del Garante del presente provvedimento, e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell’interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 

____________

(1) V., in tal senso: Relazione annuale 2018, p. 107, il provv. 22 maggio 2018, doc. web n. 8995274, nonché il Parere del Grup-po Art. 29, n. 6/2014,– WP 217, p. 35, secondo il quale l’istituto del legittimo interesse “garantisce una maggiore protezione dell’interessato; in particolare, stabilisce che si tengano in considerazione non solo i diritti e le libertà fondamentali dell’interessato, ma anche il suo ‘interesse’ – mero e non qualificato. … tutte le categorie di interessi dell’interessato devono essere prese in considerazione e valutate comparativamente rispetto a quelle del responsabile del trattamento, nella misura in cui siano pertinenti nell’ambito del campo di applica-zione della direttiva”.
(2) In tal senso, v.: il citato provv. del 15.1.2020, nonché, in precedenza, le Linee Guida del Garante in materia promozionale, 4 luglio 2013, e ancor prima, il provv. gen. 19 gennaio 2011, “Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni”, doc. web n. 1784528.

Caso Grillo: per il Garante della Privacy la pubblicazione del video è un atto illecito

Reading Time: < 1 minute

Caso Grillo: Garante privacy, diffusione video è atto illecito

In relazione alla circostanza – riferita dai genitori della ragazza presunta vittima di stupro attraverso il loro legale – che frammenti del video, relativo all’oggetto del procedimento penale, vengano condivisi tra amici, il Garante per la protezione dei dati personali richiama l’attenzione sul fatto che chiunque diffonda tali immagini compie un illecito, suscettibile di integrare gli estremi di un reato oltre che di una violazione amministrativa in materia di privacy.

Roma, 28 aprile 2021

Il Garante per la Privacy (se non ci fosse bisognerebbe inventarlo) chiude Tik Tok ai minori di cui non sia stata accertata l’età anagrafica

Reading Time: < 1 minute

Il Garante per la protezione dei dati personali ha disposto nei confronti di Tik Tok il blocco immediato dell’uso dei dati degli utenti per i quali non sia stata accertata con sicurezza l’età anagrafica.

L’Autorità ha deciso di intervenire in via d’urgenza a seguito della terribile vicenda della bambina di 10 anni di Palermo.

Il Garante già a dicembre aveva contestato a Tik Tok una serie di violazioni: scarsa attenzione alla tutela dei minori; facilità con la quale è aggirabile il divieto, previsto dalla stessa piattaforma, di iscriversi per i minori sotto i 13 anni; poca trasparenza e chiarezza nelle informazioni rese agli utenti; uso di impostazioni predefinite non rispettose della privacy.

In attesa di ricevere il riscontro richiesto con l’atto di contestazione, l’Autorità ha deciso comunque l’ulteriore intervento odierno al fine di assicurare immediata tutela ai minori iscritti al social network presenti in Italia.

L’Autorità ha dunque vietato a Tik Tok l’ulteriore trattamento dei dati degli utenti “per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico”.

Il divieto durerà per il momento fino al 15 febbraio, data entro la quale il Garante si è riservato ulteriori valutazioni.

Il provvedimento di blocco verrà portato all’attenzione dell’Autorità irlandese, considerato che recentemente Tik Tok ha comunicato di avere fissato il proprio stabilimento principale in Irlanda.

Roma, 22 gennaio 2021


E ORA CHIUDETE QUEL CAVOLO DI TIK TOK, Si’??

Garante della Privacy – Omicidio a Roma: i media rispettino il codice di procedura penale

Reading Time: < 1 minute

In seguito alla pubblicazione di numerose immagini dei presunti autori di un omicidio, avvenuto a Roma, il Garante ritiene opportuno ricordare che – fermo restando il diritto-dovere di informare su fatti di interesse pubblico – il giornalista deve comunque attenersi a quanto stabilito dalla specifica normativa vigente in materia.

Oltre a quanto previsto dalle Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica, l’art. 114, del Codice di procedura penale vieta “la pubblicazione dell’immagine di persona privata della libertà personale ripresa mentre la stessa si trova sottoposta all’uso di manette ai polsi ovvero ad altro mezzo di coercizione fisica, salvo che la persona vi consenta”.

Roma, 25 ottobre 2019

Tratto da: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9170332

Il senso di Pippo Civati per la Privacy

Reading Time: 3 minutes
Screenshot da www.civati.it

Io Pippo Civati non lo capisco. E non capirò mai neanche il perché abbia un seguito femminile così acceso e caloroso. Ma parliamo d’altro.

Ha inserito un sondaggio nel suo sito personale. Scopo del sondaggio dovrebbe essere quello di raccogliere il maggior numero possibile di opinioni sull’opportunità di votare la fiducia o meno in Parlamento al neogoverno Renzi e a tutte le renzine e ai renzini che ne fanno parte con malcelato orgoglio. In breve, fiducia o abbandono delle fila del PD. Che, voglio dire, dovrebbe anche saperlo un gocciolino da se solo, invece di chiederlo agli altri.

Per fare una cosa di questo genere basterebbe un formulario a due risposte, visto che tertium non datur e che ubi maior minor cessat.

Macché, sono ben UNDICI domande quando ne sarebbe bastata una, la prima.

Già la seconda è particolarmente fastidiosa: “Indipendentemente dalla tua risposta alla domanda 1, quali ragioni reputi valide per votare la fiducia?” Ma come sarebbe a dire “Indipendentemente dalla mia risposta alla domanda 1”?? Se io dovessi dire che la fiducia a Renzi non va votata come faccio a reputare valide alcune ragioni per farlo? In effetti tra le risposte possibili (max. 3) ce n’è una che dice “Non ci sono ragioni valide che giustifichino il Si alla fiducia” e “Sì”, ovviamente, è scritto anche senza accento.

La terza domanda è in par condicio: “Indipendentemente dalla tua risposta alla domanda 1, quali ragioni reputi valide per non votare la fiducia?”, quindi rovesciate il ragionamento di cui sopra e avrete le risposta.

Dalla quinta scelta in poi si va sul personale. Ben 7 domande su 11, non c’è male.

Si inizia con il classico uomo-donna, per proseguire con l’indicazione delle fasce d’età (sono compreso nella penultima, “tra i 46 e i 60 anni“, appena scendo negli inferi dell’ultima fascia, “sopra i 60 anni” vado direttamente a Lourdes su un wagon-lit della Croce Rossa). “In quale provincia vive?” “Qual è il suo titolo di studio?” Chissà che cosa cambia nella legittimità dell’espressione di un’opinione tra un laureato di Trento e un contadino con la licenza media di Ragusa (come se a Trento non ci fossero persone con la licenza media e come se a Ragusa non ci fossero laureati!).

Splendido il parco-risposte alla domanda n. 9 “Qual è la sua attuale occupazione?” in cui è contemplata l’opzione “Non sa”. Ma chi è che NON SA quale sia la sua occupazione?? Voglio dire, chi è che esce la mattina di casa e va a esercitare una non-attività in un non-luogo? Giusto il protagonista di “Un giorno di ordinaria follia“!
E alla fine di tutto “Per favore, inserisca la sua mail.”

Ah, ecco cosa volevi, Civati, non volevi la mia opinione, volevi la mia mail. Non ti bastava il mio anonimato o registrare un semplice indirizzo IP di provenienza. Cos’è, vuoi scrivere a tutti quelli che non sanno quale occupazione hanno? Quelli che sono disoccupati a loro insaputa??

