Pegasus: il Garante privacy chiede informazioni alla società che distribuisce il software

Reading Time: < 1 minute

 1,377 total views,  1 views today

…e ha fatto più che bene!

In relazione alle recenti notizie di stampa che hanno fatto emergere un quadro preoccupante riguardo al trattamento di dati personali effettuato attraverso un indebito utilizzo del software Pegasus, il Garante per la protezione dei dati personali ha chiesto alla società che distribuisce il software di comunicare all’Autorità, entro i prossimi 20 giorni:

1) il ruolo che essa riveste rispetto ai trattamenti correlati all’utilizzo di Pegasus;
2) se vi siano, ed eventualmente chi siano, i clienti italiani che utilizzano il software.

Roma, 23 luglio 2021

Covid 19: Il Garante privacy “avverte” la Regione Sicilia L’ordinanza del Presidente delle Regione viola le norme sulla privacy dei lavoratori – Comunicato stampa e testo del provvedimento

Reading Time: 26 minutes

 1,157 total views,  1 views today

Il Garante per la protezione dei dati personali ha avvertito la Regione Sicilia e tutti i soggetti coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Sicilia, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento europeo e del Codice privacy.

L’ordinanza prevede infatti trattamenti di dati personali relativi allo stato vaccinale dei dipendenti pubblici e degli enti regionali, determinando limitazioni dei diritti e delle libertà individuali che possono essere introdotte solo da una norma nazionale di rango primario, previo parere dell’Autorità.

Le disposizioni regionali prevedono che tutti i dipendenti a contatto diretto con l’utenza siano “formalmente invitati” a ricevere la vaccinazione e, in assenza di questa, assegnati ad altra mansione.

Tali trattamenti relativi allo stato vaccinale del personale non previsti dalla legge statale, introducono, di fatto, un requisito per lo svolgimento di determinate mansioni su base regionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.

L’ordinanza prevede, inoltre, trattamenti generalizzati di dati relativi allo stato vaccinale dei dipendenti, anche da parte del medico competente, non conformi alla disciplina in materia di protezione dei dati e alla disciplina in materia di sicurezza nei luoghi di lavoro.

Considerata poi la delicatezza delle informazioni trattate e le possibili conseguenze discriminatorie in ambito lavorativo, il coinvolgimento dei datori di lavoro, previsto dall’ordinanza, in assenza di misure tecniche e organizzative può porsi in contrasto con le norme nazionali che vietano ai datori di lavoro di trattare informazioni relative alla salute, alle scelte individuali e alla vita privata dei dipendenti.

Il Garante, in considerazione delle gravi violazioni riscontrate, ha dunque ritenuto necessario intervenire tempestivamente per tutelare i diritti e le libertà degli interessati, prima che tali criticità producano i loro effetti, ed ha di conseguenza avvertito la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti, che, in assenza di interventi correttivi, i trattamenti di dati previsti possono violare la normativa privacy.

Il provvedimento adottato dal Garante è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza, anche al fine di segnalare alle Regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.

Roma, 23 luglio 2021


Provvedimento del 22 luglio 2021 [9683814]

Registro dei provvedimenti
n. 273 del 22 luglio 2021

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Decreto Legislativo 9 aprile 2008, n. 81, in materia di tutela della salute e della sicurezza nei luoghi di lavoro;

VISTO Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARSCoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021, che ha aggiornato il protocollo del 24 aprile 2020;

VISTO il decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da Covid-19”;

VISTO il Decreto del Presidente del Consiglio Dei Ministri del 17 giugno 2021 “Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Con l’ordinanza n. 75 del 7 luglio 2021 il Presidente della Regione Siciliana ha introdotto sul territorio regionale “Ulteriori misure per l’emergenza epidemiologica da Covid-19”, “al fine di conseguire celermente nel territorio della Regione Siciliana uno standard di vaccinazione non inferiore alla quota percentuale dell’80% per tutti i target anagrafici individuati a livello nazionale” e “tenuto conto del rischio di diffusione del virus nella variante comunemente nota come “Delta”.

Nella predetta ordinanza, il Presidente della Regione Siciliana prevede che sia disposta, una “ricognizione del personale non vaccinato operante nelle Pubbliche Amministrazioni e preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990”, disponendo, in particolare, all’art. 3 che:

–    “le AA.SS.PP. provvedono, mediante apposito interpello a tutti gli Enti pubblici operanti nel territorio della Regione Siciliana, alla ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione” (comma 1);

–    all’esito di tale ricognizione […] tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione” (comma 2);

–    “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna” (comma 2);

–    analoga attività ricognitiva debba essere effettuata “con riferimento al personale preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990, nonché agli autotrasportatori e al personale delle imprese che assicurano la continuità della filiera agro-alimentare e sanitaria e agli equipaggi dei mezzi di trasporto” (comma 1).

A seguito di richiesta di informazioni da parte di questa Autorità, con nota prot. n. XX del XX, la Regione Siciliana ha specificato che:

–    “l’Ordinanza contingibile e urgente del 7 luglio 2021, n. 75 è stata emanata dal Presidente della Regione sia in qualità di Autorità sanitaria regionale – ai sensi della legge n. 8233/1978 – sia come soggetto attuatore delle misure emergenziali connesse allo stato di emergenza dichiarato dal Consiglio dei Ministri relativo alla pandemia da Covid-19 (Ordinanza del Capo della Protezione civile n. 630/2020)”;

–    “si tratta, quindi, dell’esercizio di poteri riconosciuti per legge e volti ad intervenire con urgenza per contrastare l’evolversi (e, oggi, l’acuirsi) della pandemia. Impregiudicate, pertanto, le specifiche disposizioni contenute nelle rispettive discipline di settore, le attività giuridiche e materiali (incluse quelle relative al trattamento di dati) che il provvedimento richiede ai soggetti rientranti nella propria sfera applicativa sono strumentali alle finalità istituzionali perseguite dal Presidente, ossia la tutela di un diritto costituzionalmente rilevante quale è la salute dei siciliani”;

–    “le disposizioni contenute nella Ordinanza n. 75 del Presidente della Regione, volte a tutelare la salute pubblica, siano assolutamente legittime e, certamente, non siano volte a violare le norme in materia di protezione dei dati personali” e “come emerge dal tenore letterale dell’articolo 3 dell’Ordinanza, oggetto di verifica non è la individuazione dei nominativi dei lavoratori pubblici non ancora vaccinati, bensì la indicazione del “numero” dei detti dipendenti”;

–    “l‘attività di indagine, utile ai fini della Programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale, deve avvenite in anonimato. Ciò, è chiaro, garantisce sia i dipendenti sia l’attività pubblica volta a gestire l’emergenza sanitaria”;

–    “la corretta interpretazione della Ordinanza, avvalorata dalla [successiva] Circolare interpretativa, [che prevede il coinvolgimento del medico competente…] elimina in radice il problema del trattamento di un dato sensibile riferito ad una determinata persona fisica che, potenzialmente, potrebbe reputarsi leso”;

–    “può osservarsi come spetti sempre e solo al medico competente, nel rispetto della vigente normativa, valutare le condizioni di salute del dipendente e, eventualmente, comunicarle al datore di lavoro Per assumere le necessarie determinazioni (nel rispetto del CCNL e delle leggi di settore). Si pensi, a titolo meramente esemplificativo, alle c.d. fragilità già evidenziate per individuare i soggetti con priorità in sede di vaccinazione e che, ove presenti in lavoratori non vaccinati, a giudizio del medico competente potrebbero senza dubbio aumentare il rischio di salute dei medesimi ove svolgano mansioni a contatto con il pubblico”;

–    “si vuole, cioè, tutelare la salute del lavoratore in funzione della concreta attività svolta la cui valutazione compete sempre e solo al medico competente […]. E giova chiarire ulteriormente come, stante l’anonimato del dato, il datore di lavoro senza la specifica richiesta del medico competente (che valuta in concreto le condizioni di salute del dipendente) non potrebbe certamente intervenire mancando proprio la conoscenza dei lavoratori non vaccinati”;

–    “nella prudente ponderazione degli interessi (la salute pubblica, la sicurezza dei lavoratori e la protezione dei dati), quindi, si ritiene che non potrebbe certamente escludersi che uno degli elementi incidenti oggi in modo significativo sulla salute dei dipendenti sia proprio il rischio del contagio”;

–    “la decisione del medico, del resto, non sarebbe certamente (e non potrebbe esserlo, stante l’anonimato del dato) la conseguenza della ricognizione dei dipendenti vaccinati, bensì frutto di eventuale visita – come avviene per verificare la sicurezza dei lavoratori – e valutazioni specifiche delle condizioni di salute rispetto alle mansioni ricoperte”;

–    “in sintesi, dunque, non vi sarebbe alcun pregiudizio o intento “punitivo” per il dipendente non vaccinato né, certamente, potrebbe mai ritenersi una volontà discriminatoria. É tuttavia vero (drammaticamente lo ricordano le migliaia di morti) che la pandemia richiede misure urgenti e straordinarie affinché venga preservata la salute di tutti (lavoratori e non)”.

Più nel dettaglio con riguardo alla circolare (prot. XX del 13 luglio 2021) interpretativa e attuativa dell’ordinanza del Presidente della Regione n. 75 del 7 luglio 2021, a firma dell’Assessore regionale per la Salute e del Dirigente generale del Dipartimento regionale Attività sanitarie e Osservatorio epidemiologico, indirizzata ai rappresentati legali delle Aziende sanitarie provinciali del SSR, adottata successivamente alla richiesta di elementi dell’Autorità, emerge che:

–    “la suddetta rilevazione dovrà avvenire in prima istanza per finalità statistiche e ricognitive nonché di verifica della esatta percentuale, nell’ambito del target in esame, del numero dei dipendenti che non si sono ancora sottoposti a vaccinazione (non essendo pertanto richiesta, allo stato, indicazione nominativa dei dipendenti interessati dalla ricognizione medesima)”;

–    “si raccomanda alle AA SS PP. in indirizzo di garantire, all’atto di instaurare la necessaria interlocuzione con gli Enti pubblici datoriali, l’anonimato del personale dipendente (ad esempio mediante |invio di questionari da compilare in forma anonima) senza contestualmente procedere all’acquisizione di dati sensibili”;

–    “ulteriore attività demandata alle Aziende Sanitarie Provinciali all’esito della ricognizione del numero dei dipendenti degli Enti pubblici non ancora sottoposti a vaccinazione consiste nell’effettuazione – per il tramite dei datori di lavoro e, più in particolare, del medico competente – di un “invito” a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente, a prescindere quindi dal possesso o meno dello status di soggetto vaccinato”;

–    “i lavoratori che all’esito dell’invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneità, da svolgersi nelle forme e secondo le modalità previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonché dei provvedimenti recentemente adottati in materia dal Garante per la Protezione dei Dati Personali, che si concluderà nella stesura e nel giudizio finale (di idoneità o di inidoneità) circa lo svolgimento della specifica mansione a cui il lavoratore ê assegnato”;

–    “il datore di lavoro, ricevuto il suddetto giudizio, attuerà le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (cfr. artt. 41, 42 e 279 del D. gs. n. 81/2008 e ss.mm ii.)”;

–    “le determinazioni conseguenziali in ordine all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino, infine, verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento”.

OSSERVA

Per i profili di competenza dell’Autorità si rileva in via preliminare che il Garante ha recentemente chiarito che le certificazioni attestanti l’avvenuta vaccinazione (e, non diversamente la guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare) non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2 (cfr. Provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064, recante il “Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass”).

L’Autorità ha infatti più volte ribadito come la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, Considerando n. 37 del Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021).

Come evidenziato anche dal Presidente del Garante nella audizione informale alla Camera del 6 maggio 2021, in generale, la materia risulta essere assoggettata alla riserva di legge statale (Corte cost., sent. 5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21). Al riguardo, nel provvedimento di avvertimento del n. 207 del 25 maggio 2021 nei confronti della Regione Campania (doc web n. 9590466) il Presidente ha infatti rappresentato che la Corte Costituzionale ha recentemente evidenziato che “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza della n. 4/21).

Il Garante ha pertanto reso parere favorevole sullo schema di decreto di attuazione della disciplina in tema di certificazioni verdi a condizione che, in sede di conversione in legge del d.l. 22 aprile 2021, n. 52 (“Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”), fossero, tra l’altro, specificamente definite le finalità del trattamento e fosse introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare. Al riguardo, si rappresenta che, in sede di conversione in legge del d.l. n. 52/2021, è stata modificata la disciplina sulle certificazioni verdi prevedendo che le stesse possono essere utilizzate esclusivamente ai fini di cui agli artt. 2, comma 1, 2-bis, comma 1, 2-quater, 5, comma 4, 7, comma 2, e 8-bis, comma 2, della legge n. 87/2021 (art. 9, comma 10 bis, legge n. 87/2021).

Con specifico riguardo al contesto lavorativo, il predetto decreto legge n. 52/2021, convertito nella legge n. 87/2021, nel prevedere specifiche misure atte a ridurre il rischio di contagio in ambienti in cui svolge anche l’attività lavorativa, non ha introdotto quella relativa al possesso di un attestato comprovante l’avvenuta vaccinazione o il risultato negativo di un test per Covid-19 (cfr. artt. 3, 3 bis, 4, 4 bis, 5, 5 bis, 6, 6 bis, 7, 8, 8 bis, 8 ter, legge n. 87/2021).

Anche in merito alla possibilità di introdurre la vaccinazione anti SARS-CoV-2, quale requisito per lo svolgimento di particolari professioni o mansioni, con particolare riguardo all’esposizione a un maggior rischio di contagio nel contesto sanitario, l’Autorità ha ritenuto necessario, nella prospettiva di certezza del diritto e nel principio di non discriminazione, che la materia dovesse essere oggetto di una regolazione uniforme con legge nazionale, nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b), del Regolamento) e del principio di ragionevolezza (art. 3 Cost.), tenendo conto della specifica situazione sanitaria ed epidemiologica in atto e delle evidenze scientifiche (cfr. FAQ n.3 in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it – doc. web n. 9543615).

Il legislatore è, dunque, successivamente intervenuto con il decreto legge del 1° aprile 2021, n. 44 (convertito in legge n. 76 del 28 maggio 2021 – Misure urgenti per il contenimento dell’epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici), il cui articolo 4 ha previsto che, limitatamente agli esercenti le professioni sanitarie e agli operatori di interesse sanitario, la vaccinazione anti SARS-CoV-2 costituisce “requisito essenziale per l’esercizio della professione e per lo svolgimento delle prestazioni lavorative”.

In tale quadro, con riguardo a tutte le altre categorie di lavoratori, nel rispetto della disciplina di protezione dei dati, della disciplina nazionale di settore e delle norme più specifiche e di maggior tutela che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento e 113 del Codice) nonché di quelle emanate nel contesto dell’emergenza epidemiologica in corso, il datore di lavoro non può trattare i dati relativi alla vaccinazione dei propri dipendenti (inclusa l’intenzione di aderire o meno alla campagna vaccinale). Come recentemente ribadito dal Garante anche con provvedimenti di carattere generale e documenti di indirizzo, eventuali trattamenti di dati personali inerenti alla vaccinazione di dipendenti sono allo stato consentiti, nel contesto lavorativo, per il tramite del medico competente, nei limiti e alle condizioni previste dalle disposizioni vigenti in materia di salute e sicurezza sui luoghi di lavoro che ne costituisco la base giuridica (d.lgs. 9 aprile 2008 n. 81; Provvedimento del 13 maggio 2021 – documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”, doc. web n. 9585300 e documento “Protezione dei dati – Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).

Alla luce delle considerazioni preliminari sopra riportate, si ritiene pertanto che le disposizioni di cui all’ordinanza del Presidente della Regione Siciliana del 7 luglio 2021, n.75, presentino le seguenti criticità:

1. Inidoneità della base giuridica.

In via preliminare, si rileva che l’individuazione della avvenuta vaccinazione quale condizione per esercitare diritti e libertà individuali o accedere agli ambienti di lavoro, non può essere prevista da un’ordinanza regionale, in quanto, come sopra evidenziato, la competenza circa l’introduzione di misure di sanità pubblica che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale e pertanto deve avvenire attraverso una disposizione che abbia le caratteristiche richieste dal Regolamento (art. 6, par. 3, del Regolamento), previa acquisizione del parere dell’Autorità.

In particolare, la predetta ordinanza presidenziale, pur alla luce delle precisazioni contenute nella circolare del 13 luglio, prot. n. XX, nel prevedere la generalizzata ricognizione del personale degli enti pubblici e di altri lavoratori non vaccinati e la conseguente assegnazione a differenti mansioni che non implichino il contatto con l’utenza esterna (cfr. art. 3, comma 2, cit.), introduce trattamenti di dati personali relativi allo stato vaccinale dei dipendenti che comportano limitazioni dei diritti e delle libertà individuali, allo stato non previsti da alcuna disposizione di legge statale (cfr., Corte cost., sent. n. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. n. 37/21).