Meno male che c’è un pistolottino sulla Privacy da leggere. Dice così: “I dati personali, anche di natura sensibile, conferiti dall’Utente, saranno trattati esclusivamente per finalità di registrazione dell’Utente e per comunicare con l’Utente registrato.”

Ma è proprio quello che mi preoccupa. Che qualcuno “registri” me quando invece dovrebbe esclusivamente registrare le mie risposte. E anche che qualcuno desideri “comunicare” con me. Perché mai dovrebbe farlo? Vuole sapere se per caso non so che numero porto di scarpe? O se non so chi ho votato alle ultime elezioni?

Va bene, facciamo così: io rispondo e do il mio indirizzo di posta elettronica. Poi gliene chiedo la cancellazione. Se non rispondono o non ottemperano vado dal Garante della Privacy. Seguite il blog, è solo l’inizio.

 

Pubblicità indesiderata: parzialmente accolto un mio ricorso

Reading Time: 4 minutes

Registro dei provvedimenti
n. 260 del 20 settembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA l’istanza ex artt. 7 e 8 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) inviata da Valerio Di Stefano nei confronti di The Writer, con la quale l’interessato, nel contestare la ricezione di una comunicazione promozionale inviata al proprio indirizzo di posta elettronica, ha chiesto di avere conferma dell’esistenza di dati personali che lo riguardano e di ottenere la loro comunicazione in forma intelligibile, di conoscerne l’origine, le finalità, le modalità e la logica su cui si basa il loro trattamento, nonché i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione degli stessi; visto che il ricorrente si è altresì opposto all’ulteriore trattamento di tali dati, di cui ha sollecitato la cancellazione;

VISTO il ricorso pervenuto l’8 maggio 2012 nei confronti di Planet Book Service di Mario Manna & C. s.a.s. (che è risultato essere il soggetto giuridico titolare del trattamento, di cui “The Writer” è un marchio commerciale), con il quale Valerio Di Stefano, nel sostenere di non aver ricevuto alcun riscontro dalla parte resistente, ha ribadito le proprie richieste e ha chiesto, altresì, di porre a carico della stessa le spese del procedimento;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 21 giugno 2012 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), ha invitato il titolare del trattamento a fornire riscontro alle richieste dell’interessato, nonché la nota del 21 giugno 2012 con la quale questa Autorità ha disposto la proroga del termine per la decisione sul ricorso ai sensi dell’art. 149, comma 7, del Codice;

VISTA la nota pervenuta via e-mail il 12 luglio 2012 con la quale la resistente, nello scusarsi per il ritardo nel fornire riscontro alle istanze del ricorrente nonché per l’avvenuto invio delle comunicazioni promozionali, ha affermato che il nominativo del ricorrente, di cui non è in grado di dire nulla in ordine alla sua origine, è stato cancellato dall’archivio della società e l’interessato “non riceverà alcuna comunicazione ulteriore”;

VISTA la nota pervenuta via e-mail il 19 luglio 2012 con la quale il ricorrente, nel sottolineare la tardività del riscontro ottenuto dalla controparte, ne ha d’altra parte lamentato l’incompletezza, con particolare riferimento alla mancata precisazione circa l’eventuale comunicazione dei propri dati a soggetti terzi;

RILEVATO che, alla luce della documentazione in atti, la società resistente ha fornito solo un parziale riscontro alle istanze dell’interessato; ritenuto pertanto di dover accogliere parzialmente il ricorso e di dover ordinare alla resistente, ai sensi dell’art. 150, comma 2, del Codice, di comunicare al ricorrente e a questa Autorità l’origine dei dati personali che lo riguardano (almeno con riferimento alle fonti di acquisizione degli indirizzi di posta elettronica correntemente usati nell’attività di marketing) e i soggetti o categorie di soggetti ai quali gli stessi siano stati eventualmente comunicati, entro e non oltre trenta giorni dalla ricezione del presente provvedimento;

RITENUTO invece di dover dichiarare non luogo a provvedere sul ricorso ai sensi dell’art. 149, comma 2, del Codice in ordine alle restanti richieste, avendo la società resistente fornito, seppure solo nel corso del procedimento, un sufficiente riscontro alle rimanenti istanze dell’interessato affermando, in particolare (con dichiarazione della cui veridicità l’autore risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni e notificazioni al Garante”) che nessuna ulteriore comunicazione promozionale sarà più inviata all’interessato;

VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell’ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l’ammontare delle spese e dei diritti inerenti all’odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di Planet Book Service di Mario Manna & C. s.a.s., nella misura di 300 euro, previa compensazione della residua parte per giusti motivi;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

a) accoglie parzialmente il ricorso e ordina alla società resistente di comunicare al ricorrente e a questa Autorità l’origine dei dati personali che lo riguardano e i soggetti o le categorie di soggetti ai quali gli stessi siano stati eventualmente comunicati, entro e non oltre trenta giorni dalla ricezione del presente provvedimento;

b) dichiara non luogo a provvedere sul ricorso in ordine alle restanti richieste;

c) determina nella misura forfettaria di euro 500, l’ammontare delle spese del procedimento posto, nella misura di 300 euro, previa compensazione della residua parte per giusti motivi, a carico di Planet Book Service di Mario Manna & C. s.a.s., la quale dovrà liquidarli direttamente a favore del ricorrente.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 settembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Ce l’abbiamo fatta! Inviati 200 euro a favore delle popolazioni terremotate dell’Emilia

Reading Time: < 1 minute
Cliccare sull'immagine per ingrandirla

Bene, allora possiamo dire tranquillamente che ce l’abbiamo fatta.

Finalmente ho ricevuto il bonifico di 200 euro per la pubblicità indesiderata (si tratta di un rimborso spese stabilito dal Garante per la protezione dei dati personali) e di cui vi ho parlato per la prima volta qui:

https://www.valeriodistefano.com/un-ricorso-al-garante-della-privacy-per-le-popolazioni-terremotate-dellemilia.html

e di cui trovate il testo del provvedimento di qua

https://www.valeriodistefano.com/e-mail-pubblicitarie-non-richieste-200-euro-per-i-terremotati-dellemilia.html.

Come promesso ho girato subito il tutto a favore dei terremotati dell’Emilia attraverso l’“Associazione Italiana Fundraiser ASSIF”.

Volevo far presente che un ricorso presso il Garante della Privacy, qualunque sia il suo esito, costa COMUNQUE 150 euro (si tratta di diritti di segreteria), ma fare un bonifico di soli 50 euro, per una causa del genere, mi sembrava un po’ da pidocchi, quindi ho preferito devolvere la cifra intera.

La vicenda e’ iniziata il 6 giugno 2012 e si e’ conclusa 5 mesi e 20 giorni dopo.

Vi riporto lo screenshot del bonifico. Va bene così, no?

PS: I 200 euro li scalo dalla dichiarazione dei redditi e ci mancherebbe anche altro.

E-mail pubblicitarie non richieste: 200 euro per i terremotati dell’Emilia

Reading Time: 4 minutes

E’ stata pubblicato sul bollettino del Garante della Privacy il provvedimento emesso a seguito del mio ricorso presentato tempo fa per avere ricevuto una mail di propaganda (fatti di cui parlo qui).

Il Garante, come ho già detto, ha riconosciuto una liquidazione delle spese a mio favore nella misura di 200 euro.

Non appena tale liquidazione mi verrà versata (a tutt’oggi non l’ho ricevuta) sarà interamente devoluta alle popolazioni terremotate dell’Emilia e ve ne darò conto.