A tale riguardo si rappresenta che l’Ufficio, ancorché in relazione all’uso delle certificazioni verdi, e più in generale dei certificati vaccinali, per finalità ulteriori e con modalità difformi rispetto a quelle espressamente previste dalla legge nazionale, ha ribadito alle regioni e alla Conferenza delle Regioni e delle Province autonome la necessità di soprassedere dall’adottare o dal dare attuazione ad iniziative territoriali (Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19 – 18 giugno 2021, doc. web n. 9671917; Provvedimento di avvertimento alla regione Campania in merito all’uso delle certificazioni verdi Covid-19 – del 25 maggio 2021, doc web n. 9590466). Ciò in considerazione del fatto che l’ordinanza presidenziale di una regione o di una provincia autonoma (e analogamente anche una circolare interpretativa) non rappresenta una valida base giuridica, alla luce delle caratteristiche richieste dalla disciplina di protezione dei dati (qualità della fonte, contenuti necessari, rispetto del principio di proporzionalità) per introdurre limitazioni ai diritti e alle libertà individuali che implichino il trattamento di dati personali, in quanto disciplina profili che ricadono nelle materie assoggettate alla riserva di legge statale (art. 6, parr. 2 e 3, del Regolamento e 2-ter e 2-sexies del Codice).

Peraltro l’ordinanza n. 75 della Regione Siciliana prevede che, “tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione” e che “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna” (comma 2). Tale circostanza, anche alla luce delle successive precisazioni effettuate con la circolare interpretativa sopra richiamata che prevede “l’assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino” (cfr. circolare p. 3), introduce in realtà un requisito per lo svolgimento di determinate mansioni (quelle che implicano “il contatto diretto del lavoratore con l’utenza esterna”) su base regionale e non previsto dalla legge nazionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.
Come messo in evidenza anche dalla Corte di Giustizia “l’esame della liceità dei requisiti [per lo svolgimento dell’attività lavorativa] e della verifica del permanere nel tempo dei medesimi […deve essere] effettuato […] rispetto al diritto nazionale [… e non può essere] sottratto a un controllo giurisdizionale effettivo” (v., in tal senso, sentenza del 17 aprile 2018, Egenberger, C-414/16, EU:C:2018:257, par. da 56 a 58)  atteso che la previsione di un requisito per lo svolgimento dell’attività lavorativa da cui far derivare una differenza di trattamento per il prestatore di lavoro (quale, come, nel caso di specie, l’adibizione a mansioni differenti) deve costituire “requisito professionale essenziale, legittimo e giustificato” rispetto alla “natura” delle attività di cui trattasi e al “contesto” in cui vengono espletate le sue mansioni.

Pertanto, la valutazione della liceità del trattamento di informazioni afferenti alla salute, vita privata e alle convinzioni personali, anche sotto il profilo del rispetto del principio di finalità e proporzionalità, così come pure la legittimità delle decisioni assunte dal datore di lavoro in conseguenza di tali trattamenti, è subordinata all’esistenza, oggettivamente verificabile, di un nesso diretto tra il requisito professionale e lo svolgimento dell’attività lavorativa (dovendo questo consistere in un “requisito essenziale e determinante” per lo svolgimento dell’attività lavorativa ed essere “necessario, a causa dell’importanza dell’attività professionale di cui trattasi”; punto 55). In ogni caso, “il principio della parità di trattamento in materia di occupazione e di condizioni di lavoro [..] trova la sua fonte in diversi atti internazionali e nelle tradizioni costituzionali comuni agli Stati membri, ma ha il solo obiettivo di stabilire, in queste stesse materie, un quadro generale per la lotta alle discriminazioni fondate su diversi motivi, tra i quali la religione o le convinzioni personali” (cfr. Corte di Giustizia, sentenza del 17 aprile 2018, Egenberger, C-414/16).

Con specifico riguardo al trattamento dei dati della stato vaccinale, peraltro, la normativa europea in materia di certificazioni vaccinali stabilisce che “è necessario evitare la discriminazione diretta o indiretta di persone che non sono vaccinate, per esempio per motivi medici, perché non rientrano nel gruppo di destinatari per cui il vaccino anti COVID-19 è attualmente somministrato o consentito, come i bambini, o perché non hanno ancora avuto l’opportunità di essere vaccinate o hanno scelto di non essere vaccinate” (cfr. considerando 36 del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021).

Alla luce delle considerazioni che precedono eventuali trattamenti di dati personali posti in essere dai soggetti a vario titolo indicati dall’ordinanza presidenziale n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, risultano privi di idonea base giuridica in violazione dell’art. 5, 6, 9, del Regolamento e 2-ter e 2-sexies del Codice).

2. I principi applicabili al trattamento dei dati personali.

In via preliminare, si rappresenta che il trattamento di dati personali previsto dalla predetta ordinanza persegue una pluralità di finalità, non sempre chiaramente individuate, che si fondano su differenti presupposti di legittimità e che sono perseguibili da parte di distinti titolari del trattamento.

Seppur non chiaramente individuate dalla Regione nel corso dell’istruttoria, dalla documentazione in atti si evince infatti che il trattamento che si intende porre in essere mira a perseguire diversi interessi e a tutelare beni giuridici distinti (es. adozione di misure di sanità pubblica; finalità statistiche e ricognitive nonché di verifica della esatta percentuale, nell’ambito del target in esame, del numero dei dipendenti; sicurezza sul lavoro).

Al riguardo, infatti, la disciplina in materia di protezione dei dati personali individua specifiche e autonome eccezioni al generale divieto di trattamento dei dati appartenenti alle categorie particolari, tra i quali si configurano quelli sulla salute, distinguendo anche con riguardo ai diversi presupposti di liceità, i trattamenti necessari per finalità di salute pubblica (art. 9, par. 2, lett. i), del Regolamento), di medicina preventiva e del lavoro (art. 9, parr. 2, lett. h), e 3, del Regolamento) e di ricerca scientifica a fini statistici (art. 9, par. 2, lett. j), del Regolamento).

Nel quadro dall’ordinamento vigente, anche nel contesto eccezionale, legato all’emergenza, occorre infatti che ciascuno dei soggetti chiamati a perseguire le predette finalità operi nell’ambito e nei limiti previsti dalla rispettiva disciplina applicabile, che ne costituisce la base giuridica, evitando la confusione di ruoli che può dare luogo a trattamenti illeciti di dati personali e che potrebbe determinare effetti lesivi dei diritti e delle libertà degli interessati.

Pertanto l’ordinanza n 75 del 7 luglio 2021 non individua in modo corretto le distinte finalità del trattamento perseguite, i titolari del trattamento legittimati a perseguirle, i diversi presupposti di liceità su cui debbono fondarsi i trattamenti, nonché le misure volte ad assicurare il rispetto dei principi di protezione dei dati con particolare riferimento a quello di liceità, correttezza e trasparenza e di protezione dei dati fin dalla progettazione e per impostazione predefinita (artt. 5 e 25 del Regolamento).

3. Trattamenti dei dati per finalità di sicurezza dei luoghi di lavoro. 

Alla luce delle precisazioni fornite dalla Regione (nota del XX, cit.), con la circolare successivamente emanata al fine di precisare e chiarire il portato dell’ordinanza n.75, è stato previsto, a tutela degli interessati, il coinvolgimento del medico competente nel trattamento dei dati.

In particolare, “all’esito della ricognizione del numero dei dipendenti degli Enti pubblici non ancora sottoposti a vaccinazione” le aziende devono rivolgere “- per il tramite dei datori di lavoro e, più in particolare, del medico competente – un “invito” a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente”. Successivamente “i lavoratori che all’esito dell’invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneità, da svolgersi nelle forme e secondo le modalità previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonché dei provvedimenti recentemente adottati in materia dal Garante per la Protezione dei Dati Personali, che si concluderà nella stesura e nel giudizio finale (di idoneità o di inidoneità) circa lo svolgimento della specifica mansione a cui il lavoratore ê assegnato”. A propria volta “i1 datore di lavoro, ricevuto il suddetto giudizio, attuerà le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (cfr. artt. 41, 42 e 279 del D.lgs. n. 81/2008 e ss.mm ii.). Inoltre è prevista l’adozione di “determinazioni consequenziali in ordine all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento” (cfr. circolare cit. p. 3; sul punto l’ordinanza, art. 3, comma 2, dispone infatti che “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna”).

In proposito si osserva che la finalità di sicurezza e salute sui luoghi di lavoro afferisce, tipicamente, all’adempimento degli obblighi in materia di “diritto del lavoro”, che legittimano il trattamento di dati personali dei dipendenti da parte del datore di lavoro (artt. 5, 6, par. 1, lett. c), 9, par. 2, lett. b), e 88 Regolamento) e del medico competente (art. 9, parr. 2, lett. h), e 3, del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), ciascuno nell’ambito dei differenti compiti ed entro i precisi limiti fissati dalla legge. Ciò anche nel quadro delle disposizioni nazionali più specifiche e di maggior tutela che garantiscono la dignità e la libertà del dipendente nel contesto lavorativo (artt. 88 del Regolamento e 113 del Codice; cfr., con riguardo al l tradizionale riparto di competenze tra il medico competente e il datore di lavoro, “Protezione dei dati: il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).

In tale quadro, le finalità e le operazioni del trattamento che devono essere poste in essere dal medico competente sono determinate esclusivamente dalla legge. In particolare le norme nazionali di settore in materia di tutela della salute e di sicurezza dei luoghi lavoro assegnano specifici compiti e responsabilità al medico competente e costituiscono la base giuridica dei relativi trattamenti dei dati personali di cui specificano anche le modalità (d.lgs. n. 81/2008).

Il professionista sanitario deve trattare i dati in modo autonomo, nel rispetto della disciplina di protezione dei dati e dei principi che regolano l’attività diagnostica, delle regole di deontologia professionale, con particolare riguardo al segreto. Per tali ragioni nello svolgimento di tali compiti che la legge gli attribuisce in via esclusiva, in particolare l’attività di sorveglianza sanitaria dei singoli lavoratori, il medico competente è, per legge, l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro. Né le sue valutazioni possono, per definizione, risentire o essere condizionate da terzi ovvero dalle scelte organizzative e gestionali dell’ente/datore di lavoro (ancorché in quella struttura organizzativa tale figura sia funzionalmente inserita), rispetto al quale deve, al contrario, mantenere autonomia e terzietà (art. 39 d.lgs. n. 81/2008).

In tale contesto, quindi, il trattamento dei dati personali anche relativi alla vaccinazione dei dipendenti, come precisato in recenti occasioni dal Garante, può certamente essere effettuato dal solo del medico competente (art. 9, parr. 2, lett. h), e 3. del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), stante gli specifici limiti per il trattamento di tali dati da parte del datore di lavoro, ma ciò deve comunque avvenire nei limiti e alle condizioni stabilite dalla richiamata disciplina di settore in materia di sicurezza sul lavoro.

In base a tale quadro normativo, il medico competente nell’ambito dei compiti di sorveglianza sanitaria che la legge gli attribuisce in via esclusiva (il medico “programma e effettuata la sorveglianza sanitaria”; “la sorveglianza sanitaria è effettuata dal medico competente”), è l’unico soggetto legittimato a trattare i dati relativi alla salute dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, del d.lgs. n. 81/2008), potendo, “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori, ovvero su richiesta del lavoratore in presenza di proprie specifiche o sopravvenute condizioni di salute, stabilire caso per caso se ricorrono i presupposti e la necessità di sottoporre i lavoratori a ulteriori visite straordinarie e/o a indagini diagnostiche (art. 41, commi 2 e 4, d.lgs. 81/2008).

Ciò in quanto il medico, anche nel periodo emergenziale in corso, non tratta i dati per conto o in base alle istruzioni e indicazioni di altri soggetti (enti pubblici, autorità sanitarie, datori di lavoro) ma in qualità di titolare del trattamento (artt. 4, n. 7, e 24 del Regolamento; cfr. EDPB, Guidelines 7/2020 on the concepts of controller and processor in the GDPR), nel quadro di specifiche diposizioni di legge finalizzate anzitutto al perseguimento della tutela della salute nei luoghi di lavoro e della collettività (cfr., v., in particolare Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 24 aprile 2020, aggiornato il 6 aprile 2021 il cui contenuto è vincolante per i datori di lavoro pubblici e privati; Circolare del Ministero della Salute del 29 aprile 2020, n. 0014915, recante “Indicazioni operative relative alle attività del medico competente nel contesto delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2 negli ambienti di lavoro e nella collettività”).

Per tali ragioni la previsione attraverso l’ordinanza presidenziale in esame di dar corso a una ricognizione generalizzata del numero di dipendenti non vaccinati e l’indiscriminata effettuazione di visite straordinarie in favore di tutti i dipendenti che si presentino “spontaneamente” dinanzi al medico competente dopo essere stati “formalmente invitati per il tramite dei datori di lavoro a ricevere la vaccinazione” (art. 3 ordinanza cit. ; ovvero dai datori di lavoro “per il tramite del medico competente” cfr. circolare, cit.), e dunque a prescindere dalle specifiche valutazioni del professionista sulla base del documento di valutazione dei rischi e di eventuali peculiari o sopravvenute condizioni di salute del singolo lavoratore, non risulta conforme al quadro normativo sopra descritto (art. 41 d.lgs. 81/2008).

Non sussistono, inoltre, i presupposti per un ricorso in modo generalizzato e preventivo alla sorveglianza sanitaria eccezionale prevista nel periodo dell’emergenza con esclusivo riguardo ai lavoratori “fragili” in quanto esposti a maggiori rischi, individuati dalle norme di settore nell’età o in pregressi o sopravvenuti stati morbosi (cfr., art. 83 del Decreto-Legge 19 maggio 2020, n. 34, convertito con modificazioni dalla l. 17 luglio 2020, n. 77; v. anche Circolare Ministero del lavoro e delle politiche sociali e del Ministero della salute n. 28877 del 04 settembre 2020-DGPREDGPRE-P -Aggiornamenti e chiarimenti con riguardo alle lavoratici e ai lavoratori “fragili”).

In ogni caso, come chiarito dal Garante, il medico che nell’ambito della sorveglianza sanitaria venga a conoscenza di dati relativi alla avvenuta o meno vaccinazione dei dipendenti può, considerata la specificità del contesto lavorativo, delle condizioni cliniche del singolo lavoratore nonché delle indicazioni fornite dalle autorità sanitarie anche in merito alla efficacia e affidabilità medico-scientifica del vaccino, valutare “se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica” del singolo lavoratore (cfr., FAQ in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it – doc. web n. 9543615).

Anche con riguardo a tale profilo, la procedura introdotta dalla Regione con la predetta ordinanza che prevede che l’adozione di “determinazioni consequenziali in ordine  all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino” (cfr. circolare p. 3; e ordinanza), non appare conforme al quadro normativo in materia di protezione dei dati, alla disciplina in materia di sicurezza dei luoghi di lavoro nonché alle disposizioni introdotte nel periodo dell’emergenza epidemiologica in corso, comportando trattamenti in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

4. I trattamenti di dati da parte dei datori di lavoro.

L’ordinanza n. 75, anche a seguito delle precisazioni effettuate con la successiva circolare, non chiarisce inoltre il ruolo e le finalità del trattamento dei dati effettuati dal datore di lavoro, prevedendo che le aziende sanitarie pongano in essere un interpello nei confronti di tutti gli Enti pubblici operanti nel territorio della Regione Siciliana funzionale alla “ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione “ e che tale attività di indagine, “utile ai fini della programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale”, debba avvenire assicurando la “gestione anonima” dei dati (cfr. nota del XX cit.).

Tuttavia né l’ordinanza né la circolare chiariscono quali specifiche misure tecniche e organizzative debbano essere adottate affinché, in ragione della particolare delicatezza delle informazioni trattate e degli elevati rischi e delle possibili conseguenze, anche indirette, per gli interessati nel contesto lavorativo e professionale (cfr., con riguardo alla “vulnerabilità” degli interessati nel contesto lavorativo, cfr. artt. 35 e 88, par. 2, del Regolamento e “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017), le aziende sanitarie e i datori di lavoro possano assicurare in tutte le fasi del trattamento e fin dal momento “la necessaria interlocuzione con gli Enti pubblici datoriali, l’anonimato del personale dipendente”, essendo particolarmente generico il mero riferimento in via esemplificativa all’ ”|invio di questionari da compilare in forma anonima” (cfr. circolare, cit.).

Non è, inoltre, specificato con quali modalità e garanzie il datore di lavoro possa acquisire nell’ambito della propria struttura organizzativa il solo dato numerico relativo ai dipendenti non vaccinati, con la conseguenza che le decisioni e le scelte organizzative e tecniche in proposito – che possono comportare trattamenti di dati personali non conformi alla disciplina di protezione dei dati e/o incidere anche sul livello di sicurezza e integrità dei dati trattati (art. 5, par. 1, lett. f), e 32 del Regolamento) – siano rimesse alle valutazioni di volta in volta, assunte da singoli datori di lavoro.

Si aggiunga, peraltro, che la prospettata raccolta e comunicazione di dati numerici e non nominativi da parte dei datori di lavoro può, specie nei contesti lavorativi di piccole dimensioni, consentire di identificare, anche indirettamente, gli interessati, anche in ragione della disponibilità di ulteriori informazioni, quali il profilo professionale, l’unità produttiva e il comprensorio territoriale.

I datori di lavoro posso legittimamente trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), dei dipendenti se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla normativa nazionale e comunitaria (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento). Ad eccezione, pertanto, di quanto previsto per la vaccinazione quale requisito professionale per il personale sanitario, il trattamento da parte del datore di lavoro di dati relativi allo stato vaccinale dei dipendenti non è previsto da alcuna disposizione di legge (artt. 5, par. 1, lett. a), nonché 9, par. 2, lett. b), del Regolamento).

Pertanto, nell’ambito delle procedure previste dalla predetta ordinanza, il trattamento da parte dei datori di lavoro di informazioni, che consentano anche indirettamente l’identificazione degli interessati, possono determinare trattamenti di dati personali privi di idonea base giuridica e porsi in contrasto, in talune circostanze, con le disposizioni dell’ordinamento che vietano al datore di lavoro di conoscere informazioni attinenti alla salute e alla sfera privata del lavoratore (art. 88 del Regolamento, art. 113 del Codice in relazione all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276; cfr. Corte di Giustizia, Grande Sezione, sentenza 11 settembre 2018, causa C-68/17).

Tali norme, volte a prevenire effetti discriminatori nel contesto lavorativo, costituiscono nell’ordinamento interno quelle disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione – analogamente alle specifiche situazioni di trattamento del capo IX del Regolamento – determina anche l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d), del Regolamento (cfr., da ultimo, con specifico riguardo alla violazione dell’art.113 del Codice nell’ambito lavorativo pubblico, provv. n. 190 del 13 maggio 2021, doc. web n. 9669974; cfr., anche la giurisprudenza della Corte europea dei diritti dell’uomo, nel caso Antovic e Mirković v. Montenegro, Application n. 70838/13 del 28.11.2017, che ha stabilito che il rispetto della “vita privata” deve essere esteso anche ai luoghi di lavoro pubblici, richiamando il rispetto delle garanzie previste dalla legge nazionale applicabile).

RITENUTO

alla luce delle rilevanti criticità sopra illustrate, che quanto previsto dall’ordinanza presidenziale della Regione Siciliana n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, non risulta conforme alla disciplina in materia di protezione dei dati personali in quanto:

–   individua misure per la prevenzione e gestione dell’emergenza epidemiologica da Covid 19 che prevedono il trattamento di informazioni personali, relative alla salute degli interessati, e incidono sui diritti e libertà degli stessi che possono essere introdotte solo da una norma del diritto dell’Unione o nazionale di rango primario che abbia le caratteristiche richieste dal Regolamento e previa acquisizione del parere dell’Autorità;

–   introduce trattamenti preventivi e generalizzati di dati relativi allo stato vaccinale dei dipendenti, non previsti da alcuna disposizione di legge statale e comunque non conformi alle disposizioni di settore, in violazione dei principi di protezione dei dati e senza prevedere misure adeguate a garantire la protezione dei dati in ogni fase del trattamento (artt. 5, 6, 9, 25 e 32 del Regolamento e artt. 2-ter e 2-sexies del Codice);

–   introduce trattamenti che, in assenza di specifiche e adeguate misure tecniche e organizzative, possono comportare la violazione da parte dei datori di lavoro della disciplina nazionale più specifiche e di maggiore garanzia a tutela della dignità degli interessati nei luoghi di lavoro (art. 88 del Regolamento, art. 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276).

Considerato che il Regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento (art. 58, par 2, lett. a)) e che ricorre l’esigenza di intervenire tempestivamente al fine di tutelare i diritti e le libertà degli interessati prima che le richiamate violazioni producano effetti.

Considerato quindi che risulta necessario avvertire la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) del fatto che i trattamenti di dati personali di cui all’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, in assenza di interventi correttivi, possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276).

Ritenuto inoltre di comunicare il presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, per le valutazioni di competenza anche al fine di segnalare alle regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.

TUTTO CIÒ PREMESSO, IL GARANTE

a)    ai sensi dell’art. 58, par 2, lett. a), del Regolamento avverte la Regione Siciliana (C.F. 80012000826) e tutti i soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276.

b)    trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza;

c)    ai sensi dell’art. 154-bis, comma 3, del Codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

 

Roma, 22 luglio 2021

 

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Garante Privacy: maggiori tutele per i dati giudiziari

Reading Time: 2 minutes

 1,322 total views,  1 views today

Il Garante per la privacy ha espresso parere favorevole sullo schema di regolamento, predisposto dal Ministero della giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti.

Il testo, che recepisce buona parte delle indicazioni fornite dall’Autorità nel corso di diverse interlocuzioni con il Ministero, rafforza in maniera significativa le tutele previste per le persone e definisce un complesso di garanzie minime e coerenti nei principali settori nei quali possono essere trattati dati giudiziari: dall’ambito forense al mondo del lavoro, dalla verifica dei requisiti di onorabilità a quella della solidità e affidabilità di soggetti privati, dall’ambito assicurativo a quello delle professioni intellettuali o della ricerca storica e statistica, oppure nella mediazione e conciliazione delle controversie civili e commerciali.

La bozza di regolamento si applica anche ai dati relativi alle misure di prevenzione, come quelle per gli indiziati di appartenenza ad associazione di tipo mafioso. Il testo prescrive inoltre che tutti i titolari rispettino i principi di proporzionalità e di minimizzazione previsti dal Gdpr, trattando solo dati indispensabili e per il tempo strettamente necessario rispetto alla finalità perseguita. Chi tratta i dati, dovrà anche verificare l’affidabilità delle fonti, adottando specifiche garanzie volte ad assicurare l’esattezza dei dati trattati, che dovranno essere sempre aggiornati rispetto, tra l’altro, all’evoluzione della posizione giudiziaria dell’interessato.

Al fine di rafforzare ulteriormente le garanzie già previste nel testo del Ministero, il Garante ha comunque espresso nel parere ulteriori osservazioni. In particolare, il Garante ha richiesto che le garanzie introdotte con il decreto siano previste come parametro di riferimento minimo anche per quei trattamenti che vengono svolti in ambito pubblico sulla base di previsioni normative diverse. Ha inoltre chiesto che sia prestata particolare attenzione ai dati giudiziari raccolti da fonti aperte in caso di trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità nei pagamenti. In tali casi si dovrebbero ammettere, quali legittime fonti di raccolta, solo i siti internet istituzionali, nonché quelli di ordini professionali e di associazioni di categoria.

Il Garante ha inoltre sottolineato che, nella maggior parte dei casi, il consenso dell’interessato non può essere considerato una base giuridica legittima per il trattamento dei dati giudiziari; questo aspetto vale in particolare nella gestione del rapporto di lavoro dove il dipendente si trova in una posizione di disparità tale, rispetto al datore di lavoro, da non garantire una libera espressione del consenso.

L’Autorità ha infine rilevato l’importanza di disciplinare anche i trattamenti svolti da soggetti no-profit, per finalità di mediazione e conciliazione delle controversie civili e commerciali, nonché quelli per finalità di accesso a sistemi o aree sensibili in determinati ambiti, particolarmente rilevanti nel contesto socio-economico attuale.

Privacy: sindaco di Messina costretto dal Garante a rimuovere foto di minori disagiati e sanzionato per 50.000 euro

Reading Time: 2 minutes

 1,388 total views,  1 views today

Per denunciare situazioni di degrado presenti nel suo Comune, un sindaco non può pubblicare sulle proprie pagine social immagini e video in chiaro di minorenni disabili e di persone disagiate, o di presunti autori di trasgressioni esponendoli ai commenti offensivi degli utenti del social network.

Lo ha stabilito il Garante per la privacy, in un recente provvedimento, ordinando al sindaco di Messina di rimuovere dal proprio profilo le immagini pubblicate e sanzionandolo per 50mila euro.

L’Autorità è intervenuta a seguito di alcune segnalazioni che denunciavano un utilizzo di dati non conforme alla disciplina in materia di dati personali da parte del sindaco.

Nel corso del procedimento è emerso che all’interno della pagina Facebook “De Luca Sindaco di Messina”, tra gli altri contenuti, era pubblicato un video che ritraeva persone riconoscibili e in evidenti condizioni di difficoltà socio-economica, senza che la loro identificabilità fosse giustificata da ragioni di interesse pubblico. La pubblicazione del video, a giudizio del Garante, travalica i limiti posti dal principio di essenzialità dell’informazione stabilito dalle disposizioni in materia di protezione dei dati personali e dalla Regole deontologiche dei giornalisti, viola il diritto di non discriminazione e lede la dignità delle persone riprese.

In un’altra pagina del profilo era stata pubblicata, inoltre, l’immagine di un ragazzo disabile, associata al provvedimento che assegnava ai genitori un posto auto nei pressi dell’abitazione, per di più con l’indirizzo in chiaro. Anche in questo caso la diffusione è risultata ingiustificata ed in contrasto sia con il principio di essenzialità dell’informazione che con le disposizioni poste a tutela dei minori e delle persone con problemi di salute.

Altre immagini e video – diffusi senza rendere irriconoscibili i minori ripresi in condizioni di degrado per documentare la questione delle “baraccopoli” o la descrizione delle condizioni di salute di una bambina – sono risultati anch’essi in contrasto con le norme a tutela della riservatezza e in violazione delle regole fissate dalla Carta di Treviso. Quanto alle immagini di presunti trasgressori delle norme sul decoro urbano, il Sindaco aveva provveduto ad eliminarle nel corso dell’istruttoria.

A conclusione del procedimento l’Autorità ha quindi vietato al sindaco di Messina l’ulteriore trattamento dei dati, eccettuata la loro conservazione ai fini di un eventuale utilizzo in sede giudiziaria, e gli ha ordinato il pagamento di una sanzione di 50mila euro.

dalla Newsletter del Garante per la Privacy.

Privacy: il Garante infligge a Iren una sanzione di 3 milioni di euro

Reading Time: < 1 minute

 1,356 total views

Il consenso, inizialmente rilasciato da un cliente ad una società anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni infatti non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato.

Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso. A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati personali per attività di telemarketing, che non aveva raccolto direttamente, ma che aveva acquisito da altre fonti. Iren infatti aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren.

L’ammontare della sanzione applicata dal Garante, è stato motivato anche dal fatto che le liste anagrafiche, prive di tutti i consensi necessari e di cui il Garante ha vietato ogni ulteriore utilizzo a fini promozionali, riguardavano diversi milioni di persone. L’Autorità ha infine rivolto un avvertimento alla società per aver fornito una rappresentazione ed una documentazione probatoria incompleta ed inidonea durante l’istruttoria.

dalla Newsletter del Garante per la Privacy

Il Garante della Privacy ha disposto il blocco dell’app PA-IO

Reading Time: 13 minutes

 1,546 total views

Il Garante della privacy ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app che prevedono l’interazione con i servizi di Google e Mixpanel, e che comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso. (Vedere qui)

Ecco il testo del Provvedimento:


Provvedimento correttivo nei confronti di PagoPA sul funzionamento dell’App IO – 9 giugno 2021

Registro dei provvedimenti
n. 230 del 9 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 64-bis del decreto legislativo 7 marzo 2005, n. 82, (di seguito, CAD), che, al comma 1, prevede le pubbliche amministrazioni “rendono fruibili i propri servizi in rete, in conformità alle Linee guida, tramite il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri”;

VISTO l’art. 8, comma 3, del decreto legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, che prevede che, per la progettazione, lo sviluppo, la gestione e l’implementazione del punto di accesso telematico di cui al predetto art. 64-bis del CAD, la Presidenza del Consiglio dei Ministri si avvale della società PagoPA S.p.a., istituita con d.P.C.M. 19 giugno 2019, ai sensi del comma 1 del medesimo art. 8 del d.l. 135/2018 (di seguito, PagoPA o Società);

VISTI lo schema di Linee guida di cui all’art. 64-bis del CAD, trasmesso al Garante dall’Agenzia per l’Italia digitale (di seguito, AgID) per il parere previsto dall’art. 71 del CAD – in una prima versione in corso di aggiornamento – il 3 maggio 2021, e la valutazione di impatto sulla protezione dei dati, trasmessa dalla Società il 26 giugno 2020, relativa alle caratteristiche dei trattamenti illo tempore effettuati, in fase di sperimentazione;

RILEVATO che il predetto punto di accesso telematico è costituito dall’App IO per dispositivi mobili (scaricabile gratuitamente dagli app store di Apple e Google) e dall’insieme dei sistemi e delle componenti tecnologiche messe a disposizione da PagoPA (di seguito, nel loro complesso, Piattaforma IO), ed è integrato con la piattaforma di cui all’art. 5, comma 2, del CAD (c.d. “Piattaforma PagoPA”);

VISTO il provvedimento n. 102 del 12 giugno 2020 (doc. web n. 9367375), con il quale il Garante, oltre a rilasciare il parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate adottato ai sensi dell’art. 176 del decreto legge 19 maggio 2020, n. 34 – convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, in materia di “tax credit vacanze” (c.d. bonus vacanze) – ha altresì autorizzato l’Agenzia delle entrate ad utilizzare la Piattaforma IO, ai sensi degli artt. 58, par. 3, lett. c), del Regolamento e 2-quinquiesdecies del Codice, nel rispetto delle seguenti prescrizioni:

l’utente deve essere informato della possibilità di disattivare le notifiche push e anche sui trattamenti effettuati in caso di attivazione delle stesse, assicurando, in ogni caso, che il contenuto delle notifiche si limiti ad avvisare l’utente della necessità di consultare l’App, senza fornire indicazioni di dettaglio relative al mittente e al contenuto del messaggio oggetto della notifica (punto 5.2 del provvedimento);

occorre garantire che la predetta App non preveda l’adesione automatica a tutti i servizi ivi disponibili e alla relativa messaggistica, adottando misure tecniche e organizzative necessarie a garantire agli utenti la possibilità di scegliere gli Enti erogatori da cui ricevere la predetta messaggistica (c.d. modalità opt-in), anche nella fase sperimentale (punto 5.3 del provvedimento);

deve essere assicurata la legittimità del trasferimento dei dati personali verso Paesi terzi, considerato che, per la gestione della Piattaforma IO, PagoPA si avvale di alcuni fornitori (tra cui Microsoft, Google, Instabug e Mixpanel) che effettuano trattamenti al di fuori dell’Unione europea (punto 5.4 del provvedimento);

VISTO, inoltre, il provvedimento n. 232 del 26 novembre 2020 (doc. web n. 9492345), con il quale il Garante si è espresso, ai sensi degli artt. 58, par. 3, lett. c), del Regolamento e 2-quinquiesdecies del Codice, in merito all’utilizzo dell’App IO per l’attuazione del Programma infrannuale di rimborso in denaro (c.d. cashback) di cui all’art. 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160, da parte del Ministero dell’economia e delle finanze, richiamando le predette prescrizioni e riservandosi ogni ulteriore valutazione all’esito della complessiva istruttoria in merito ai trattamenti effettuati nell’ambito dell’App IO quale punto di accesso telematico di cui all’art. 64-bis del CAD;

RILEVATO, altresì, che, da ultimo, l’art. 42, comma 2, del decreto legge 31 maggio 2021, n. 77, ha previsto che “le certificazioni verdi COVID-19 di cui all’articolo 9 del decreto-legge 22 n. 52 del 2021, sono rese disponibili all’interessato […] anche tramite il punto di accesso telematico di cui all’articolo 64-bis del decreto legislativo 7 marzo 2005, n. 82”, e che il Garante, nel rendere il parere con il provvedimento adottato in data odierna, sullo schema di decreto del Presidente del Consiglio dei Ministri di attuazione, che disciplina i trattamenti connessi all’attivazione della Piattaforma nazionale-DGC per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19, si è riservato di effettuare ulteriori approfondimenti sull’utilizzo dell’App IO;

CONSIDERATO che il predetto punto di accesso telematico rappresenta una delle c.d. piattaforme abilitanti al centro delle politiche di trasformazione digitale della pubblica amministrazione e che l’App IO, allo stato scaricata da circa 11,5 milioni di utenti, attualmente rende disponibili oltre 12 mila servizi erogati da più di 5 mila enti a livello nazionale e locale;

RITENUTO, pertanto, necessario assicurare che, nelle more dell’adozione delle citate Linee guida attuative dell’art. 64-bis del CAD e della valutazione complessiva del Garante sui trattamenti che si intendono effettuare attraverso il predetto punto di accesso telematico, i trattamenti di dati personali attualmente in essere, o che si intendono a breve avviare, attraverso la Piattaforma IO, avvengano comunque nel rispetto del Regolamento e del Codice;

CONSIDERATI i recenti approfondimenti istruttori di carattere tecnico-giuridico effettuati d’ufficio, per tali ragioni, sulla base dell’analisi del codice sorgente dell’App IO, della documentazione disponibile in rete, relativa anche alle librerie software richiamate all’interno dell’App, nonché dell’osservazione del comportamento tenuto dalla stessa durante la sua esecuzione su un dispositivo mobile, con particolare riguardo alle sue interazioni con i servizi di Google LLC (di seguito, Google), Mixpanel Inc. (di seguito, Mixpanel) e Instabug Inc. (di seguito, Instabug), società stabilite negli Stati Uniti, responsabili del trattamento di PagoPA, che si avvalgono anche di sistemi informatici (risorse elaborative e di memorizzazione) ivi ubicati e di ulteriori fornitori anch’essi stabiliti in Paesi terzi;

RILEVATI i gravi elementi di criticità emersi nel corso dei predetti approfondimenti istruttori, che richiedono un immediato esame dell’Autorità, in ragione dei rischi di elevata probabilità e gravità che presentano per i diritti e le libertà degli interessati di seguito illustrati:

A) le interazioni dell’App IO con i servizi di Google e Mixpanel: l’App IO, all’atto del primo avvio e durante la sua esecuzione sul dispositivo di un utente, archivia talune informazioni sullo stesso e, in alcuni casi, accede a informazioni già archiviate, per trasmetterle a Google e Mixpanel. In particolare:

con riferimento all’utilizzo delle librerie software di Google, è emerso che l’App IO, al suo primo avvio su un dispositivo Android, effettua in modo automatico l’inizializzazione dei servizi Firebase di Google, creando così un identificativo univoco associato all’installazione dell’App, che sarebbe necessario, nel caso in esame, solo ai fini dell’invio di notifiche push da parte di Google. Tale identificativo viene, invece, generato, per impostazione predefinita, in relazione ai dispositivi di tutti gli utenti dell’App IO, a prescindere dalla volontà di ciascuno di avvalersi di tale servizio di notifica, e viene utilizzato anche nell’ambito di alcune interazioni dell’App con i servizi Firebase Analytics di Google che consentono, quantomeno, di monitorare le installazioni dell’App IO sui dispositivi degli utenti. Ciò, senza che sia chiara la finalità di tale trattamento e, peraltro, senza che l’utente ne sia adeguatamente informato e sia messo nelle condizioni di esprimere, in modo consapevole, il consenso previsto dall’art. 122 del Codice;

con riguardo, invece, alle librerie software di Mixpanel, si osserva che, come anche evidenziato da PagoPA nella determinazione di acquisto di tale servizio, disponibile sul sito della Società, queste rappresentano uno “strumento di analisi dei prodotti tecnologici volto a comprendere il comportamento degli utenti dei singoli prodotti, a visualizzarne, segmentarne ed analizzarne i dati, al fine di misurarne il successo e la diffusione e individuarne, per questa strada, aree di miglioramento” ed “è in grado di offrire informazioni dettagliate e in tempo reale su come le persone interagiscono con l’App in modo da potersi concentrare sulle funzionalità di maggior impatto e innovare più velocemente i servizi digitali resi disponibili al cittadino sull’App”. Gli accertamenti tecnici effettuati hanno evidenziato che le librerie di tracciamento di Mixpanel, presenti all’interno dell’App IO, sono state configurate per inviare automaticamente e sistematicamente i dati relativi a una pluralità di eventi (generati nel corso dell’utilizzo dell’app da parte dell’utente) ai sistemi di Mixpanel, unitamente a un identificativo unico dell’utente. Ciò, senza che l’utente, anche in questo caso, ne sia adeguatamente informato e sia posto nelle condizioni di esprimere il consenso di cui all’art. 122 del Codice. Le informazioni inviate a Mixpanel riguardano, tra le altre, il bonus vacanze dell’Agenzia delle entrate (es. eventi relativi alla verifica dei requisiti per la richiesta del bonus e alla generazione dello stesso), il programma cashback del Ministero dell’economa e finanze (es. l’elenco delle transazioni che partecipano al programma cashback e i c.d. hashpan degli strumenti di pagamento elettronico degli utenti, ), nonché l’utilizzo della Piattaforma PagoPA (es. gli eventi relativi all’aggiunta di strumenti di pagamento al portafoglio dell’utente e all’esecuzione di pagamenti a favore di pubbliche amministrazioni e gestori di pubblici servizi). Al riguardo, occorre tener presente che l’identificativo univoco utilizzato, in base alle sue caratteristiche, è qualificabile come dato personale e può essere utilizzato per creare profili degli utenti dell’App IO e identificarli, essendo generato mediante una funzione deterministica, peraltro resa pubblica (cfr. repository GitHub dell’App IO), che, a partire dal codice fiscale di un utente, produce sempre lo stesso identificativo, anche in caso di utilizzo di un diverso dispositivo mobile, consentendo così la reidentificazione degli interessati. Ciò, in quanto tale identificativo presenta un elevato grado di associabilità al codice fiscale dell’utente, tenuto anche conto che, nel caso in esame, l’identificativo è trasmesso dall’App IO ai sistemi di Mixpanel unitamente all’indirizzo IP del dispositivo dell’utente e ad altre informazioni relative al suo dispositivo e agli eventi oggetto di tracciamento;

B) l’attivazione automatica dei servizi offerti all’interno dell’App IO: risulta accertato che, contrariamente a quanto già prescritto dal Garante con il citato provvedimento del 12 giugno 2020, all’atto del primo accesso da parte dell’utente, tutti i servizi resi disponibili da ogni ente presente nell’App IO, sia a livello nazionale che locale, e quelli che progressivamente diverranno disponibili, sono già attivi, per impostazione predefinita, e spetta all’utente provvedere a disattivare, in modo puntuale, i servizi non di interesse (c.d. modalità opt-out), il cui numero, di recente aumentato esponenzialmente, è pari, a oggi, a oltre 12 mila servizi riferibili a più di 5 mila enti. Non è stata, peraltro, implementata una funzionalità per consentire all’interessato di disattivare in blocco tutti i servizi presenti nell’App, né per disattivare tutti i servizi offerti da un singolo ente;

C) l’utilizzo delle notifiche push: l’utilizzo di tali notifiche per informare gli utenti della ricezione di un messaggio all’interno dell’App IO comporta inevitabilmente il trattamento di dati personali da parte dei gestori dei sistemi operativi dei dispositivi utilizzati (Apple e Google). Inoltre, è stato accertato che, per ciascun servizio attivo, risultano abilitate, per impostazione predefinita, oltre all’inoltro dei messaggi via e-mail, anche le funzionalità relative all’invio delle predette notifiche, con la conseguenza che l’identificativo univoco attribuito da Google agli utenti con dispositivi Android (cfr. lett. A), punto 1) viene generato anche laddove l’interessato decida di non avvalersi di tale modalità di notifica;

RITENUTO, alla luce di quanto sopra esposto, che, in particolare:

l’utilizzo delle librerie di Google e Mixpanel comporti, seppur in misura differente tra loro, un tracciamento che consente di ricondurre, a soggetti determinati identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso dei diversi servizi offerti all’interno dell’App IO, che non risulta strettamente necessario per erogare i servizi esplicitamente richiesti da un utente nell’ambito dell’App IO, né, con riferimento a Mixpanel, è necessario per il perseguimento delle finalità di “assistenza, debug e miglioramento dell’App IO” dichiarate da PagoPA (nell’informativa resa agli utenti e nella documentazione fornita al Garante). Ciò, peraltro, senza che siano chiare le finalità dei trattamenti effettuati attraverso tali strumenti e senza che l’utente sia adeguatamente informato e possa esprimere quindi con piena consapevolezza il consenso, previsto dall’art. 122 del Codice, per l’archiviazione di informazioni sul proprio dispositivo e per l’accesso a quelle già archiviate;

la sistematica raccolta e i successivi trattamenti delle sopraccitate informazioni, aventi carattere estremamente personale (es. transazioni economiche e hashpan degli strumenti di pagamento degli utenti, trattati da PagoPA nell’ambito del programma cashback in qualità di responsabile del trattamento per conto del Ministero dell’economia e delle finanze) e riferite a milioni di interessati, sui sistemi di Mixpanel, non risultino conformi, oltreché ai principi di liceità, correttezza e trasparenza e di limitazione della finalità, anche ai principi di minimizzazione e di integrità e riservatezza (quest’ultimo con particolare riguardo alla mancata adozione di misure adeguate a garantire la riservatezza degli hashpan degli strumenti di pagamento degli utenti) di cui all’art. 5, par. 1, del Regolamento;

il ricorso ai servizi offerti da Google, Mixpanel e Instabug, che a loro volta si avvalgono di numerosi fornitori stabiliti fuori dall’Unione europea, comporta inevitabilmente il trasferimento dei dati sopra descritti verso Paesi terzi (es. Stati Uniti, India, Australia), in relazione ai quali non è stata comprovata, allo stato, l’adozione di garanzie adeguate ai sensi degli artt. 44 e ss. del Regolamento. Ciò, tenuto conto anche che, indipendentemente dal luogo in cui sono ubicati i sistemi informatici su cui conservati i dati personali degli utenti dell’App IO, l’accesso remoto a tali sistemi di trattamento, da parte di soggetti stabiliti al di fuori dell’Unione europea, configura comunque un trasferimento di dati verso Paesi terzi (cfr., sul punto, le “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati”, adottate dal Comitato europeo per la protezione dei dati il 10 novembre 2020, spec. note 22 e 27);

l’attivazione, per impostazione predefinita, di tutti i servizi disponibili all’interno dell’App IO (oltre 12 mila), con la descritta abilitazione automatica della ricezione di notifiche push e di inoltro via e-mail, non consente agli utenti la possibilità di scegliere gli enti e i servizi per i quali ricevere le predette notifiche e i messaggi in modalità opt-in, elemento che deve ritenersi necessario, nel caso di specie, anche in considerazione della mancata adozione di modalità semplificate per la disattivazione degli stessi da parte degli utenti, in contrasto, quindi, con i principi di proporzionalità e di privacy by design e by default;

CONSIDERATA, su tale base, la necessità di intervenire urgentemente su tali aspetti per tutelare i diritti e le libertà degli interessati, nelle more della conclusione degli accertamenti in corso, in ragione del fatto che, come sopra rappresentato, i trattamenti in esame coinvolgono milioni di interessati e sono riferibili a sempre più numerosi servizi offerti da pubbliche amministrazioni e gestori di pubblici servizi attraverso l’App IO, che riguardano anche dati particolarmente delicati (es. transazioni economiche e strumenti di pagamento) e sulla salute, tenuto conto che è stato recentemente prospettato anche l’utilizzo dell’App IO per la messa a disposizione degli utenti delle certificazioni verdi Covid-19;

RITENUTO, dunque, in via d’urgenza – essendo la notifica di cui all’art. 166, comma 5, del Codice incompatibile con la natura e le finalità del presente provvedimento – di dover adottare le seguenti misure:

1) imporre a PagoPA, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, la limitazione provvisoria – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con:

a) i servizi di Google, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità;

b) i servizi di Mixpanel, sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati, già inviati a Mixpanel, effettuato per finalità diverse dalla mera conservazione degli stessi;

2) ingiungere a PagoPA, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare, entro trenta giorni dalla ricezione del presente provvedimento, misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché quelle necessarie ad assicurare le medesime garanzie nei confronti di coloro che risultano già utenti dell’App in relazione ai servizi attivati automaticamente;

3) ingiungere a PagoPA, ai sensi dell’art. 157 del Codice, di fornire all’Autorità:

a) entro trenta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle misure che intende adottare al fine di rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti effettuati mediante l’App IO che prevedono le interazioni di cui al precedente punto 1), lett. a) e b);

b) entro quaranta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2);

RISERVATA ogni altra determinazione, anche sanzionatoria, da adottarsi nei confronti dei soggetti a vario titolo coinvolti nei trattamenti di dati personali effettuati mediante la Piattaforma IO, sulla base di successivi approfondimenti e di interlocuzioni con la Società;

TENUTO CONTO che: l’inosservanza di un ordine di limitazione provvisoria del trattamento adottato dal Garante è soggetta alla sanzione penale di cui all’art. 170 del Codice e alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e), del Regolamento; l’inosservanza di un ordine adottato dal Garante ai sensi dell’art. 58, par. 2, del Regolamento è soggetta alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 6, del Regolamento; il mancato riscontro a una richiesta di informazioni di cui all’art. 157 del Codice, è soggetto, ai sensi dell’art. 166, comma 2, del Codice, alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

RITENUTO che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 del Garante concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, impone a PagoPA S.p.A. (CF/P.IVA 15376371009) la limitazione provvisoria – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con:

a) i servizi di Google LLC, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità per taluni servizi;

b) i servizi di Mixpanel Inc., sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati già inviati a Mixpanel effettuato, anche da parte di altri soggetti, per finalità diverse dalla mera conservazione degli stessi;

2) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a PagoPA S.p.A. di adottare, entro trenta giorni dalla ricezione del presente provvedimento, misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché ad assicurare le medesime garanzie nei confronti di coloro per i quali, essendo già utenti dell’App IO, sono stati attivati automaticamente servizi non richiesti in modo libero, esplicito e specifico;

3) ai sensi dell’art. 157 del Codice, ingiungere a PagoPA S.p.A., di fornire all’Autorità:

a) entro trenta giorni dalla ricezione del presente provvedimento, un riscontro, adeguatamente documentato, in merito alle misure che intende adottare al fine di rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti effettuati mediante l’App IO che prevedono le interazioni di cui al precedente punto 1), lett. a) e b);

b) entro quaranta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2);

4) dispone la trasmissione del presente provvedimento anche alla Presidenza del Consiglio dei Ministri, al Ministero dell’economia e delle finanze, al Ministero della salute, all’Agenzia delle entrate e all’AgID per le valutazioni di competenza;

5) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del decreto legislativo 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 9 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Telemarketing selvaggio: l’ordinanza-ingiunzione del Garante della privacy a Planet Group s.p.a.: 80.000 euro di sanzione amministrativa

Reading Time: 19 minutes

 137 total views

Finalmente veniamo a capo di uno dei filoni più importanti e resistenti del Telemarketing selvaggio, quelle aziende che ci chiamano sul telefono (cellulare!) per proporci di tutto, dal trading on line al cambio di gestore telefonico, da una nuova fornitura di gas e luce all’acquisto di generi alimentari on line (a me è successo anche questo).

Si chiama Planet Group, e ha contattato in poco meno di tre anni (dal 2016 al 2019) qualcosa come 47.981 utenze telefoniche per conto della TIM. Il Garante per la protezione dei dati personali ha aperto un’istruttoria, che si è conclusa con l’irrogazione di una sanzione pecuniaria di ben 80.000 euro. Sanzioni di minore entità sono state irrogate alla Plurima s.r.l. (5000 euro, anche in considerazione dello stato di grave crisi economica in cui versa dopo il ritiro ell’incarico di intermediario da parte di TIM) e Mediacom s.r.l. (15000 euro).

Ma leggete il testo di questa ordinanza-ingiunzione e come si è svolta l’istruttoria. E’ un testo molto lungo ma vi posso assicurare che ne vale la pena. Perché, checché ne pensiate, sia pure dopo anni, TUTTE le segnalazioni e i reclami inviati al Garante sortiscono il loro effetto. Ed è giusto tutelare la nostra privacy, perché siamo diventati merce, non persone. E allora avanti così.


Ordinanza ingiunzione nei confronti di Planet Group spa – 11 marzo 2021

Registro dei provvedimenti
n. 98 dell’11 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presiden-te, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati perso-nali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI, fra i provvedimenti del Garante a contenuto generale più rilevanti, le Linee guida in materia di attività promozionale e contrasto allo spam, 4 luglio 2013, doc. web n. 254234 e il provv. gen. 19 gennaio 2011, Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l’impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni, doc. web n. 1784528;

VISTI le numerose doglianze pervenute all’Autorità, contenute in segnalazioni e reclami, riguardanti anche la ricezione di chiamate promozionali indesiderate per conto di TIM s.p.a., alcune imputate direttamente agli operatori di “Planet Group”;

VISTI gli esiti degli accertamenti effettuati presso Tim s.p.a., destinataria del provvedimento, correttivo e sanzionatorio, del 15 gennaio 2020 [doc. web n.  9256486], nonché presso le socie-tà di call center – come Planet Group spa (di seguito indicata come: “Planet Group” o “la Società”) – incaricate dello svolgimento delle campagne promozionali;

VISTI la memoria del 13 novembre 2020 nonché il verbale di audizione di Planet Group del 30 novembre 2020;

VISTA la complessiva documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Le doglianze degli interessati

Sono pervenute all’Autorità, dal 2017 ai primi mesi del 2019 (peraltro, secondo una dinamica confermatasi anche nei mesi successivi), numerosissime doglianze (nell’ordine di varie centinaia), contenute in segnalazioni e reclami, in particolare riguardanti la ricezione di chiamate promozionali, per conto di TIM s.p.a. avvenute:

a) in assenza di consenso degli interessati; oppure:

b) nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni; ovvero

c) anche dopo l’esercizio del diritto di opposizione.

In taluni casi (XX; XX; XX) sono state evidenziate, proprio con riguardo agli operatori di Planet Group, telefonate reiterate particolarmente insistenti e poco attente alle esigenze ed impegni pur prospettate dagli interessati al momento del contatto.

2. L’attività istruttoria dell’Ufficio e relativi esiti.

In ragione di tale situazione l’Autorità ha ritenuto opportuno effettuare un’articolata attività istruttoria, al fine di acquisire maggiori elementi di valutazione rispetto alle suindicate doglianze, procedendo con accertamenti ispettivi presso Tim e i suoi partner, fra cui Planet Group, ove le operazioni sono state avviate il 27 marzo 2019. Successivamente (il 30 settembre 2019) l’Ufficio ha inviato una prima richiesta di informazioni integrative con riguardo alle modalità del trattamento, in relazione alla quale la Società ha fornito riscontro il 13 dicembre 2019. Sono state successivamente formulate alcune ulteriori richieste di informazioni riguardo ad altre doglianze (pervenute tramite segnalazioni e reclami), rispetto alle quali la Società ha fornito riscontri, rispettivamente, il 17 dicembre 2019 e il 1° luglio 2020.

Sulla base dei suddetti riscontri nonché della documentazione complessivamente acquisita, l’Ufficio, il 12 ottobre u.s., ha provveduto ad inviare a Planet Group comunicazione di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, esponendo quanto segue.

Planet Group- nel periodo compreso fra il 1° gennaio 2016 e il 13 dicembre 2019 – ha contattato, per conto dei propri committenti (fra cui Tim) un numero complessivo di 47.981 utenze telefoniche “referenziate” (ossia estranee alle liste di contattabilità fornite da Tim, ma suggerite dai soggetti contattati in esse inseriti).