Preciso che il ricorso al Garante della Privacy costa 150 euro di diritti di segreteria, che devono essere comunque versati all’atto della presentazione, indipendentemente dall’esito del ricorso.

da: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2075810

[doc. web n. 2075810]

Provvedimento del 20 settembre 2012

Registro dei provvedimenti
n. 255 del 20 settembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA l’istanza ex artt. 7 e 8 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) inviata da Valerio Di Stefano nei confronti di Italcube s.r.l., con la quale l’interessato, nel contestare la ricezione di una comunicazione promozionale inviata al proprio indirizzo di posta elettronica, ha chiesto di avere conferma dell’esistenza di dati personali che lo riguardano e di ottenere la loro comunicazione in forma intelligibile, di conoscerne l’origine, le finalità, le modalità e la logica su cui si basa il loro trattamento, nonché i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione degli stessi; visto che il ricorrente si è altresì opposto all’ulteriore trattamento di tali dati, di cui ha sollecitato la cancellazione;

VISTO il ricorso pervenuto il 17 giugno 2012 nei confronti di Italcube s.r.l., con il quale Valerio Di Stefano, nel sostenere di non aver ricevuto alcun riscontro dalla parte resistente, ha ribadito le proprie richieste e ha chiesto, altresì, di porre a carico della stessa le spese del procedimento;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 21 giugno 2012 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), ha invitato il titolare del trattamento a fornire riscontro alle richieste dell’interessato;

VISTA le note pervenute via e-mail il 10 luglio 2012 e il 3 agosto 2012 con le quali la società resistente, nel fornire riscontro alle istanze del ricorrente, ha sostenuto di non avere ricevuto l’interpello preventivo (probabilmente per la presenza di filtri antispam) precisando altresì di avere inviato all’interessato “un messaggio pubblicitario proveniente dal sito www.caffe.com” in quanto lo stesso, in occasione di due precedenti acquisti presso altro sito (www.cartucce.it, “sito in uso alla medesima società Italcube s.r.l.”), aveva “espressamente autorizzato l’invio di informazioni commerciali e/o promozionali” su prodotti, servizi e altre attività, anche con riferimento alle società del gruppo; nella medesima nota la resistente ha altresì affermato, che a seguito delle modifiche apportate il ricorrente “non riceverà più alcuna comunicazione dalla nostra società e da società collegate a qualsiasi titolo al nostro gruppo”;

VISTA le note pervenute via e-mail il 18 luglio 2012 e il 3 agosto 2012 con le quali il ricorrente, che ha ulteriormente documentato l’invio dell’interpello preventivo, ha sostenuto la piena legittimità dell’utilizzo a tal fine di un indirizzo di posta elettronica tradizionale, ha sottolineato la tardività del riscontro ottenuto e ha, infine, ribadito la richiesta di porre a carico della controparte le spese del procedimento;

RITENUTO di dover dichiarare non luogo a provvedere sul ricorso ai sensi dell’art. 149, comma 2, del Codice avendo la società resistente fornito, nel corso del procedimento, adeguato riscontro alle istanze dell’interessato affermando (con dichiarazione della cui veridicità l’autore risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni e notificazioni al Garante”)  che nessuna comunicazione promozionale sarà più inviata all’interessato “dalla nostra società e da società collegate a qualsiasi titolo al nostro gruppo”;

VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell’ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l’ammontare delle spese e dei diritti inerenti all’odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di Italcube s.r.l. nella misura di 200 euro, previa compensazione della residua parte per giusti motivi;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara non luogo a provvedere sul ricorso;

b) determina nella misura forfettaria di euro 500, l’ammontare delle spese del procedimento posto, nella misura di 200 euro, previa compensazione della residua parte per giusti motivi, a carico di Italcube s.r.l., la quale dovrà liquidarli direttamente a favore del ricorrente.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma,  20 settembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Pubblicità indesiderata: 200 euro per i terremotati dell’Emilia

Reading Time: < 1 minute

Prima di fare fagotto, volevo rendervi edotti del fatto che il Garante per la Protezione dei Dati Personali, a decisione finale del ricorso presentato per l’invio di messaggi di pubblicità indesiderata (trovate qui tutti i dettagli), mi ha riconosciuto un rimborso spese di 200 euro. Ne ho spesi 150 per presentare il ricorso. Non mi importa, come ho già scritto devolverò tutto alle popolazioni terremotate dell’Emilia. Non pubblico i dati completi perché il dispositivo non è ancora stato pubblicato a sua volta sul bollettino del Garante della Privacy.

Ma ce l’abbiamo fatta.

Un ricorso al Garante della Privacy per le popolazioni terremotate dell’Emilia

Reading Time: 2 minutes

 

Allora, da giorni vengo raggiunto da messaggi di posta elettronica non sollecitati da parte di una ditta che vende caffè on line.

Non solo non posseggo nessun tipo di macchina da caffè (espresso, moka, napoletana, con le cialde), ma non sopporto il gusto del caffè in modo assoluto. Mi ripugna, lo trovo sgradevole e riesco a tollerarlo solo nel ponce alla livornese. Per il resto non bevo caffè in assoluto, nemmeno al mattino quando mi sveglio.

Non ordinerei mai una fornitura di caffé che non sia il pacchetto di “Crema e Gusto” che beve mia moglie e che posso trovare tranquillamente al supermercato sotto casa.

Mi sono state mandate e-mail di propaganda a distanza temporale piuttosto ravvicinata (mediamente una mail ogni quattro giorni).

L’ultima è stata questa. Riguarda una offerta che abbina a qualunque ordine effettuato, una pezzatura di Parmigiano Reggiano del peso di 250-350 grammi circa. Il Parmigiano viene dagli stabilimenti distrutti dal terremoto in Emilia. Scrivono anche da dove l’hanno comprato.

La pubblicità recita “Aiutaci ad aiutare”. Potrebbe lasciar pensare al fatto che effettuando una ordinazione di caffè si contribuisca ad aiutare le popolazioni e le attività commerciali colpite dal sisma.

Invece il Parmigiano è già stato GIA’ acquistato.

Quindi, perché, semplicemente, non omaggiare gli acquirenti di questo prodotto, magari allegando un biglietto e spiegando il perché e il percome lo si è acquistato (è un bel gesto, in fondo) e le circostanze per cui lo si regala ai clienti?

Non è che “se compri da me poi aiuti i terremotati dell’Emilia”.

E allora ho deciso di iniziare le pratiche per presentare un ricorso al Garante della Privacy. Se riuscirò ad avere anche solo un rimborso spese riconosciuto, anche solo di 50 euro, lo devolverò alle popolazioni dell’Emilia. Davvero.