Con riferimento a tali contatti, Planet Group non ha circostanziato né dimostrato lo status di “referenziato” per le singole utenze contattate “fuori lista” (inclusi, fra gli elementi, l’origine e le modalità esatte, anche temporali, di acquisizione dei dati in questione), ma si è limitata a definirle, genericamente ed indistintamente, quali utenze “referenziate”, nel sen-so sopra individuato (v. riscontro 13 dicembre 2019, cit.) e ad indicare l’utenza ‘referenziante’.

La medesima Società ha dichiarato di aver effettuato tale attività in base al proprio contrattualizzato ruolo di responsabile del trattamento, evidenziando di aver comunque interrotto siffatta raccolta di dati e il successivo utilizzo per i contatti promozionali e di aver previsto sessioni formative per i propri operatori, mirate al corretto trattamento dei dati (v. riscontro 13 dicembre 2019).

Nella citata comunicazione, l’Ufficio ha evidenziato che, con specifico riguardo ad alcune doglianze (Sigg.ri XX; XX; XX; XX; XX; XX; XX; XX; XX), la Società, in linea generale (salvo alcuni specifici contatti, per i quali ha affermato la non riferibilità a sé della linea chiamante utilizzata), non ha contestato le circostanze (data, ora, modalità, ossia telefonata con operatore) relative alle comunicazioni promozionali lamentate dagli interessati né il diniego del trattamento formulato dagli stessi (v. riscontro 1° luglio 2020, cit.). Inoltre, alcune telefonate riferite ad alcuni dei summenzionati interessati (XX; XX; XX; XX) sono state espressamente confermate da Planet Group (v. verbale 28 marzo 2019).

Con riguardo alle telefonate in questione, la Società ha dichiarato di aver agito in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento, evidenziando – fatta salvo il caso di XX – che le numerazioni contattate appartenevano alle liste ricevute da TIM spa per lo svolgimento delle proprie campagne promozionali (v. riscontro 1° luglio 2020, cit.). In quest’ottica, Planet Group ha indicato il codice dell’utenza come risultante nelle dette liste (eccezion fatta per l’utenza intestata a XX).

Con riferimento a XX, l’Ufficio ha dunque ritenuto – sulla base del riscontro fornito dalla Società – che il contatto, non essendo stato fornito da Tim, sia stato acquisito da Planet Group in altro modo. Può dunque affermarsi che tale utenza rientri nelle c.d. utenze ‘fuori lista’, di cui sopra e che non risultino in atti elementi riguardo all’eventuale acquisizione del necessario previo specifico consenso per la finalità promozionale.

Lo stesso – si è già detto nella nota del 12 ottobre u.s. – può dirsi per l’utenza di XX (v. riscontro 17 dicembre 2019, cit.), in relazione alla quale la Società non ha smentito né le telefonate lamentate, né l’opposizione effettuata dall’interessato nell’ambito delle stesse; non ha fornito alcun elemento sull’origine dei dati né riguardo al necessario consenso o ad altro idoneo presupposto di liceità. Analogo discorso vale anche per l’utenza di XX, che risulta contattata in base ad un’iniziativa non autorizzata di un operatore di codesta Società, circostanza genericamente indicata e non chiarita (v.: riscontro 30 gennaio 2019, reso dalla Società e veicolato da Tim spa nell’ambito dell’attività istruttoria avviata: provv. 15 gennaio 2020, par. 2.3).

È stato dunque rilevato come Planet Group abbia trattato i dati dei suindicati interessati (con particolare riguardo alle utenze fuor lista) in assenza del necessario specifico preventi-vo consenso per la finalità promozionale, ma anche di altro idoneo presupposto giuridico (v. artt.: 6, par.1, Regolamento – 130, Codice), con contestuale violazione del principio di li-ceità (art. 5, par. 1, lett. a, Regolamento).

Per altre utenze (XX; XX; XX), l’Ufficio ha osservato che – pur ipotizzando le stesse validamente consensate per le finalità promozionali di Tim – risulta esser stato effettuato un trattamento successivo all’opposizione chiaramente formulata, talora in forma reiterata, dagli interessati.

Precisato che l’opposizione – rilevante ai fini della normativa vigente in materia – è già quella eventualmente effettuata dall’interessato nel corso della telefonata e che va dunque puntualmente e tempestivamente recepita dal titolare/ responsabile del trattamento, si deve ribadire come la suddetta condotta integri la violazione del diritto di opposizione al trattamento per finalità di marketing (art. 21, par. i  2 e 3, del Regolamento) nonché del principio di correttezza (art. 5, par. 1, lett. a, Reg. cit.).

Per taluni altri interessati (in particolare, XX; XX; XX; XX) non può dirsi recepita l’opposizione effettuata, dato che la relativa utenza non è presente in black list (v. verbale 28 marzo 2019, cit.). Analoga lacuna (assenza in black list) è emersa per n.  45 utenze, risultate presenti nei sistemi della Società come destinatarie di telefonate promozionali, per le quali l’Ufficio, in sede ispettiva (v. verbale 29 marzo 2019), aveva richiesto di effettuare una verifica (v. riscontro del 12 aprile 2019, all. ti “1_Check_Controllo_Utenze” e “2_Check_Controllo_Utenze”).

Peraltro, in sede di attività istruttoria relativa ai trattamenti di dati effettuati per conto di Tim, è risultato che la Società ha effettuato attività telefonica in modo insistente e concentrato (fino a 4 telefonate al giorno: v. casi di XX e XX, riscontro 1° luglio 2020; fino a 155 telefonate verso un’altra utenza, peraltro nel ristretto periodo di un mese), violando anche in tal caso il richiamato principio di correttezza e ponendo in pericolo altresì il diritto alla tranquillità individuale, connesso a quello alla protezione dei dati (v. provv. 15 gennaio 2020, cit., par. 3.2).

Complessivamente, le violazioni sopra indicate hanno rivelato anche un non adeguato disegno e governo dei trattamenti e delle misure poste a presidio della conformità dei medesimi alla normativa, in contrasto anche con il fondamentale principio di privacy by design (art. 25, par. 1, del Regolamento).

Pertanto, l’Ufficio, con la menzionata comunicazione di avvio del procedimento, il 12 ottobre u.s., ha rilevato la contestabilità a Planet Group della violazione delle seguenti disposizioni di seguito indicate:

– art. 5, par. 1, lett. a), del Regolamento;

– art. 6, par.1, del Regolamento;

– 130 del Codice;

– art. 21, parr.  2 e 3, del Regolamento;

– art. 25, par. 1, del Regolamento.

Con la memoria difensiva presentata il 13 novembre u.s. nell’ambito del procedimento instaurato, Planet Group ha rappresentato che: “Per la grande maggioranza delle utenze di cui alla comunicazione in oggetto, e precisamente per 36.039 utenze contattate delle 47.981 contestate, come si evince dall’identità dei codici fiscali, presenti nelle liste delle utenze da contattare comunicate a Planet Group, che si ritrovano anche nei contratti attivati per conto di Telecom. In altri termini, è stato contattato, in seconda istanza e su indicazione del soggetto contattato, un soggetto terzo (familiare e/o convivente dello stesso) che ha stipulato il contratto su delega del soggetto contattato. Tale circostanza si evince dalle registrazioni dei contratti stipulati che, in considerazione del loro ‘peso’ non possono essere prodotte in tale sede e che saranno spedite, su supporto informatico, all’indirizzo dell’Autorità. Pertanto, deve ritenersi del tutto errato il numero delle utenze che sarebbero state contattate illegittimamente.”.

Con specifico riguardo alla violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, del Regolamento, la Società ha rappresentato che le stesse dovrebbero “trovare applicazione tenendo conto non già di 47.981 utenti, ma al più, laddove la scrivente società dovesse versare nell’impossibilità di reperire condizioni che legittimino il trattamento, esclusivamente di 11.943 utenti.”

Peraltro, Planet ha affermato di aver agito “nei confronti degli anzidetti 47.981 utenti …. in qualità di responsabile del trattamento, contattando numerazioni presenti nelle liste trasmesse da Telecom Italia e adoperando gli script assegnati dalla società titolare del trattamento”, chiedendo di tener conto “di tali aspetti … in sede di eventuale comminazione della sanzione, alla luce dell’art. 82, par. 2, lett. a) dove, tra gli elementi di cui occorre tener conto, si menziona il numero degli interessati.”, osservando, in via correlata che “in merito alla nozione di “danno”, preme rilevare che gli interessati non hanno subito alcun danno risarcibile e, quindi, deve concludersi che ‘il livello del danno da essi subito’ di cui all’ultimo inciso della disposizione in esame, sia nei fatti insussistente. …. Allo stesso tempo, in più occasioni la giurisprudenza di merito ha puntualizzato che le telefonate commerciali, salvo che non integrino gli estremi della molestia, non sono risarcibili: pertanto, nel caso di specie, gli unici casi in cui potrebbe essere astrattamente ipotizzabile un danno, potrebbero essere quelli dei segnalanti XX e XX.”.

Riguardo alla violazione dell’art. 21, parr. 2 e 3, del Regolamento, Planet Group ha evidenziato di aver “cooperato immediatamente con l’Autorità e … provveduto, sin nei giorni successivi all’ispezione, ad implementare misure informatiche e organizzative che potessero facilitare sia l’esercizio dei diritti degli interessati, sia la cancellazione delle utenze che avevano manifestato la propria volontà di non essere contattate per finalità commerciali.” . Inoltre, non contestando il fatto che  “45 utenze non risulterebbero essere state inserite in black list,” ha tuttavia evidenziato che “trattasi di un numero decisamente esiguo in proporzione alle lamentate e presunte violazioni ….” e  che “la mancata presenza in black list non dimostra in alcun modo – anche perché non risultano ulteriori doglianze – che tali soggetti interessati siano stati contattati successivamente alla loro richiesta di non ricevere ulteriori comunicazioni commerciali.”

La Società inoltre -con specifico riguardo alla contestata violazione dell’art. 25, par. 1, del Regolamento- ha eccepito la genericità della relativa motivazione nonché l’applicazione della norma in questione unicamente al titolare del trattamento e non anche al responsabile del trattamento, ruolo rivestito dalla medesima, a suo dire, nell’ambito delle campagne di TIM.

Nell’ambito dell’audizione tenutasi il 30 novembre u.s., Planet Group, riportandosi interamente a quanto già dichiarato con la nota del 13 novembre 2020, ha rappresentato che:

– “A riprova del corretto comportamento assunto, nonché per una corretta quantificazione del nume-ro degli utenti contattati”, avrebbe provveduto “a depositare memorie informatiche (nel numero totale o a campione significativo, in base a quanto tecnicamente possibile per la Società e quanto di conseguenza riterrà stabilire l’Autorità) delle registrazioni telefoniche intrattenute con gli utenti contattati”; documentazione che, tuttavia, non risulta pervenuta a questa Autorità;

– con riferimento all’applicazione dell’eventuale sanzione: “l’art. 25 GDPR sulla privacy by design … pare un riferimento giuridico carente delle necessarie motivazioni, in quanto la condotta societaria si è conformata al proprio ruolo di responsabile del trattamento – e non titolare – ed ha effettuato le telefonate sul presupposto della necessaria base giuridica.”

Inoltre, con espresso riferimento al criterio sanzionatorio del ‘danno’ di cui all’art.83, par.2, lett. a), Planet Group ha evidenziato:

– di ritenere esiguo il numero dei soggetti contattati e inconsistenti i danni, comunque difficili da accertare, eventualmente arrecati agli interessati, citando nuovamente alcune sentenze in materia di responsabilità da violazione della normativa in materia;

–  che: “ …. non risulta …. che nessun soggetto abbia rivolto nei confronti della medesima alcuna pretesa risarcitoria, nè abbia esperito azione risarcitoria…… e che non sembra emergere, nella fattispecie, alcun allarme sociale riguardo al comportamento generale della società nell’ambito della ge-stione dei dati personali.”

3. Valutazione della complessiva condotta della Società

Va evidenziato preliminarmente che, nella fattispecie concreta, Planet Group è da ritenersi di fatto titolare, insieme a Tim, dei trattamenti promozionali rivolti alle numerazioni “fuori lista” o “referenziate”, con la conseguente applicabilità di principi ed obblighi in materia di pro-tezione dei dati; in tal senso, non assume rilievo qualificare il suo ruolo come titolare autonomo o invece congiunto a Tim.

Dagli atti infatti è emerso come Planet Group abbia contribuito a stabilire sia le finalità pro-mozionali sia le modalità di contatto (v. art. 28 del Regolamento), organizzando quest’ultime in assenza di istruzioni operative formalizzate dalla committente; modalità di fatto poi accettate da Tim, che ha recepito i contratti conclusi e introitato le relative utilità. Planet Group risulta aver operato eccedendo, di fatto, rispetto al ruolo di mero responsabile “del trattamento formal-mente affidato per l’esecuzione di campagne promozionali rivolte agli interessati presenti nelle liste TIM e determinando “finalità e mezzi del trattamento”, nell’ambito di un disegno unitario e di fatto condiviso, perlomeno riguardo alla finalità di acquisizione di nuovi clienti e nei suoi effetti operativi, con TIM (v. provv. 1° febbraio 2018, doc. web n. 7810723). Ciò anche in considerazione della circo-stanza inconfutabile, che l’utilizzo di numerazioni “fuori lista” era funzionale al perseguimento di un interesse condiviso, sia di TIM, sia dei suoi partner, dal quale ognuno traeva un vantaggio di natura economica”: v. provv. 15 gennaio 2020, cit., par. 3).

Comunque, anche ove si riconoscesse a Planet Group il ruolo di responsabile (anziché titola-re o contitolare) del trattamento, la valutazione della sua condotta in termini di illiceità non muterebbe. Infatti, con specifico riguardo alle telefonate effettuate, nei confronti di utenze “fuori lista”, è risultato che sono stati contattati soggetti “referenziati”, in base a una costante prassi operativa riconducibile a una cosciente scelta aziendale della Società e non riferibile ad eccezionali iniziative dal personale.

Al contempo, è però chiaro come vada distinto il ruolo dei call center che, come Planet, han-no eseguito le campagne promozionali da quello del committente (Tim, nella fattispecie), invero preponderante e ben più incisivo, con riguardo alle dinamiche e prassi operative condivise nonché all’introitamento dei profitti derivanti dalle campagne promozionali.

Occorre poi riproporre le considerazioni già formulate da questa Autorità con il provv. 15 gennaio 2020 (par. 3.1., cit.). In particolare, “non può invocarsi quale base giuridica …. quella del ‘legittimo interesse’ alle attività di marketing, magari unitamente al presunto interesse del soggetto ‘referenziante’, che coinvolge nella promozione l’amico o il parente. Va poi evidenziato che il legittimo interesse, di cui all’art. 6, par. 1, lett. f), del Regolamento – già previsto sia dall’abrogata direttiva 95/46/CE, nonché dal Codice previgente alle modifiche apportatevi dal d.lgs. n. 101/2018 (d.lgs. n. 196/2003, art. 24, comma 1, lett. g) – non può surrogare – in via generale – il consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso – come già la direttiva 95/46/CE all’art. 7, comma 1, lett. f) – lo ammette solo ‘a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali’. … In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.”.

Va inoltre ribadito anche nel caso di Planet Group quanto già chiarito nel citato provv. 15 gennaio 2020, ossia che: “L’applicazione della base giuridica del legittimo interesse presuppone quindi la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall’Autorità di controllo) di quest’ultimo sui diritti, libertà e meri interessi degli interessati (nello spe-cifico, i destinatari delle comunicazioni promozionali non assistite dal consenso). In tale confronto, è necessaria l’attenta ponderazione dell’impatto del trattamento, che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato”(1).

Peraltro, richiamando sempre il provv. 15 gennaio 2020: “il titolare del trattamento non può ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso. Poiché ha l’obbligo di comunicare [nell’informativa rilasciata all’interessato] la base legittima al mo-mento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati (così v. Linee guida del Gruppo Art. 29 sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01)”.

Pertanto -qualora non ricorrano i sopra delineati presupposti per il legittimo interesse e ad eccezione delle ipotesi del c.d. “soft spam” (art. 130, comma 4, Codice), nonché del sistema di “opt-out” per i dati presenti negli elenchi pubblici- si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo consenso informato, libero, specifico e documentato degli interessati(2).

Si deve rilevare peraltro come Planet Group abbia rappresentato, riguardo alle utenze ‘fuori lista’, che è stato chiamato “in seconda istanza e su indicazione del soggetto contattato, un soggetto terzo (familiare e/o convivente dello stesso) che ha stipulato il contratto su delega del soggetto contattato.

Il meccanismo di delega in questione non è idoneo a surrogare l’adempimento dell’obbligo di acquisizione di un previo libero e specifico consenso al marketing da parte del soggetto contat-tato, in seconda battuta, in quanto delegato (per es. ad attivare un prodotto o servizio) dal primo soggetto contattato (presente nelle liste della committente), né può valere come altra idonea base giuridica, ed infatti non è ricompreso nell’elenco delle condizioni di liceità di cui all’art. 6 del Regolamento. In tale prospettiva, non assume alcun rilievo che Planet Group non abbia poi prodotto le memorie informatiche atte a comprovare siffatto svolgimento dei contatti telefonici. In particolare, tale meccanismo non può integrare – di regola – la condizione del ‘legittimo interesse’ (come sopra esposto nella sua corretta dimensione e limiti operativi).