Il Garante della Privacy: INCA-CGIL deve rifondere 300 euro di spese

Reading Time: 4 minutes

Resterebbe solo da sapere chi sia il signor XY…

da: http://www.garanteprivacy.it/garante/doc.jsp?ID=1842944


Provvedimento del 21 luglio 2011

Registro dei provvedimenti
n. 315 del 21 luglio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

VISTA l’istanza ex art. 7 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) inviata ad INCA-CGIL, con la quale XY, (il quale in data 3 febbraio 2011 era rimasto vittima di un infortunio "in itinere"), dopo aver ricevuto il 16 febbraio 2011 una comunicazione postale non sollecitata (contenente l’invito all’interessato a recarsi presso gli uffici del Patronato INCA-CGIL per comunicazioni inerenti il proprio infortunio), ha chiesto di avere conferma dell’esistenza dei dati personali, anche sensibili, che lo riguardano presso gli archivi della resistente, di averne comunicazione in forma intelligibile, di conoscere l’origine delle informazioni, le finalità, le modalità e la logica su cui si basa il loro trattamento, nonché i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati; rilevato che, con la medesima istanza, l’interessato si è opposto all’ulteriore utilizzo dei dati che lo riguardano, sollecitandone a tal fine la cancellazione;

VISTO il ricorso presentato il  18 aprile 2011 nei confronti di INCA-CGIL  con la quale XY, ritenendo non adeguato il riscontro all’istanza ex art. 7 del Codice, ha ribadito le proprie richieste, chiedendo anche la liquidazione in proprio favore delle spese del procedimento;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 21 aprile 2011 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice, ha invitato il resistente a fornire riscontro alle richieste dell’interessato, nonché la nota del 15 giugno 2011 con la quale, ai sensi dell’art. 149, comma 7, è stata disposta la proroga dei termini relativi al procedimento;

VISTA la nota datata 10 maggio 2011 con la quale la resistente ha fornito riscontro alle richieste del ricorrente, precisando tra l’altro che: 1) i dati personali detenuti in relazione al ricorrente corrispondono esclusivamente al nome, cognome e indirizzo (infatti nella banca dati INCA-CGIL non figura alcuna posizione associata al nominativo del ricorrente) e non detiene pertanto alcun dato sensibile o informazioni sullo stato di salute dell’interessato, come invece sostenuto da quest’ultimo); 2) il Patronato avrebbe avuto "notizia dell’infortunio in itinere (…) da un proprio iscritto il quale, avendo conoscenza personale dell’infortunato, ha fornito di quest’ultimo le generalità e l’indirizzo";  3), come già comunicato al ricorrente prima del ricorso, "è prassi dell’ente INCA-CGIL contattare le persone interessate e vittime di infortunio per offrire, se lo desiderano, assistenza", che viene fornita, peraltro, ai sensi dell’art.7 della legge n. 152/2001, "indipendentemente dall’adesione dell’interessato all’organizzazione promotrice e a titolo gratuito"; 4) la resistente ha provveduto a cancellare i dati personali detenuti in relazione al ricorrente;

VISTA le note pervenute via e.mail l’11 maggio 2011 e il 13 giugno 2011 con le quali l’interessato si è dichiarato insoddisfatto del riscontro fornito dalla resistente in ordine all’origine dei dati e ha ribadito la richiesta relativa alle spese per il procedimento;

VISTA la nota inviata in data 30 maggio 2011 con la quale la resistente ha ulteriormente precisato che "nel corso di un’assemblea indetta dal Patronato per l’esame da parte dei lavoratori delle problematiche infortunistiche e degli strumenti di tutela accordati ai lavoratori in tema di indennizzo risarcitorio dell’INAIL del danno biologico, un partecipante comunicava ai dirigenti sindacali di un infortunio occorso ad un suo conoscente del quale indicava esclusivamente il nome, il cognome e l’indirizzo";

RITENUTA la necessità di dichiarare non luogo a provvedere sul ricorso ai sensi dell’art. 149, comma 2, del Codice, atteso che l’ente resistente ha fornito riscontro alle richieste del ricorrente, attestando in particolare, con dichiarazione della cui veridicità l’autore risponde anche ai sensi dell’art. 168 del Codice ("Falsità nelle dichiarazioni e notificazioni al Garante"), di aver acquisito i dati personali del ricorrente da un conoscente di quest’ultimo nel corso di un’assemblea indetta dal Patronato e di aver comunque cancellato i dati detenuti in relazione all’interessato;

VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell’ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l’ammontare delle spese e dei diritti inerenti all’odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di INCA-CGIL nella misura di euro 300, compensandone la residua parte per giusti motivi;

VISTA la documentazione in atti;

VISTI gli artt. 145 e s. del Codice;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara non luogo a provvedere sul ricorso;

b) determina nella misura forfettaria di euro 500 l’ammontare delle spese e dei diritti del procedimento ponendoli nella misura di euro 300 a carico di INCA-CGIL, previa compensazione della residua parte per giusti motivi, la quale dovrà liquidarli direttamente a favore del ricorrente.

Avverso il presente provvedimento, ai sensi dell’art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del provvedimento stesso.

Roma, 21 luglio 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
De Paoli

Privacy e posta indesiderata: il dispositivo del Garante nei confronti dell’Associazione “Lo Spino Bianco”

Reading Time: 3 minutes

A tutt’oggi non mi risulta pervenuto il rimborso delle spese da parte dell’Associazione Culturale in questione. Vi daro’ notizie.

Tratto da: http://www.garanteprivacy.it/garante/doc.jsp?ID=1846482


Provvedimento del 22 settembre 2011

Registro dei provvedimenti
n. 340 del 22 settembre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti e del dott. Daniele De Paoli, segretario generale;

VISTO il ricorso presentato al Garante il 28 luglio 2011 da Valerio Di Stefano nei confronti di Associazione Lo Spino Bianco, con il quale il ricorrente – che assume di aver ricevuto alcune comunicazioni promozionali non richieste al proprio indirizzo di posta elettronica – ha ribadito la richiesta, avanzata ai sensi dell’art. 7 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) in data 4 luglio 2011, volta ad avere conferma dell’esistenza di dati personali che lo riguardano e a ottenere la loro comunicazione in forma intelligibile e l’indicazione dell’origine, delle modalità, della logica e delle finalità del trattamento, nonché dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati; visto che il ricorrente, nell’opporsi al trattamento dei dati, ha sollecitato la loro cancellazione, chiedendo di porre a carico della controparte le spese del procedimento;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 10 agosto 2011 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), ha invitato il titolare del trattamento a fornire riscontro alle richieste dell’interessato;

VISTA la nota pervenuta via fax il 1° settembre 2011 con la quale il titolare del trattamento, nell’affermare che l’unico dato personale detenuto in relazione al ricorrente corrisponde all’indirizzo e-mail (pubblicato dallo stesso ricorrente sul proprio sito Internet) e che tale dato non è stato comunicato a terzi in quanto inserito "in una mailing list nascosta nel campo dei destinatari" (c.d. "blind carbon copy"); rilevato che l’associazione resistente ha provveduto nel frattempo alla cancellazione dell’indirizzo e-mail in questione, sottolineando il carattere "divulgativo/culturale" della comunicazione stessa;

VISTA la nota pervenuta via e-mail il 2 settembre 2011 con la quale il ricorrente ha sottolineato la tardività del riscontro ottenuto ed ha rilevato che la pubblicazione del proprio indirizzo di posta elettronica su Internet non renderebbe lecito, senza consenso, l’utilizzo del dato per l’invio di e-mail di carattere promozionale non sollecitate; il ricorrente ha pertanto ribadito la richiesta di porre a carico della controparte le spese del procedimento;

RILEVATO che, ai sensi dell’art. 130 del Codice, le comunicazioni effettuate mediante posta elettronica per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale necessitano del preventivo consenso dell’interessato (salvo quanto previsto dal comma 4 del medesimo articolo) e che la reperibilità in Internet di un indirizzo di posta elettronica non lo rende per ciò stesso liberamente disponibile anche per l’invio di comunicazioni elettroniche non sollecitate;

RITENUTO comunque di dover dichiarare non luogo a provvedere sul ricorso ai sensi dell’art. 149, comma 2, del Codice avendo il titolare del trattamento (che ha cancellato dal proprio archivio l’indirizzo di posta elettronica dell’interessato) fornito un sufficiente riscontro all’interessato, seppure dopo la presentazione del ricorso;

VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell’ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l’ammontare delle spese e dei diritti inerenti all’odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di Associazione Lo Spino Bianco nella misura di 200 euro, previa compensazione della residua parte per giusti motivi;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara non luogo a provvedere sul ricorso;

b) determina nella misura forfettaria di euro 500, l’ammontare delle spese del procedimento posto, nella misura di 200 euro, previa compensazione della residua parte per giusti motivi, a carico di Associazione Lo Spino Bianco, la quale dovrà liquidarli direttamente a favore del ricorrente.