Differentemente da quanto asserito ed argomentato da Planet Group, la condotta della Società – al pari delle analoghe attività promozionali effettuate da altri call center – determina alarme sociale, ed è infatti oggetto di numerosissime doglianze (ancora oggi connotandosi come la problematica più ricorrente fra quelle pervenienti a questa Autorità) e fonte di conseguenti, e talora complesse, attività istruttorie, nonostante i reiterati provvedimenti, sia a carattere gene-rale sia diretti a determinati titolari.

Inoltre, in alcuni casi concreti, è certamente ravvisabile – anche al riguardo l’argomentazione della Società non risulta condivisibile – un danno serio ed apprezzabile, la cui concreta configurabilità, quanto ai presupposti ed anche alla relativa quantificazione, anche ai fini risarcitori, evidentemente spetta alla competente valutazione dell’autorità giudi-ziaria.

Con specifico riguardo al mancato tempestivo recepimento del diritto di opposizione,  è necessario ricordare che, ai sensi dell’art. 12, comma 3, del Regolamento: “Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.  Ciò vale per tutte le istanze di esercizio dei diritti degli interessati, ma assume rilevanza ancor maggiore – nell’ottica del contrasto del marketing indesiderato – con specifico riguardo alle istanze di opposizione al trattamento per finalità di marketing, oggetto non a caso della maggior parte delle più critiche doglianze pervenute e pervenienti tuttora all’Autorità.

Va peraltro evidenziato come risultino gravi i molteplici casi di contatto reiterato e insistente con la connessa violazione del diritto di opposizione al trattamento, ma anche del menzionato fondamentale principio di correttezza, in ragione di modalità che appaiono invasive dei fondamentali diritti alla riservatezza e alla tranquillità individuale. Va inoltre evidenziato che, per quanto in atti, non risulta che la Società – a differenza di altri call center incaricati da Tim – abbia adottato misure per provare a governare – e tempestivamente comprovare – il fenomeno delle chiamate fuori lista, conducendolo nei corretti binari della normativa vigente.

In base a quanto complessivamente acquisito, l’Autorità ritiene dunque – conformemente al-le valutazioni già formulate con la citata comunicazione dell’Ufficio del 12 ottobre u.s. – che siano ravvisabili nella fattispecie le seguenti violazioni in capo a Planet Group:

– art. 5, par. 1, lett. a), del Regolamento;

– art. 6, par.1, del Regolamento;

– 130 del Codice;

–  art. 21, par. i 2 e 3, del Regolamento, il cui disvalore può ritenersi assorbente rispetto alla violazione dell’art. 12, par.3, Regolamento;

– art. 25, par. 1, del Regolamento.

Pertanto si ritiene, ai sensi dell’art. 58, par. 2, lett. d) ed f), del Regolamento, di dover adot-tare nei confronti di Planet Group la limitazione definitiva dei trattamenti sopra descritti, in-giungendo altresì di conformarli alla disciplina vigente.
4.Ordinanza-ingiunzione per l’applicazione della sanzione amministrativa pecuniaria

Le violazioni, come sopra indicate, impongono anche l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Planet Group della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e  5, del Regolamento (pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Tali violazioni risultano integrate in relazione a trattamenti collegati effettuati da Planet Group, per cui si ritiene applicabile la disposizione di maggior favore prevista dall’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, sono state violate, con dolo o colpa, varie disposizioni del Regolamento, la sanzione comminata per la violazione più grave (di cui all’art. 83, par. 5, lett. a e b, del Regolamento) può assorbire quella applicabile per la violazione meno grave (v. art. 83, par. 4, lett. a, del Regolamento).

Per la determinazione dell’ammontare della sanzione nella fattispecie concreta occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento, che, nella presente fattispecie, possono considerarsi nei termini seguenti:

– la limitata durata della violazione (art. 83, par. 2, lett. a), del Regolamento);

– il numero limitato di interessati coinvolti, se relazionato alla notevolissima mole di telefonate promozionali effettuate dalle società di call center, partner di TIM (art. 83, par. 2, lett. a), cit.);

– la dimensione soggettiva della condotta, che deve ritenersi non dolosa, ma colposa, con par-ticolare riferimento al carattere reiterato e insistente di alcuni contatti telefonici e alla man-cata tempestiva attuazione del diritto di opposizione al trattamento (art. 83, par. 2, lett. b), del Regolamento);

– la dichiarata interruzione delle attività di contatto dei soggetti ‘referenziati’ sin dal 9 ottobre 2019, in base al divieto comunicatole da Tim (art. 83, par. 2, lett. c), del Regolamento);

– l’assenza di precedenti violazioni e provvedimenti dell’Autorità a carico della Società (art. 83, par. 2, lett. e), del Regolamento);

– la pronta cooperazione con l’Autorità nel corso degli accertamenti ispettivi e del procedi-mento (art. 83, par. 2, lett. f), del Regolamento);

– le categorie di dati personali interessate dalla violazione, essenzialmente individuabili in meri dati di contatto (art. 83, par. 2, lett. g), del Regolamento);

–  l’attuale gravissima crisi economica e finanziaria, anche a causa dell’emergenza sanitaria in corso (art. 83, par. 2, lett. k, del Regolamento).

A tali circostanze attenuanti si contrappongono le seguenti circostanze aggravanti:

–  la mancata adozione, per quanto in atti, di misure finalizzate a disciplinare e governare le attività di contatto di utenze ‘fuori lista’ prima che, il 9 ottobre 2019, subentrasse il divieto di Tim riguardo tale attività (art. 83, par. 2, lett. c), del Regolamento);

– la difformità della condotta della Società rispetto alla consistente attività provvedimentale, con la quale sono stati forniti indicazioni e chiarimenti in materia (v. provvedimenti generali e Linee Guida citati nel presente provvedimento), e la costante interlocuzione dell’Autorità con i soggetti che operano nel settore del telemarketing – possono ragionevolmente far ritenere raggiunta da tutti gli operatori (inclusa Planet Group), una sufficiente consapevolezza delle disposizioni che devono essere indefettibilmente osservate (art. 83, par. 2, lett. k, cit.).

In base al complesso degli elementi sopra indicati, in applicazione dei principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa ma anche della gravità delle condotte riscontrate, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Planet Group la sanzione amministrativa del pagamento di una somma di euro 80.000,00 (ot-tantamila) pari allo 0,40 % della sanzione edittale massima (euro 20.000.000).

Tale percentuale tiene conto, in termini comparativi con analoghe fattispecie, dell’elevato numero di utenze referenziate trattate senza base giuridica, dell’accertamento di gravi violazioni ulteriori, in particolare del diritto di opposizione e del principio di correttezza nella ge-stione di alcune telefonate promozionali; nonché della mancata adozione di apposite tempesti-ve misure per rimediare a tali violazioni

Nel caso in argomento si ritiene che debba applicarsi poi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto degli accertamenti, vale a dire il fenomeno del marketing indesiderato per conto delle compagnie telefoniche, oggetto, come sopra osservato, di numerosissime doglianze e conseguenti istruttorie di quest’Autorità, nonostante i reiterati provvedimenti sia a carattere generale sia diretti a determinati titolari.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione e adotta le seguenti misure correttive nei confronti di Planet Group S.p.a., con sede legale in Milano, viale Monza n. 265 (p.i. 07483620964):

a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone la limitazione definitiva del trattamento dei dati personali degli interessati, per i quali non disponga di un consenso libero e specifico per la finalità promozionale o di un’altra idonea e documentata base giuridica ai sensi degli artt. 6 e 7 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge l’implementazione di misure tecniche ed organizzative tali da assicurare:

1. il trattamento per la finalità promozionale solo dei dati personali per i quali disponga di un consenso libero e specifico per tale finalità o di un’altra idonea e documentata base giuridica ai sensi degli artt. 6 e 7 del Regolamento;

2. la gestione corretta, nonché documentata adeguatamente e tempestivamente, del fe-nomeno delle chiamate eventualmente rivolte ad utenze c.d. “fuori lista”;

3. l’inserimento in black list, senza ingiustificato ritardo, dei dati degli interessati che in qualunque modo si oppongano al trattamento nonché la pronta comunicazione al committente della campagna promozionale;

4. la verifica documentabile, ad intervalli regolari, dell’effettiva registrazione, senza in-giustificato ritardo, della volontà degli interessati riguardo all’attività promozionale e dell’effettivo conseguente inserimento in black list delle numerazioni raggiunte da contatti commerciali con esito di diniego al trattamento;

5.  modalità corrette e non invasive nello svolgimento delle telefonate promozionali e nell’eventuale utilizzo di altri mezzi al medesimo fine;

c)  ai sensi dell’art.58, par.1, lett. a), del Regolamento nonché dell’art. 157 del Codice, ingiunge alla medesima Società di fornire, nel termine di 30 giorni dal ricevimento del presente provvedimento, riscontro documentato con riguardo alle iniziative intraprese al fine di dare attuazione a quanto disposto ai punti 1 e 2; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, lett. e, del Regolamento;

ORDINA

a Planet Group spa, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 80.000,00 (ottantamila), a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 80.000,00 (ottantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7 del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione sul sito del Garante del presente provvedimento, e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell’interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 

____________

(1) V., in tal senso: Relazione annuale 2018, p. 107, il provv. 22 maggio 2018, doc. web n. 8995274, nonché il Parere del Grup-po Art. 29, n. 6/2014,– WP 217, p. 35, secondo il quale l’istituto del legittimo interesse “garantisce una maggiore protezione dell’interessato; in particolare, stabilisce che si tengano in considerazione non solo i diritti e le libertà fondamentali dell’interessato, ma anche il suo ‘interesse’ – mero e non qualificato. … tutte le categorie di interessi dell’interessato devono essere prese in considerazione e valutate comparativamente rispetto a quelle del responsabile del trattamento, nella misura in cui siano pertinenti nell’ambito del campo di applica-zione della direttiva”.
(2) In tal senso, v.: il citato provv. del 15.1.2020, nonché, in precedenza, le Linee Guida del Garante in materia promozionale, 4 luglio 2013, e ancor prima, il provv. gen. 19 gennaio 2011, “Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni”, doc. web n. 1784528.

Caso Grillo: per il Garante della Privacy la pubblicazione del video è un atto illecito

Reading Time: < 1 minute

 180 total views

Caso Grillo: Garante privacy, diffusione video è atto illecito

In relazione alla circostanza – riferita dai genitori della ragazza presunta vittima di stupro attraverso il loro legale – che frammenti del video, relativo all’oggetto del procedimento penale, vengano condivisi tra amici, il Garante per la protezione dei dati personali richiama l’attenzione sul fatto che chiunque diffonda tali immagini compie un illecito, suscettibile di integrare gli estremi di un reato oltre che di una violazione amministrativa in materia di privacy.

Roma, 28 aprile 2021

L’informativa sulla privacy di certastampa.it

Reading Time: 2 minutes

 179 total views

Per la mia estrema puntigliosità, nonché per il gusto di una sana curiosità “investigativa”, sono andato a leggermi l’informativa sulla privacy del sito certastampa.it, quello che raccoglie gli editoriali di un certo Adamo. Ce n’è di che riflettere assai.

Prima di tutto, ecco il link al testo integrale, “fotografato” questa mattina e assicurato in copia permanente su archive.is. Non mi pare il caso di regalare clic alla testata, quindi leggetelo e consultatelo da lì:

https://archive.is/Clchp

Vediamo un po’, e andiamo “random”, ché è tanto bello. Tra le altre cosette si legge:

“Tutti i dati personali sono raccolti e trattati nel rispetto delle leggi degli Emirati Arabi Uniti e dell’UE sulla tutela dei dati.”

Ora, passi certamente l’Unione Europea (ne facciamo parte), ma cosa c’entrano gli Emirati Arabi Uniti? Per quale motivo vengono citati in testa all’informativa sulla privacy? Che fine fanno i dati dei lettori? Più avanti, alla non indifferente voce relativa al “Trattamento internazionale dei dati”, si apprende che:

“Certa Stampa è attiva in più giurisdizioni, alcune delle quali non si trovano nello Spazio Economico Europeo (SEE) come UAE, Australia, Nuova Zelanda, Singapore.”

A Singapore? Cioè, io mi collego al sito, fornisco il mio indirizzo IP di provenienza e in teoria questo dato potrebbe andare a finire in Australia o in Nuova Zelanda. E perché??

E’ presto detto. Alla voce successiva scrivono:

“I dati personali dell’utente possono essere condivisi con terze parti per gli scopi descritti nella presente Informativa sulla privacy: (omissis) Fornitori di servizi di fiducia che utilizziamo per gestire la nostra attività, come gli operatori di servizi di marketing via e-mail che assistono il nostro team di marketing nella gestione di sondaggi e campagne di marketing mirate”

Insomma, la solita pubblicità che vi arriva via e-mail. Niente di nuovo sotto il sole.

E se io volessi accedere alle informazioni sulla disponibilità e sul trattamento dei miei dati personali? E’ semplice, ecco qui:

“Non si dovrà sostenere alcun costo per accedere alle proprie informazioni personali (o per esercitare uno degli altri diritti). Tuttavia, se la richiesta di accesso è chiaramente infondata o eccessiva potremmo addebitare al richiedente un costo ragionevole. In alternativa, potremmo rifiutarci di soddisfare la richiesta in tali circostanze.”

Cioè? Io dovrei PAGARE per poter accedere a dei dati che sono esclusivamente MIEI, nel caso in cui LORO, per un arbitrio assolutamente unilaterale, considerassero la mia richiesta manifestamente infondata o addirittura “eccessiva”? Possono veramente rifiutarsi di “soddisfare la richiesta” in determinati casi? Certo che possono. Ma se non rispondono entro 15 giorni alla prima interpellanza formulata ai sensi della Legge sul trattamento dei dati personali, possono andare, a loro volta, incontro a un ricorso, che il detentore dei dati e richiedente accesso può presentare all’Autorità Garante. In breve, possono anche non rispondere ma se ne assumono rischi e responsabilità.

Intanto (che poi con la privacy e il trattamento dei dati personali non c’entra niente, ma tanto per chiosare) il dominio certastampa.it sta per scadere. Da una ricognizione del Whois, si apprende che la data di scadenza è fissata al 7 aprile. Mi sa che gli conviene mettere mano al portafogli e pagarsi l’hosting!

Molta confusione, dunque, sotto il solicello malato di aprile. Vi terrò debitamente informati.

Il Garante per la Privacy (se non ci fosse bisognerebbe inventarlo) chiude Tik Tok ai minori di cui non sia stata accertata l’età anagrafica

Reading Time: < 1 minute

 133 total views

Il Garante per la protezione dei dati personali ha disposto nei confronti di Tik Tok il blocco immediato dell’uso dei dati degli utenti per i quali non sia stata accertata con sicurezza l’età anagrafica.

L’Autorità ha deciso di intervenire in via d’urgenza a seguito della terribile vicenda della bambina di 10 anni di Palermo.

Il Garante già a dicembre aveva contestato a Tik Tok una serie di violazioni: scarsa attenzione alla tutela dei minori; facilità con la quale è aggirabile il divieto, previsto dalla stessa piattaforma, di iscriversi per i minori sotto i 13 anni; poca trasparenza e chiarezza nelle informazioni rese agli utenti; uso di impostazioni predefinite non rispettose della privacy.

In attesa di ricevere il riscontro richiesto con l’atto di contestazione, l’Autorità ha deciso comunque l’ulteriore intervento odierno al fine di assicurare immediata tutela ai minori iscritti al social network presenti in Italia.

L’Autorità ha dunque vietato a Tik Tok l’ulteriore trattamento dei dati degli utenti “per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico”.

Il divieto durerà per il momento fino al 15 febbraio, data entro la quale il Garante si è riservato ulteriori valutazioni.

Il provvedimento di blocco verrà portato all’attenzione dell’Autorità irlandese, considerato che recentemente Tik Tok ha comunicato di avere fissato il proprio stabilimento principale in Irlanda.

Roma, 22 gennaio 2021


E ORA CHIUDETE QUEL CAVOLO DI TIK TOK, Si’??

I furbetti del bonus Covid-19: il Garante per la Privacy apre un’istruttoria con richiesta di informazioni all’INPS

Reading Time: < 1 minute

 143 total views

In relazione alla vicenda del cd. bonus Covid partite Iva, il Garante per la protezione dei dati personali questa mattina ha inviato una richiesta di informazioni all’Inps e ha aperto una istruttoria in ordine alla metodologia seguita dall’Istituto rispetto al trattamento dei dati dei beneficiari e alle notizie al riguardo diffuse.

Il Garante chiede all’Inps di conoscere, in particolare:

quale sia la base giuridica del trattamento effettuato sui dati personali dei soggetti interessati; l’origine e tipi di dati personali trattati, riferiti alla carica di parlamentare e amministratore locale e regionale; le modalità con cui è stato effettuato il trattamento, con specifico riguardo all’operazione di “raffronto” dei dati personali dei soggetti richiedenti o beneficiari del bonus, con quelli riferiti alla carica di parlamentare e amministratore locale e regionale; l’ambito del trattamento ed eventuali comunicazioni a terzi di tali dati.

Roma, 12 agosto 2020

da: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9448048

Come aggiungere i download alle statististiche di Google Analytics

Reading Time: 3 minutes

 251 total views,  2 views today

Allora, alla fine nella guerra per avere delle statistiche umane e reali di tutto il visitato e lo scaricato sui miei tre siti l’ha spuntata ai punti e sul filo di lana, o in zona Cesarini, come si dice alla calcistica, Google Analytics.