Avverso il presente provvedimento, ai sensi dell’art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento, entro il termine di trenta giorni dalla notificazione del provvedimento stesso.

Roma, 22 settembre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli

World Business Mail: per non ricevere lo spamming e’ necessario scrivere in India

Reading Time: 2 minutes

Ultimamente sto ricevendo un (bel) po’ di spamming  che vale la pena di essere analizzato.

I mittenti "apparenti" sarebbero grandi aziende italiane (l’ultima mail di spam che ho ricevuto sembra provenire da "TeleTu"), ma il tutto è da ricondurre alla Newsletter di WorldBusinessMail (un nome una garanzia!), come è regolarmente scritto in fondo alla proposta pubblicitaria, che recita, per l’appunto "State ricevendo questo messaggio in quanto siete iscritti gratuitamente alla newsletter di WorldBusinessMail".

Ora c’è un piccolo problema: io non mi sono mai iscritto a WorldBusinessMail.

Poco male, c’è il link dedicato all’informativa sulla privacy e penso di avviare tutte le procedure per farmi rimuovere. Anche perché, come è da immaginare, il link della disiscrizione automatica non solo non funziona, ma non fa altro che confermare che il mio indirizzo è realmente esistente, ma del resto quelli di WorldBusinessMail non dovrebbero averne dubbi.

L’informativa sulla privacy sembra dare sicurezza. Si citano le normative in tema di protezione dei dati personali vigenti in Italia, fino a dire che:

"Per qualsiasi problema o questione relativa ai suoi dati personali, la invitiamo a contattare l’incaricato per la conformità dei dati personali WorldBusinessMail al seguente indirizzo:

WorldBusinessMail

Tuticorin, Tamil Nadu 628001 India"


Insomma, per non essere più disturbato uno deve scrivere in India, dove, naturalmente, le leggi italiane non valgono e, quindi, c’è poco da attaccarsi al Garante della Privacy.

Ma c’è di più: "WorldBusinessMail trasmetterà i dati dell’utente a suoi partner commerciali per permettere l’invio delle offerte promozionali potenzialmente interessanti. La mancanza di un rifiuto da parte dell’utente implica automaticamente il suo consenso a tale uso e divulgazione dei suoi dati personali."
Come sempre il fatto che non si dica "no" corrisponde automaticamente a un "sì".
Mi ricorda il primo film dell’ottimo Francesco Nuti ("Madonna che silenzio c’è stasera!") che in una disputa surreale asseriva che chi tace non acconsente, chi tace sta zitto.

La pubblicita’ radiotelevisiva del Registro Pubblico delle Opposizioni

Reading Time: 2 minutes

C’è una pubblicità strana, insinuante, sciropposa e fuorviante.

Non so se l’avete vista, è quella del Ministero dello Sviluppo Economico relativa al Registro delle Opposizioni.

Il Registro delle Opposizioni è una roba da girone dantesco. E’ un coso di proporzioni elefantiache e di una assoluta inutilità che dovrebbe servire a preservare il cittadino dal Telemarketing Selvaggio.
Tutto questo perché il Parlamento ha approvato un provvedimento che permette alle aziende di pescare liberamente i numeri telefonici degli abbonati dagli elenchi per offrire pubblicità.

In breve, per calpestarci i testicoli coi tacchetti a spillo con offerte telefoniche ("Ma come, non mi dica che Lei paga ancora il Canone Telecom…") di ogni genere, non c’è bisogno che chi ci chiama disponga del nostro consenso a farlo (come dovrebbe accadere in ogni Paese che sia vagamente "normale"), no, basta essere inseriti nell’elenco degli abbonati al telefono.

Cioè, il solo fatto di comparire sull’elenco rende legittimo il continuo percussionismo scrotale.

Se uno NON vuole essere disturbato, i casi sono due:
a) o si fa cancellare dall’elenco telefonico (ma occhio che gli elenchi telefonici vecchi sono sempre una fornte inesauribile di dati, e non tutti vanno al macero);
b) o si iscrive, appunto, all’inutile Registro delle Opposizioni.

Inutile perché se io NON voglio un servizio lo chiedo a chi me lo offre, non devo iscrivermi proprio a un bel niente.

Ma la pubblicità telefisiva deve comunque servire per far conoscere il coso delle opposizioni in questione.

Ci sono due che formano (o dovrebbero formare) la classica coppia comica, solo che non fanno ridere nessuno. Dicono "Tu… tu…" per intendere sia il "tu" pronome personale che il segnale di occupato del telefono.
Figuratevi, battute del genere le faceva il Club di Topolino negli anni ’70. Le pubblicavano su "Qui Paperino Quack!" Roba da farsela sotto, uno guardava il telefono e gli chiedeva "Chi è il più bello del Reame?" e poi alzava la cornetta per sentirsi rispondere "Tuuu… Tuuuu…. Tuuuuuu….", insomma, si muore dal ridere (ah, le risa!). Ecco, battutine così.

Ma il messaggio sottile e nemmeno tanto subliminale che passa è lo slogan finale: "Uomo registrato, un po’ meno informato".

Cioè: puoi registrarti, sì, perché NOI che siamo buoni te ne diamo la possibilità e così nessuno ti disturba più, però sappi che così facendo sarai un po’ meno informato di prima.

E da quando la pubblicità è informazione?? L’informazione me la dài se mi dici come si fa una determinata cosa, non se mi offri un contratto telefonico per liberarmi di Telecom e poi imbrigliarmi nelle maglie di un’altra compagnia telefonica, magari mentre sto cenando. Non è informazione, è rottura di coglioni!
L’informazione sono io che me la vado a cercare, non me la deve offrire nessuno in casa mia.

E il registro delle opposizioni me lo faccio da solo.

Il “Signor Garante della Privacy” e l’ignoranza di chi ha paura

Reading Time: < 1 minute

Ho pubblicato oggi  il testo del provvedimento del Garante della Privacy che disciplina l’uso della sorveglianza attraverso le telecamere.

Qui un paio di opinioni e commenti. Credo dhe uno stato che sia disposto a far rinunciare i suoi cittadini alla privacy per un po’ di sicurezza non si meriti né privacy né sicurezza. In questo senso ha fatto bene il Garante a mettere dei paletti.

Apriti cielo e spalàncati terra, la gente reagisce perché vuole che la gente marcisca in galera e se non si possono più usare le telecamere per vedere chi entra e chi esce come si fa ad assicurare alla giustizia i malfattori? Già, perché per assicurare alla giustizia i malfattori si deve mettere in pericolo anche la riservatezza di chi non c’entra nulla. Bambini, ammalati, persone in carrozzella, amanti clandestini che passano, tutto ripreso, archiviato e schedato perché, si sa, ci sono i mariuoli che delinquono, eh, sì, bel discorso, come dire che siccome c’è qualcuno che lede i nostri diritti noi non possiamo più esercitarli, mi sembra ovvio.

La gente in Internet si sfoga commentando le notizie dei giornali, si sa, ed ecco un commento arrivato a "Repubblica" e rivolto al "Signor Garante" della Privacy.

Ora, chi glielo spiega a questa gente che pretende di avere la verità in tasca che il Garante della Privacy non è un signore ma un ufficio?

Privacy e telecamere: il testo del Garante sulla videosorveglianza

Reading Time: 34 minutes
Provvedimento in materia di videosorveglianza – 8 aprile 2010
(In corso di pubblicazione sulla Gazzetta Ufficiale)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale reggente;

VISTO lo schema del provvedimento in materia di videosorveglianza approvato dal Garante il 22 dicembre 2009 e trasmesso al Ministero dell’Interno, all’Unione delle Province d’Italia (UPI) ed all’Associazione Nazionale Comuni Italiani (ANCI), al fine di acquisirne preventivamente le specifiche valutazioni per i profili di competenza;

CONSIDERATE le osservazioni formulate dall’ ANCI con note del 25 febbraio 2010 (prot. n. 10/Area INSAP/AR/crc-10) e del 29 marzo 2010 (prot. n. 17/Area INSAP/AR/ar-10);

CONSIDERATE le osservazioni formulate dal Ministero dell’Interno con nota del 26 febbraio 2010;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento n. 1/2000;

Relatore il prof. Francesco Pizzetti; Continua la lettura di “Privacy e telecamere: il testo del Garante sulla videosorveglianza”

Telemarketing: ancora in vigore le indicazioni del Garante della Privacy

Reading Time: < 1 minute
Le regole predisposte dal Garante privacy nel marzo 2009, relative alle chiamate promozionali e pubblicitarie consentite a suo tempo dal decreto "Milleproroghe" del 2008, restano valide ancora per l’ulteriore periodo di sei mesi previsto dalla legge di conversione del decreto Ronchi, ovvero, se istituito in questo periodo, fino alla realizzazione del registro pubblico delle opposizioni al quale dovranno iscriversi le persone che non intendono ricevere questo tipo di telefonate.

Lo ha disposto l’Autorità con un provvedimento in corso di pubblicazione sulla Gazzetta Ufficiale.

Aziende e call center che contatteranno gli utenti per fare promozione e offerte commerciali, dovranno quindi continuare a utilizzare solo banche dati effettivamente costituite sulla base degli elenchi telefonici precedenti al 1° agosto 2005. E non potranno chiedere il consenso degli interessati per futuri contatti né potranno cedere i dati che utilizzano a terzi.

Gli operatori che telefoneranno agli abbonati dovranno ad ogni contatto specificare per quale società chiamano e ricordare agli interessati i loro diritti. Ma soprattutto dovranno registrare immediatamente l’eventuale contrarietà dell’abbonato ad essere nuovamente contattato. L’utente che non intende essere più disturbato avrà il diritto di conoscere l’identificativo dell’operatore al quale ha comunicato la sua volontà.

Inoltre, i dati presenti nelle banche dati dovranno essere utilizzati solo a fini promozionali e non potranno in alcun modo essere usati per acquisire nuove informazioni o il consenso degli abbonati ad effettuare chiamate dopo la scadenza del periodo di deroga.

Il mancato rispetto del provvedimento comporta una sanzione amministrativa che va da 30 mila a 180 mila euro e che, nei casi più gravi, può raggiungere anche i 300 mila euro.

Roma, 30 dicembre 2009

Garante della Privacy: Wind mi deve rimborsare 200 euro per servizi non richiesti

Reading Time: 2 minutes

E oggi ci ha rimesso 200 euro anche Wind, così facciamo pari e patta.

Nel giugno scorso mi mandarono alcuni SMS che mi annunciavano l’attivazione di un paio di servizi non richiesti, che, tra le altre cose, non costano nemmeno poco, e che se volevo disattivare era necessario innescare una procedura che, come minimo, era un gran bel rompimento di zeri.

E’ partita la solita istanza di accesso ai dati e, poi, visto che si sono degnati di non rispondere (o, meglio, di rispondere, ma a un indirizzo in cui non risiedo e in cui non sono più residente da almeno 4 anni), è partito il ricorso.

Il Garante stavolta ci ha messo un po’ (6 mesi, è il dispositivo in assoluto più "ritardatario" che io abbia ricevuto) e sono 200 euro di rimborso, dunque.

Non solo, il Garante si è anche riservato ulteriori azioni nei confronti di Wind per quanto riguarda i servizi non richiesti in questione.

Il dispositivo integrale è scaricabile sotto forma di file .PDF

Garante della Privacy: “3” mi deve rimborsare 200 euro per SMS indesiderati

Reading Time: < 1 minute

"3" sarà anche un numero magico, ma in quanto a rispetto della privacy dei clienti lascia molto a desiderare.

Mi devono 200 euro, perché anche se è vero che è stato conferito l’assenso per il trattamento dei dati personali a fini di invio di SMS pubblicitari (promozione di servizi, tariffe etc…) è vero che si può recedere da questo assenso, e se loro non rispondono si può fare il ricorso al Garante della Privacy.

Che ha stabilito, appunto, tra le altre cose, che mi devono versare 200 euro.



Che, voglio dire, dopo che mi hanno cambiato unilateralmente le condizioni del contratto di abbonamento, male non sta loro davvero, no, decisamente no…

Il dispositivo integrale è scaricabile sotto forma di file .PDF

E’ uscito il mio libro “Difendere la privacy – Come colpire gli scocciatori al portafoglio.” Compràtelo, peccatori!

Reading Time: < 1 minute

Va bene, è ufficiale, è appena uscito per Lulu.com il mio secondo vanity-book, "Difendere la Privacy – Come colpire gli scocciatori al portafoglio" ISBN 978-1-4452-3356-7, 201 pagine (di cui la maggior parte di appendice, non illudetevi) in cui, tra il serio e il faceto, cerco di raccogliere (male!) la mia esperienza in tema di tutela della privacy dalle invasioni di spammer e pubblicitari selvaggi.

Costa (perché col cavolo che lavoro gratis!) 16,45 euro se lo comprate su Amazon, ma siccome nessuno è così fesso da farlo, potete pagarlo 12,27 euro e ci state larghi, semplicemente ordinandolo su Lulu.com.

Se proprio siete pidocchiosi, potete scaricarvi, certamente a pagamento, la versione digitale che costa 3,58 eurini tondi tondi (tondi?)

I link a cui collegarvi per l’acquisto sono:

http://www.lulu.com/product/scarica/difendere-la-privacy/6031062 (file PDF)

http://www.lulu.com/content/libro-a-copertina-morbida/difendere-la-privacy/7939667 (Acquista)

P.S.: Non chiedetemene una copia gratis perché col cavolo che ve la mando!

Le disposizioni del Garante della Privacy a tutela della famiglia di Pietro Marrazzo

Reading Time: < 1 minute
L’Autorità Garante per la privacy ha avviato l’esame della segnalazione con la quale Roberta Serdoz ha lamentato una violazione della sua sfera personale e familiare in relazione alle modalità con cui numerose testate giornalistiche hanno trattato la vicenda che ha coinvolto il marito, Piero Marrazzo.

L’istruttoria aperta dal Garante riguarda alcune testate, con particolare riferimento alla esposizione dei familiari, anche di minore età, e alla eventuale lesione dei diritti delle persone non coinvolte nell’inchiesta giudiziaria.