Gli avversari erano:

a) Il servizio statistiche di Aruba associato ai domini (subito scartato perché non permette di filtrare i crawler, i bot, gli spider, gli attacchi hacker, insomma, tutta quella robaccia di cui in genere uno non ha bisogno se vuole vedere CHI ha effettivamente -e non per motivi di analisi del siti- scaricato qualcosa o si è collegato con QUELLA data pagina);

b) OWA. E’ open source, è gratuito, funziona benissimo, occupa pochissimo spazio sul database, ma non ha implementato la funzione download. Ho anche scitto al curatore del programma e alla community, dopo essermi sbatezzato a leggere il manuale, non mi hanno risposto, allora vadano a fare in culo (alla faccia della solidarietà dei “fratelli” dell’open source!);

c) MATOMO. E’ a pagamento (23 euro al mese, mica cazzi), è accuratissimo, funziona da dio, è open source, è etico, è attentissimo alla privacy, si pone come l'”altro” Google Analytics, per questo ho deciso di sostenerlo, si trovano in Nuova Zelanda, quindi quando noi andiamo a letto loro si alzano. Ho chiesto più volte aiuto tramite l’helpdesk, sono stati molto carini, io scrivevo alle 10 di mattina e loro rispondevano alle 2 di notte. Fusi orari- La loro sezione dei downloads lascia molto a desiderare ed è estremanete esigua rispetto alla realtà di fatti;

d) MONSTERINSIGHTS: E’ a pagamento anche questo. Per darti un cazzino di plugin WordPress con la licenza e farti vedere i download su Google Analytics (perché altro non è che un’interfaccia tra WordPress e Google Analytics) vogliono 199$ dollari all’anno. Ma per il primo anno, visto che siete voi, vi fanno il 50% di sconto, e pagate “solo” $99,50. Conveniente, no??

Allora, mi sono detto, ci sarà un qualche cavolo di modo per poter configurare Google Analytics in modo che tracci anche i clic sui download, senza svenarsi? DEVE esserci un modo. E non sto qui a spiegarvelo io, se non per chiosarlo un po’. C’è già il metodo, ce lo spiega diettamente google, ed è qui:

https://support.google.com/tagmanager/answer/6106716?visit_id=637316177358137061-2676634383&rd=1

Ecco, qui c’è TUTTO quello che dovete sapere se volete tracciare il download di un solo file, o di un gruppo di file con determinate estensioni.

Ho seguito ALLA LETTERA le istruzioni della sezione “Utilizzare attivatori e tag separati per monitorare i clic”, l’unico lavoro un po’ più lungo è stato quello di impostare gli attivatori. Ne ho messo uno per ogni estensione di file distribuita, e non è uno scherzo ricordali (quasi) tutti. Ma a parte questo, basta mettersi di santa pazienza a seguire PEDISSEQUAMENTE (come direbbe il pedissequo Baluganti Ampelio) tutti i punti descritti. Io l’ho fatto e a me ha funzionato alla prima. A voi non lo so e sinceramente m’importassai. E dunque, su Google Analytics, et voilà les downloads:

Bellino, nevvero? Ovvia, anche questa è fatta. A Aruba ho chiesto la disattivazione del servizio statistiche (e già che c’ero anche se mi è dovuto un qualche rimborso, non si sa mai, meglio in tasca a me che in tasca a loro, del resto li pago profumatamente per l’hosting, per il database MySQL e per un sacco di altra buonissima roba di cui sono soddisfatto), ho usufruito della garanzia di 14 giorni per recedere dall’ordine di MONSTERINSIGHTS (i $99,50 mi sono stati rimborsati IMMEDIATAMENTE e senza nemmeno una domanda, la licenza revocata e mi hanno chiesto perfino il mio parere su come migliorare il loro prodotto (ci vuol poco, a dirla tutta). OWA continuo a utilizzarlo anche se me ne faccio di poco, ma ci sono affezionato, è gratis, carino, funziona bene, e poi tutt’al più mi gonfierà un pochino il database, badalì, cosa volete che sia, tanto c’è chi paga. Quanto a MATOMO, son carini, son bellini, sono etici, son cortesi, sono open source ma sono cari asserpentati e il servizio statistiche funziona a singhiozzo, voglio dire, intanto ho disabilitato i pagamenti automatici mensili da Paypal in modo di non ritrovarmi una addebito di 23 euro e spiccioli il mese prossimo, poi mi farò rimborsare anche quelli pagati per l’attivazione (la garanzia è di 30 giorni, e c’è un po’ di respiro, diamo loro un’ultima chance, ma la vedo dura…)

Google è una rirsorsa proprietaria, non so che fine fanno i miei dati, mi auguro che se ne stiano lì dove sono conservati, e che non vadano a nessuno, che vi devo dire, non è open souce? Non è etico? Non rispetta la privacy? Non ha un plugin per WordPress? Non ti fa lo sconto del 50% ma è solo gratis? E lo so che il prezzo da pagare sono IO, ma porca miseria, 23 euro al mese a quello, 99,50 all’anno a quell’altro, non ho mica ammazzato nessuno!

Insomma, via, è fatta anche questa!

Matteo Renzi al Senato: “La magistratura pretende di decidere cosa è un partito e cosa no“

Reading Time: 2 minutes

 120 total views

“La magistratura pretende di decidere cosa è un partito e cosa no“

“hanno fatto un’invasione di campo” (…) “trecento finanzieri all’alba in casa di persone non indagate sono una retata”

“Se al pm affidiamo non già la titolarità dell’azione penale ma dell’azione politica, questa Aula fa un passo indietro per pavidità e lascia alla magistratura la scelta di cosa è politica e cosa non lo è”

“ (…) violazione sistematica del segreto d’ufficio su vicende personali del sottoscritto”

“Per distruggere la reputazione di un uomo può bastare la copertina di qualche settimanale”

“Stiamo discutendo della separazione dei poteri”. (…) “Chi tra di noi ha avuto l’altissimo onore di guidare anche il potere esecutivo, ha una responsabilità in più. Non è la prima in cui un ex presidente del Consiglio, nell’Aula del Parlamento, affronta questo tema”.

“La vicenda Lockheed ha segnato per la conseguenza più alta, le dimissioni di Giovanni Leone dal Quirinale non perché coinvolto ma per uno scandalo montato ad arte dai media e parte della politica. (…)  Peraltro, i tempi cambiano ma il settimanale rimane… Per recuperare non ci si riesce facilmente”.

“Io rivendico il fatto (…) che sia stato abolito il finanziamento pubblico, ma se si sanziona il privato che offre dei contributi il cittadino non darà mai più un centesimo. E’ un ipocrita chi dice che non servono i soldi alla politica; servono quelli leciti e puliti”

“Non si parla di dazioni di denaro nascoste o illecite, ma di contributi regolarmente bonificati e tracciabili, trasparenti ed evidenti da un bilancio che viene reso totalmente pubblico dalla Fondazione Open. Questi contributi regolari sono stati improvvisamente trasformati in contributi irregolari perché si è cambiata la definizione della fondazione: qualcuno ha deciso non era più fondazione ma partito”.

“Se questo non è chiaro, il punto è che può accadere a ciascuno di voi”

“La magistratura decide cosa è partito e cosa no e manda all’alba i finanzieri da cittadini dalla fedina penale intonsa con strumenti più da retata che da inchiesta, e mi dite che è a tutela degli indagati? Questo è finalizzato a descrivere come criminale non il comportamento dei singoli ma qualsiasi finanziamento privato che venga fatto in maniera legale e regolare”

“Chi dice che la privacy vale sono per qualcuno e non per altri viene meno allo stato di diritto e siamo alla barbarie”.

“Avere rispetto per la magistratura è riconoscere che magistrati hanno perso la vita per il loro impegno. A loro va il massimo rispetto. Ci inchiniamo davanti a queste storie. Ma a chi oggi volesse immaginare che questo inchino diventi una debolezza del potere legislativo si abbia la forza di dire: contestateci per le nostre idee o per il Jobs act ma chi volesse contestarci per via giudiziaria sappia che dalla nostra parte abbiamo il coraggio di dire che diritto e giustizia sono diversi dal giustizialismo“.

 

 

Garante della Privacy – Omicidio a Roma: i media rispettino il codice di procedura penale

Reading Time: < 1 minute

 105 total views

In seguito alla pubblicazione di numerose immagini dei presunti autori di un omicidio, avvenuto a Roma, il Garante ritiene opportuno ricordare che – fermo restando il diritto-dovere di informare su fatti di interesse pubblico – il giornalista deve comunque attenersi a quanto stabilito dalla specifica normativa vigente in materia.

Oltre a quanto previsto dalle Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica, l’art. 114, del Codice di procedura penale vieta “la pubblicazione dell’immagine di persona privata della libertà personale ripresa mentre la stessa si trova sottoposta all’uso di manette ai polsi ovvero ad altro mezzo di coercizione fisica, salvo che la persona vi consenta”.

Roma, 25 ottobre 2019

Tratto da: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9170332

Era solo un ragazzo

Reading Time: 3 minutes

 158 total views

Un giovane di 24 anni, Luca Sacchi, è stato ucciso mentre difendeva la fidanzata da un’aggressione e da uno scippo. Non c’è nulla da dire, è una tragedia. A poche ore dalla morte dello sventurato giovane, è apparso questo commento di David Puente sulla sua pagina Facebook (e, successivamente, sotto forma di screenshot, anche sul suo profilo Twitter):

La cosa che Puente mette in rilievo e stigmatizza (e fa bene!) è che “La prima curiosità che ‘smuove le coscienze’ è scoprire la nazionalità della vittima e degli aggressori, poi magari anche le loro posizioni politiche”. Da qui una serie di brevi valutazioni sulle possibili (quattro) reazioni riscontrate e una conclusione che ci appare un po’ semplicistica e frettolosa per cui “Se vi riconoscete in questi ‘commenti’ non vi dispiace che un ragzzzo è stato ucciso. Avete altro per la testa.” Peccato però, che proprio mentre Puente pubblicava queste note, sul sito del giornale on line per cui scrive appariva un redazionale di cui vi offro lo screenshot di seguito:

e in cui si legge: “Era un giovane di idee sovraniste, come si vede chiaramente dai post sulla sua pagina Facebook”.

Cioè, la prima “curiosità che ha smosso le coscienze” è stata proprio quella che Puente condannava, cioè la stigmatizzazione delle idee politiche della vittima. Non si parla di questo giovane in quanto vittima, ma in quanto morto, e se è vero come è vero che i morti non sono tutti uguali, lo sono almeno le vittime di reati infami come quello che ha tolto la vita a Luca Sacchi.

Sono stati in molti quelli che hanno tempestivamente fatto notare a Puente che il suo giornale stava facendo esattamente quello che lui stigmatizzava e che gli hanno domandato se non sentisse il bisogno, lui, persona retta e pulita, di distaccarsi da quello che ha scritto la redazione e assumere una posizione nettamente diversa e più defilata, dissociandosi dal tono da chiacchiericcio del redazionale, pur pubblicato dal giornale (Open On Line) per cui lui presta la sua opera di giornalista e cacciatore di bufale.

A tutt’oggi non c’è stata alcuna risposta di Puente. Eppure mesi fa, quando Open On Line per sbaglio o per maldestrìa pubblicò i dati personali dei genitori di Matteo Renzi, violando potenzialmente la loro privacy, solo allo scopo di rendere noto all’opinione pubblica un ordine giudiziario e il suo contenuto, David Puente fece un “mea culpa” personale (come se quei dati li avesse poi pubblicati lui!) e si dissociò dalla scelta del suo giornale che subito corse ai ripari fotoscioppàndo e sbianchettando l’immagine inizialmente pubblicata in modo integrale (ne parlai a suo tempo qui). Allora, naturalmente, si trattava soltanto di una leggerezza e di una “stupida” (“stupida”?) violazione della privacy, non della messa in linea delle idee politiche di un ragazzo a seguito della sua morte. Voglio dire, questi atti mi sembrano enormemente più gravi.

Restano su tutto (questo sì) l’imbarazzante silenzio di David Puente e l’altrettanto imbarazzante atteggiamento del suo giornale nei confronti delle idee politiche di Luca Sacchi. Che era solo un ragazzo.

 

Aggiornamento delle 12:50: Giulia Marchina, giornalista di OpenOnLine, in risposta a un post poco elegante di un utente, ha scritto su Instagram che Luca Sacchi sarebbe stato uno “sbruffone” (o, almeno, a tal guisa si sarebbe atteggiato): “Il mio lavoro è fatto anche di cose poco piacevoli, come scoprire che una persona appena morta si atteggiava a sbruffone“ (…) “Il mio lavoro mi impone di raccontare i fatti, senza sconto alcuno, altrimenti avrei fatto un altro mestiere”. “Se Luca fosse stato un novax lo avrei detto se avesse avuto la tessera del Pd idem”. Vi posto lo screenshot integrale dell’intervento.

Ancora su @vanitosa95: il senso di Open Online per il fake

Reading Time: 3 minutes

 260 total views

Il 21 ottobre scorso pubblicavo sul blog un post sulla storia di @vanitosa95, troll e hater bloccato su Twitter dalle numerose segnalazioni degli utenti, che augurava cancri e tumori a iosa a piccoli e grandi personaggi della politica, soprattutto a quelli di sinistra, nonché agli utenti che si fossero, putacaso, trovati in disaccordo con Salvini.

Nel post riportavo alcune delle frasi di odio che l’utente aveva tradotto in svariati tweet, omettendo di riportare la fotografia (chiaramente fasulla e farlocca) che l’hater in questione aveva pubblicato. Scrivevo che: ” i messaggi di questa persona, di cui ho oscurato la foto (non per rispetto della sua privacy, perché non ne ho nessuno, ma per rispetto di quella della persona a cui è stata probabilmente carpita) mi hanno turbato al punto di venirne a parlare con voi “.

Guarda caso, il giorno dopo, esce, alle 14,49, un articolo di David Puente su Open On Line, intitolato “Tutti dietro a Vanitosa95, ma Open vi aveva avvertito. Altri dettagli sull’account e la foto del troll” in cui l’articolista riferisce testualmente: “Qualcuno ha pensato che fosse meglio censurare la foto per una questione di privacy e sicuramente qualcuno potrebbe sostenere che pubblicarla metterebbe a rischio la persona ritratta a causa delle solita – e inutile – «caccia all’uomo».” Non si capisce bene a chi si riferisca l’autore del pezzo quando cita questo “Qualcuno” (ma possiamo bene immaginarcelo).

Segue una lunga disamina per dimostrare che la foto messa da @vanitosa95 sul suo profilo Twitter corrisponde in realtà a quella di una persona transessuale e che le immagini di questa persona erano già apparse su un sito a carattere pornografico.

Per quanto riguarda il nostro blog, nella sua piccola essenza di risorsa di opinione, ho solo da dire che personalmente non ritengo necessario dimostrare che @vanitosa95 sia un troll o, meglio, un hater, perché si tratta di un dato ormai dimostrato per tabulas. E allora ripubblicare la foto che l’odiatore di rete del giorno (tanto verrà abilmente sostituito da qualcun altro, non temete) ha utilizzato per corredare il proprio profilo, diventa inutile e ridondante. In breve, non ho bisogno che mi si dimostri che la foto ritraeva una determinata persona per credere che chi l’ha impunemente usata sia una persona fasulla che cercava solo visibilità. In breve, “un utente intento a pubblicare contenuti provocatori”, per dirla con le stesse parole di Puente.

Qualcuno dirà che si trattava di un transessuale la cui immagine è contenuta in un sito pornografico a disposizione di chiunque voglia andare a visitarlo. Dunque un’immagine pubblica. Vero. Ma non è detto che il nome o l’immagine di questa persona debbano per forza essere associati a un odiatore seriale. La privacy è un valore, e non è detto che quello che è pubblico o che si è autorizzati in qualunque modo a pubblicare debba essere divulgato per forza quando non ha alcun valore dal punto di vista della definizione dei fatti e di quello che si vuole dire. Quella di @vanitosa95 è stata un’utenza del tutto fasulla. La falsità di questo account è stata dimostrata dai contenuti di odio che questo account ha veicolato. Punto. Basta così.Il resto non serve a nulla. Che cosa aggiunge alla nostra conoscenza il sapere che l’ignaro personaggio dell’immagine riportata è un transessuale? Assolutamente nulla. E sarà anche un transessuale da sito porno, ma magari non ha mai augurato il cancro a nessuno e allora non si vede il motivo di metterlo ulteriormente in vetrina.

Non si tratta, quindi, di utilizzare o non utilizzare elementi già pubblici per avvalorare una tesi, ma di verificare a monte se quegli elementi (pubblici, non pubblici, o autorizzati che siano) sono utili alla notizia che si intende dare oppure no.

Soprattutto quando sono riferiti alla sessualità, alla notorietà e alla immagine di terzi.