L’Autorità, riservandosi di adottare al termine dell’istruttoria eventuali provvedimenti inibitori, invita i mezzi di informazione ad applicare rigorosamente, anche in riferimento al caso Marrazzo, i principi del codice deontologico dei giornalisti e della Carta di Treviso e ad astenersi dal diffondere notizie e immagini relative ai familiari, in particolare dei figli, lesive della dignità della persona e della assoluta riservatezza che deve essere assicurata ai minori.

Roma, 13 novembre 2009

 

201 pagine

Scarica  

Acquista

Posta indesiderata: Critica Liberale deve risarcire le spese di procedimento

Reading Time: < 1 minute



Soprattutto alla luce di quanto approvato ieri sera al Senato, vale comunque la pena di battersi affinché il diritto di telefonata pubblicitaria indesiderata selvaggia diventi il diritto di essere lasciati in pace.

Ecco la parte finale del dispositivo con cui il Garante della Privacy, dopo la consueta istruttoria, stabilisce il rimborso di 150 euro a mio favore per le spese di procedimento per posta elettronica indesiderata:

Scarica

Acquista

Via libera del Garante della Privacy alle telecamere esterne alla scuola. Ma con alcuni limiti.

Reading Time: 2 minutes
Via libera condizionato del Garante ad un impianto presso un istituto scolastico di Verona
Contro teppismo e atti vandalici nelle scuole le telecamere possono rappresentare uno strumento di prevenzione e deterrenza, ma vanno rispettate precise condizioni a tutela di ragazzi, docenti e personale scolastico. Le telecamere devono riprendere esclusivamente le mura esterne e funzionare solo negli orari di chiusura degli istituti.
 
È un sì condizionato quello con il quale il Garante privacy ha dato un via libera all’installazione di un impianto di videosorveglianza presso un istituto scolastico di Verona. L’impianto, sottoposto a verifica preliminare dell’Autorità, si inserisce in un più ampio progetto, denominato "Scuole sicure", messo a punto dalla provincia della città veneta con l’obiettivo di tutelare la sicurezza del patrimonio scolastico e di dissuadere da atti di vandalismo e teppismo.
 
L’impianto prevede l’installazione di sei telecamere in aree perimetrali esterne. Le telecamere, non inquadrano dettagli dei volti delle persone, sono segnalate da appositi cartelli, posizionati nelle vicinanze dei luoghi ripresi ed entrano in funzione solo in orari in cui le strutture scolastiche non sono presidiate da personale in servizio (dalle 22,30 alle 6,30). Le immagini, non visualizzate in tempo reale, vengono conservate in un server e cancellate dopo 72 ore. In caso di segnalazione di furti, atti di vandalismo o danneggiamenti le immagini vengono messe a disposizione di polizia e autorità giudiziaria.
 
Considerate le finalità di tutela del patrimonio perseguite dal sistema, l’Autorità ha ritenuto le misure adottate, le modalità di attivazione e le caratteristiche tecniche equilibrate, in linea con i principi affermati dalle norme sulla protezione dei dati personali e conformi con quanto stabilito dal Garante nel provvedimento generale in materia di videosorveglianza.
 
Ha tuttavia prescritto alla provincia l’adozione di specifiche misure al fine di assicurare maggiori garanzie per studenti, docenti e personale scolastico: limitazione dell’angolo di ripresa delle telecamere ai soli muri perimetrali dell’edificio, con esclusione delle aree esterne circostanti; visualizzazione delle immagini consentita solo a polizia e autorità giudiziaria; definizione, in accordo con il dirigente scolastico, degli orari di funzionamento delle telecamere in caso di attività all’interno della scuola che potrebbero iniziare e concludersi in coincidenza con l’orario di attivazione delle telecamere; adozione di misure che rendano visibili i cartelli anche di notte. Trattandosi di un progetto che riguarda anche altre scuole della provincia, l’Autorità ha spiegato che, qualora le caratteristiche dei sistemi di videosorveglianza da installare corrispondano a quelle autorizzate, non sarà necessario richiedere una ulteriore verifica preliminare.

Il testo dell’esposto di Berlusconi al Garante per la Privacy sui topless a Villa Certosa

Reading Time: 4 minutes
Ecco il testo dell’esposto che Silvio Berlusconi ha presentato all’Ufficio del Garante per la Protezione dei Dati Personali (pensavo di essere il solo che vi si rivolgeva per farsi rimborsare la pubblicità indesiderata da Tim, Findomestic, Barkleys e strozziname vario) e che ha dato luogo al sequestro delle foto con le ragazze in bikini e topless a Villa Certosa.

E’ ovvio che i magistrati che hanno dato ragione al Premier non appartengono a quei “grumi eversivi” che mirano a farlo saltare. Per cui, se adesso non conosciamo i particolari dei suoi festini in topless, potremo dire anche noi che è tutta colpa della Magistratura.


L’On. Silvio Berlusconi nato a Milano il 29/9/1936 e residente in Milano espone quanto segue: nel tardo pomeriggio del giorno 26/5/2009 il direttore di Panorama, Maurizio Belpietro, contattava uno dei miei legali, l’avvocato Niccolò Ghedini, rappresentandogli che ad un giornalista che collabora con la testata da lui diretta, il dottor Amadori, era giunta notizia che vi fossero alcune fotografie in vendita, che potevano apparire di particolare interesse in relazione agli attuali fatti di cronaca. Il dottor Belpietro veniva quindi informato che un fotografo di Olbia, tale Antonello Zappadu, residente in Olbia, offriva in vendita una serie di fotografie scattate all’interno della mia residenza sita in Olbia località Porto Rotondo, denominata Villa Certosa. Tali notizie erano riportate, come detto, al dottor Belpietro dal dottor Amadori, il quale narrava che già nel dicembre del 2008 lo Zappadu gli si era rivolto, prospettandogli l’opportunità di acquistare una serie di fotografie scattate a Villa Certosa. Amadori, che conosceva da lungo tempo lo Zappadu per motivi professionali, visionava alcune di queste foto e avvisava il vicedirettore di Panorama della situazione. Entrambi le ritenevano non rilevanti e la trattativa si interrompeva e nessun altro veniva posto a conoscenza dell’accaduto.

Nella giornata del 26 c.m. il dottor Amadori incontrava a Milano lo Zappadu che gli offriva nuovamente le foto, asserendo altresì di averne scattate delle altre nel periodo fra il Natale 2008 e gli inizi dell’anno 2009. Lo Zappadu asseriva che la situazione attuale di particolare clamore mediatico nei confronti del presidente del Consiglio e le imminenti elezioni politiche rendevano il materiale di eccezionale interesse. Affermava inoltre lo Zappadu, e ciò è di particolare rilievo, che tali foto erano state offerte al Gruppo Hachette-Rusconi e precisamente al direttore del settimanale Gente, dottoressa Monica Mosca. A dire dello Zappadu, Mosca era assolutamente interessata ad acquistarle ma si sarebbe riservata una decisione, dovendosi recare a Parigi per ottenere il consenso dall’editore, vista la cifra richiesta. Infatti lo Zappadu appalesava che il valore delle foto era quantificabile in ben 1 milione e mezzo di euro e che tale prezzo era correlato anche all’interesse dimostrato da giornali inglesi e francesi, quale ad esempio Paris Match, a cui sarebbe stato possibile per l’acquirente poi rivenderle. Lo Zappadu prospettava al dottor Amadori la possibilità di comprarle alla medesima cifra e per dimostrargli la serietà della trattativa con Rusconi gli inviava una bozza di contratto tra lui e l’editore. Gli inviava, inoltre, una serie di foto quale campione rispetto alle 700 totali, ribadendo la richiesta di 1 milione e mezzo e invitandolo a decidere con grande rapidità poiché la dottoressa Mosca sarebbe dovuta rientrare a breve da Parigi recandogli la risposta definitiva e a suo dire certamente positiva.

Il dottor Amadori, dopo aver visionato le foto, le consegnava al dottor Belpietro che le faceva pervenire, unitamente al contratto, all’avvocato Ghedini. Ghedini provvedeva a contattare telefonicamente la dottoressa Mosca per avvisarla che riteneva trattarsi di materiale di illecita provenienza, essendo stato commesso dallo Zappadu quantomeno il reato di cui all’art. 615 bis c.p. Si ricordava, fra l’altro, che lo Zappadu era già stata condannato in sede civile e dal Garante per la protezione dei dati personali oltre ad essere pendenti alcuni procedimenti penali nei suoi confronti per fatti analoghi, proprio commessi in danno dell’esponente specificatamente a Villa Certosa. La dottoressa Mosca rappresentava all’avvocato Ghedini che effettivamente era stata contattata dallo Zappadu, che le aveva offerto le fotografie il 20 o il 21 c.m. ma che non solo non aveva avviato una trattativa, né mai aveva ipotizzato di recarsi a Parigi dal suo editore, ma aveva chiaramente detto allo Zappadu di non essere interessata all’acquisto, anche perché a conoscenza delle condanne inflittegli, poiché essa stessa prima di dirigere il settimanale Gente lavorava presso il settimanale Oggi, dove erano state pubblicate nel 2007 le foto illegittimamente carpite in Villa Certosa. Appare quindi evidente il comportamento antigiuridico dello Zappadu che non solo ha commesso pacificamente il reato di cui all’6115 bis c.p. ma altresì ha tentato di procurarsi un ingiusto profitto prospettando l’indebita pubblicazione di materiale fotografico che avrebbe potuto provocare un evidente danno d’immagine ove maliziosamente prospettato, senza le facili spiegazioni che soltanto i diretti interessati avrebbero potuto fornire. Si osserva infatti, per completezza d’informazione, ancorché superflua rispetto alla commissione del reato, che un consistente gruppo di fotografie, pur essendovi i volti oscurati, verosimilmente ritrae nel maggio del 2008 l’allora primo ministro della Repubblica Ceca Topolanek, la sua famiglia, altro ministro del governo ceco, il loro seguito, oltre ad una serie di soggetti che erano stati ufficialmente convocati per le serate d’intrattenimento offerte a Topolanek. Si ricordi infatti che il Primo Ministro Ceco era stato ospite in Villa Certosa in quel periodo per circa una settimana.

L’altro gruppo di fotografie verosimilmente ritrae alcuni ospiti in Villa Certosa durante le vacanze natalizie 2008-09. Come è facile osservare dalle fotografie, si tratta di soggetti ripresi in momenti di assoluta intimità del tutto leciti e senza alcun particolare rilievo o connotazione, addirittura mentre si trovavano all’interno delle abitazioni poste a loro disposizione e ritratte mediante potenti ed intrusivi mezzi di riproduzione delle immagini. Appare evidente da quanto esposto che sono stati posti in essere comportamenti penalmente rilevanti. Chiedo pertanto che il Garante voglia adottare tutti i provvedimenti che riterrà opportuni ed in particolare l’inibizione di qualsivoglia utilizzo e o pubblicazione del materiale fotografico sopra indicato. Dichiaro di nominare quale mio difensore di fiducia nel presente procedimento l’avvocato Niccolò Ghedini.

Silvio Berlusconi

Scarica

Acquista

Facebook, il Social Network e il Garante per la Privacy

Reading Time: 3 minutes


Il Garante della Privacy finalmente si è espresso sul Social Networking, e in particolare sul fenomeno Facebook, in modo chiaro.

A dire il vero le indicazioni c’erano anche nel 2008, ma, considerato che la Giornata Europea della Protezione dei Dati personali del 2009 ha come tema proprio il Social Network, ecco che le osservazioni del Garante cadono proprio come il cacio sui maccheroni.

Mi sembrano particolarmente interessanti le osservazioni di Mauro Paissan secondo cui “nel Regno Unito sarebbero quattro milioni e mezzo i ragazzi tra i 14 e i 21 anni che rischiano di subire ripercussioni negative sul proprio futuro lavorativo determinate dalle tracce lasciate in Internet. E che il 71 % dei ragazzi non vorrebbe mai che un’Università o un eventuale datore di lavoro cercasse informazioni in rete su di loro senza che loro stessi abbiano potuto prima cancellare i contenuti immessi nei Social network” (e ci credo!) mentre per l’Italia “accanto al crescente numero di utenti Facebook, si registra un parallelo aumento delle richieste di uscita dalla rete. Le persone che hanno già una propria visibilità tendono ora a chiamarsi fuori. Il non essere su Facebook diviene oggi segno di distinzione, il contrario di qualche mese fa.”

Insomma, ecco la sintesi dell’intervento del Presidente dell’Autorità Garante per la Protezione dei dati personali Francesco Pizzetti, leggetela che male non vi fa di certo.


Social network: attenzione a non cadere nella rete. Giornata Europea della protezione dei dati personali

Intervento di Francesco Pizzetti
Presidente dell’Autorità Garante per la protezione dei dati personali

(sintesi del’intervento)

Strumenti straordinari, ma attenti alle trappole
Il fenomeno dei social network è oggi in una fase esplosiva. Un numero crescente di utenti mettono il loro profilo su Facebook, MySpace, ASmallWorld e spalancano sul mondo le stanze dei propri ricordi, delle proprie abitudini, dei propri gusti per condividerli con gli altri sulla rete.

I social network sono “piazze virtuali” in cui ci si ritrova portando con sé e condividendo con altri fotografie, filmati, pensieri, indirizzi di amici e tanto altro. Offrono un’incredibile opportunità di incontro e un nuovo modo di sviluppare una vita di relazione senza limiti di spazio.


I social network rappresentano straordinari strumenti di innovazione sociale e contribuiscono a far sì che la rete sia sempre di più oggi il luogo dove si viene elaborando una nuova coscienza collettiva. Tuttavia, essi vengono usati da milioni di persone senza una perfetta conoscenza dei rischi ai quali si espone ed espone gli altri chi mette in rete e condivide informazioni.

Recenti e clamorosi usi inconsapevoli delle possibilità offerte dalle comunità on line e dai social network dimostrano che siamo in presenza di un fenomeno da affrontare con il necessario equilibrio, ma con la dovuta urgenza.

Si pensi al caso del ragazzo francese che ha visto la sua vita – vacanze, amici, dal lavoro dettagli intimi “postati” sul suo social network – pubblicata su un quotidiano. Ma si pensi anche ai veri e propri illeciti, come l’utilizzo di identità altrui per creare “falsi profili”, o il furto di informazioni personali per commettere truffe o soltanto per danneggiare chi queste informazioni ha messo on line.

Spesso è lo stesso termine di “community” a falsare la prospettiva: non sappiamo mai chi è veramente la nostra platea. Quando siamo nel mondo fisico possiamo vedere chi ascolta le nostre conversazioni, chi ci guarda. Nel mondo Internet le nostre informazioni si disseminano e non ne abbiamo più il controllo.

I rischi che è bene conoscere
Una volta messi sulla rete, i dati personali di un utente sono difficilmente cancellabili: un numero enorme di persone può conoscere le vostre confessioni più intime e chiunque