La letterina di Babbo Natale è solo spamming

Reading Time: 2 minutes

 263 total views

Ogni anno faccio caso alla prima pubblicità natalizia che mi capita sotto gli occhi. Generalmente accade verso il ponte dei Santi, o leggermente più in là nel tempo. Stavolta, invece, il tutto si è verificato attraverso una mail di puro spamming arrivatami dall’indirizzo nominale di info@letterinadibabbonatale.com. Mi ricorda, la mail, che mancano 100 giorni a Natale (grazie, mo’ me lo segno!) e che posso prenotare la mia letterina di Santa Claus (c’è un po’ di confusione tra l’onomastica italiana e quella anglosassone) per mia figlia con largo anticipo, così quando arriverà, lei potrà dire “Hai visto?? Babbo Natale si è ricordato di me, sa dove abito!!” Il tutto condito da una buona dose di bontà pre-natalizia che non manca mai: “Questa letterina ti accompagnerà nel periodo più bello dell’anno creando un clima di festa nella tua famiglia. Ideale da inviare a tutti i bambini, nipoti e figli di amici, per continuare a raccontare la storia più magica che conosciamo, quella di un vecchietto che viaggia su una slitta trainata da renne volanti e che consegna regali.” Tutto molto bello se non fosse che è clamorosamente falso e si tratta probabilmente di un sistema acchiappaclic, perché i link sulla mail (che è in formato HTML con tanto di immagini suggestive di un Natale sotto la neve) rimandano direttamente a una pagina sita sul dominio emailsys4b.net. Se poi si va sul sito www.letterinadababbonatale.com si ottiene questo:

il dominio è scaduto oggi ed è pieno di pubblicità (non lasciatevi ingannare dai link). Il sito letterinadaboabbonatale.com è registrato a nome un utente di Hong Kong

mentre le credenziali del dominio emailsys4b.net sono oscurate per la privacy (cioè, LORO spammano a destra e a manca e poi invocano il principio della privacy, siamo a livelli di pura contraddizione in termini). E puntano sulla credulità della gente (a chi è che non farebbe piacere una letterina di babbo Natale per la festa più bella dell’anno?), sui sogni dei nostri bambini, sull’effetto sopresa. E’ normale che qualcuno ci caschi come una pera. Come sempre state attenti.

Google: il diritto all’oblio non può essere applicato a livello globale

Reading Time: < 1 minute

 95 total views

Nel 2016, la Francia, attraverso la Commissione Nazionale Informatica delle Libertà (CNIL) aveva condannato il motore di ricerca più usato nel mondo a pagare 100.000 euro per la mancata rimozione di alcuni link a livello mondiale. La Corte di Giustizia dell’Unione Europea ha dato ragione al colosso informatico sostenendo che il diritto all’oblio riguarda solo gli stati membri dell’Unione Europea e non può avere un effetto di portata mondiale sui motori di ricerca.

Quando ti arriva una mail da Jimmy Wales (forse)

Reading Time: 3 minutes

 376 total views

Poi succede che ti arriva una e-mail. Mittente apparente jimmy@wikipedia.org. E già il mittente è inquietante. Più inquietante è il subject: “Valerio – Ne ho abbastanza“. “E vai“, ti dici “Jimmy Wales, il guru di Wikipedia in persona, si è arrabbiato di tutti gli interventi che faccio contro di loro e adesso promette vendetta.” Non potrei permettermi un contenzioso con Wikipedia, figuriamoci una causa legale, per cui apro la mail con un po’ di titubanza. Cazzo vuole Jimmy Wales da me? Semplice: soldi. La mail inviata apparentemente dall’indirizzo di Jimmy era in realtà intestata (indirizzo e-mail del mittente) alla casella di posta elettronica donate@wikipedia.org afferente alle donazioni. Siccome nel 2018 ho disgraziatamente effettuato per errore una donazione a Wikipedia (per vedere dove andassero a finire materialmente i nostri soldi), allora ecco di nuovo Jimmy Wales o chi per lui, in una mail scritta in perfetto italiano, a bussar quattrini e a chiedermi di effettuare una nuova donazione per il 2019.

Scrive:
“La compravendita dei dati degli utenti, come se la nostra privacy fosse una merce qualsiasi, i siti a pagamento che bloccano l’accesso a chi non può permetterselo, la pubblicità che ci bombarda ogni volta che apriamo un browser: ne ho abbastanza!”

Ecco uno che si lamenta della gestione della privacy degli utenti e poi usa i dati in suo possesso per andare a chiedere donazioni. Non è che sia molto coerente, a dire il vero. Ho fatto una donazione a Wikipedia, questo è vero (anche se per mia sbadataggine e contro la mia volontà), se deciderò di farne un’altra lo farò senza che nessuno mi scriva usando il trucchetto dell’e-mail scambiata e farlocca per farmi credere, inizialmente, che sia proprio Jimmy Wales in persona (e anche con un subject assai incazzoso, per giunta) a scrivermi, perché se immediatamente vedo un indirizzo del tipo donate@qualcosa.qualcosaltro  poi sono portato a pensare che si tratti di una scocciatura, che il mittente faccia solo spamming (come effettivamente è) e che Wikipedia mi chieda di aprire il portafoglio (come effettivametente è). Quindi sono portato a cestinare automaticamente la mail. Invece così mi prendo un bell’accidente e quanto meno la mail la apro. Fine psicologia wikipediana, non c’è che dire.

La pubblicità. Jimmy Wales ha ragione a dire che la pubblicità ci bombarda ogni volta che abbiamo un browser, ma la pubblicità, per molti siti, è l’unica fonte di sostentamento. Questo blog vive anche grazie alla pubblicità. Wales aggiunge: “Siamo una non-profit. Solo l’1% dei nostri lettori dona” ed ecco quello che mi fa più incazzare, una lagna costante e una lamentela sempiterna. Questo blog ha in media 1000 visualizzazioni al giorno. Non sono tante. Non sono poche. Sono 1000 visualizzazioni. Per 365 giorni all’anni fa 365000 visitatori. Mettiamone pure 300.000 per prudenza. Se io avessi l’1% dei miei visitatori che mi facesse una donazione di un euro (il prezzo di un caffè, come dico nella pagina di valeriodistefano.com) ricaverei 3000 euro. Che basterebbero e avanzerebbero per liberarsi dalle pubblicità di Google Adsense su valeriodistefano.com e su classicistranieri.com per almeno 9 anni. Per cui, hai l’1% dei tuoi lettori che ti fa una donazione? Ringrazia il tuo Dio, perché con i numeri che ha Wikipedia questo significa poter contare su tanti, ma tanti, ma tanti soldi. Che bisogno hai di venire a rompere i coglioni a me, povero blogger, che se voglio raccattare qualche centesimo (perché di centesimi si tratta) al giorno sono costretto a servirmi dei bannerini pubblicitari pregando che qualcuno ci clicchi sopra, perché se non ci clicca nessuno io non ricavo niente di niente??

Jimmy Wales ne ha abbastanza? E sapesse quanto ne abbiamo abbastanza noi del modello wikipediano. Di un’enciclopedia che usa i SeroBOT per censurare i contributi degli utenti, di tutte le volte in cui scrivono “qual è” con l’apostrofo, di quando la lobby si impunta e fa pressione sul Parlamento Europeo che fa una norma ad hoc per la Link Tax, quando pubblicizzano il Manifesto della Razza da Wikisource, quando scrivono che Vittorio Emanuele II era “superdotato” come se fosse un dato enciclopedico, quando dedicano parole e parole in una voce su Wanna Marchi, ma lo scrittore catalano Rafael Cansinos-Assens non ha nessuna voce e così via.

Via, via, cestinare. E alla svelta.

Garante della Privacy: 600.000 euro di sanzione a Wind per telemarketing indesiderato

Reading Time: 8 minutes

 146 total views

Ordinanza ingiunzione nei confronti di Wind Tre S.p.A. – 29 novembre 2018

Registro dei provvedimenti
n. 493 del 29 novembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati; 

RILEVATO che l’Ufficio del Garante, con atto n. 21916/114323 del 20 luglio 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato a Wind Tre S.p.A, in persona del legale rappresentante pro-tempore, con sede legale in Rho (MI), largo Metropolitana n. 5, C.F. 02517580920, le violazioni previste dagli artt. 23, 130, 162, comma 2-bis, 164-bis, comma 2, e 167 del Codice in materia di protezione dei dati personali (d. lg. 196/2003, di seguito denominato “Codice”) nella formulazione antecedente alle modifiche introdotte dal d. lg. 101/2018;

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue: 

– il Garante ha adottato, in data 22 maggio 2018, il provvedimento n. 313 (in www.gpdp.it, doc. web n. 8995285), al quale integralmente si fa richiamo, all’esito dell’istruttoria di un procedimento amministrativo avviato nei confronti di H3G S.p.A. e quindi, a seguito dell’intervenuta fusione di Wind Telecomunicazioni S.p.A. e H3G S.p.A. in Wind Tre S.p.A.;

– il procedimento ha tratto origine da numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale nell´interesse di H3G;

– l’istruttoria svolta dall’Ufficio anche mediante verifiche ispettive ha consentito di appurare che “anzitutto in relazione ai segnalanti, la Società abbia violato gli artt. 23 e 130 del Codice, essendo stati gli stessi contattati, direttamente o tramite la propria rete di vendita […], telefonicamente o via sms, nonostante si fossero opposti ai trattamenti per finalità commerciali […]. E tale illiceità, come già si è rappresentato, trova causa anzitutto nella menzionata assenza di idonee misure preventive apprestate dalla Società per escludere i contatti commerciali indesiderati (o quantomeno minimizzare il rischio del loro verificarsi), mediante opportuni incroci con proprie liste di esclusione nelle quali i segnalanti tutti avrebbero trovato collocazione […]. Deve peraltro rilevarsi che anche i controlli ex post che la Società è comunque tenuta a porre in essere ‒ come dichiarato, al tempo delle verifiche effettuati per lo più nella forma dell’invio di formulari ai partner […] o dei richiami generalizzati […] e finanche nelle comunicazioni individualizzate nelle quali la Società si limita a ricordare i vigenti obblighi di legge […] ‒ non si sono rivelati efficaci, atteso che non di rado più di uno dei segnalanti ha potuto lamentare reiterati contatti effettuati da utenze facenti capo ad un medesimo operatore, risultato partner della Società, senza che l’intervento di quest’ultima abbia sortito alcun effetto” e che “la Società consente l’accesso ai propri sistemi ‒ e quindi alla base dati di rilevanti dimensioni riferita agli utenti dei propri servizi di comunicazione elettronica, come risulta dalle dichiarazioni rese in atti […] ‒ ad una platea assai ampia di partner contrattuali […] senza aver provveduto a designare la parte assolutamente predominante degli stessi ‒ come si è visto, il 93% […] ‒ quali “responsabili del trattamento” ‒, qualificandoli anzi espressamente, nella documentazione in atti, quali “titolari del trattamento”. […] In considerazione dell’omessa designazione di tali soggetti quali “responsabili del trattamento”, deve ritenersi che nel caso di specie ricorrano gli estremi per una sistematica oltre che prolungata nel tempo comunicazione illecita dei dati riferiti alla clientela a terzi, i partner contrattuali per i quali non si è provveduto alla designazione quali “responsabili del trattamento”, che vanno ben al di là dei casi a campione individuati nel corso delle verifiche […], riguardando, come detto, il 93% degli operatori economici che vanno a comporre la rete commerciale della Società. In ragione dell’accesso accordato a tale classe di soggetti al sistema gestionale della Società in assenza di alcuna designazione degli stessi quali “responsabili del trattamento” e non essendo detta operazione di trattamento (la comunicazione dei dati) fondata su un idoneo consenso informato degli interessati (artt. 13 e 23 del Codice) ‒ anche in ragione del fatto che tale tipologia di soggetti non è menzionata nell’informativa resa alla clientela: […] ‒, né risultando comprovato altro presupposto equipollente ai sensi dell’art. 24 del Codice, tale trattamento ‒ seriale e sistematico, anzitutto in relazione a quanti presso tali operatori hanno attivato un contratto o hanno richiesto assistenza ‒ deve pertanto ritenersi illecito”;

RILEVATO che con il citato atto del 20 luglio 2018 sono state contestate a Wind Tre S.p.A.:

a) la violazione delle disposizioni di cui agli artt. 23 e 130, comma 3, e 167 del Codice, sanzionata dall’art. 162, comma 2-bis, con riferimento alla mancata acquisizione del consenso per l’effettuazione di chiamate promozionali;

b) la violazione delle disposizioni di cui agli artt. 23 e 167 del Codice, sanzionata dall’art. 162, comma 2-bis, in relazione alla mancata acquisizione del consenso per la comunicazione di dati a soggetti terzi (partner commerciali)

c) la violazione prevista dall’art. 164-bis, comma 2, del Codice, per aver realizzato le condotte di cui sopra in relazione a banche dati di particolare dimensioni (la base di dati riferita al brand “Tre” è costituita da circa 10.000.000 di utenze facenti capo a circa 6.600.000 clienti oltre a circa ulteriori 3.000.000 di utenze relative a clienti cessati);

DATO ATTO che, per le violazione di cui ai punto a) e b), è intervenuto pagamento in misura ridotta, ai sensi dell’art. 16 della l. n. 689/1981, effettuato l’11 settembre 2018; rilevato altresì che per la violazione di cui al punto c) non è prevista la facoltà di estinguere il procedimento sanzionatorio mediante pagamento in misura ridotta;  

DATO ATTO che Wind Tre S.p.A. ha inviato, il 24 luglio 2018, una istanza di revisione in autotutela del provvedimento di contestazione di violazione amministrativa nella quale ha rappresentato che: 

– la società, prima ancora dell’adozione del provvedimento n. 313 del 22 maggio 2018, aveva posto in essere autonome iniziative sul brand “Tre” al fine di eliminare le criticità riscontrate in sede istruttoria;

– tali iniziative sono state rafforzate a seguito dell’adozione del richiamato provvedimento e anche al fine di giungere ad una piena armonizzazione delle procedure in essere presso i brand oggetto di fusione nonché al necessario adeguamento dei trattamenti al Regolamento (UE) 2016/679 (General Data Protection Regulation, di seguito “GDPR”);

– per il comportamento proattivo della Società con riferimento al complessivo procedimento amministrativo instaurato nei suoi confronti dal Garante può giungersi all’archiviazione delle sanzioni ovvero alla riduzione sostanziale dell’importo delle medesime anche in relazione alla circostanza che il provvedimento legislativo di adeguamento delle disposizioni del GDPR prevede una modalità di estinzione dei procedimenti sanzionatori  mediante il pagamento di una somma in misura ridotta (pari a due quinti del minimo edittale), facoltà che appare equo estendere anche al caso in argomento;

RILEVATO che la richiesta di annullamento in autotutela della contestazione di violazione amministrativa non può trovare accoglimento poiché non si ravvisano nel predetto atto gli elementi di nullità indicati nell’art. 21-septies della legge n. 241/1990, tuttavia le argomentazioni in essa contenute possono essere prese in considerazione alla stregua di scritti difensivi prodotti dalla parte ai sensi dell’art. 18 della legge n. 689/1981. Tali argomentazioni non riguardano le condotte oggetto di contestazione ma i comportamenti successivi della Società, la quale, si evidenzia, avrebbe intrapreso, prima ancora dell’adozione del provvedimento n. 313 del 22 maggio 2018, un percorso di eliminazione delle criticità riscontrate e di adeguamento alle novità introdotte dal GDPR, tale da consentire di valutare con favore, in termini di quantificazione della sanzione, l’azione svolta dalla società. Al riguardo, si rinvia ogni considerazione alla sezione della presente ordinanza-ingiunzione nella quale si prendono in esame gli elementi per giungere all’importo finale della sanzione. In questa sede deve confermarsi la responsabilità di Wind Tre S.p.A. in ordine alle violazioni contestate, non essendo stati portati all’attenzione del Garante elementi nuovi e idonei ad escluderla. Inoltre, per quanto riguarda l’applicabilità nel caso in argomento dell’istituto della definizione agevolata introdotto dall’art. 18 del d. lg. n. 101/2018, deve evidenziarsi che tale istituto, per espressa indicazione del legislatore, riguarda soltanto i procedimenti sanzionatori in essere (cioè avviati con contestazione di violazione amministrativa) e non definiti alla data di applicazione del GDPR (25 maggio 2018). Poiché, nel caso in argomento, l’instaurazione del procedimento sanzionatorio è avvenuta in epoca successiva (con la notifica in data 20 luglio 2018 dell’atto di contestazione di violazione amministrativa), tale procedimento risulta escluso dalla possibilità di definizione agevolata.

RILEVATO, quindi, che Wind Tre S.p.A., sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, le violazioni indicate ai punti a) e b) dell’atto di contestazione n. 21916/114323 del 20 luglio 2018, per le quali è intervenuta definizione in via breve e, conseguentemente, la violazione prevista dall’art. 164-bis, comma 2, per aver realizzato le violazioni di cui ai punti a) e b) in relazione a banche dati di particolare rilevanza e dimensioni;

VISTO l’art. 164-bis, comma 2, del Codice che punisce le violazioni di un’unica o più disposizioni indicate nella parte III, titolo III, capo I del Codice (ad eccezione di quelle previste dagli articoli 162,  comma  2, 162-bis  e  164), commesse in relazione ad una banca dati di particolare rilevanza e dimensioni, con la sanzione amministrativa del pagamento di una somma da euro 50.000 ad euro 300.000;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di rilevante gravità tenuto conto che, nel caso in argomento, sono stati impiegati differenti canali di contatto che hanno determinato un esponenziale aumento del livello di invasività delle campagne promozionali;

b. ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che Wind Tre S.p.A. abbia, prima ancora dell’adozione del provvedimento n. 313 del 22 maggio 2018, posto in essere autonome iniziative sul brand “Tre” al fine di eliminare le criticità riscontrate in sede istruttoria; tali iniziative sono state rafforzate a seguito dell’adozione del richiamato provvedimento e anche al fine di giungere ad una piena armonizzazione delle procedure in essere presso i brand oggetto di fusione nonché al necessario adeguamento dei trattamenti al GDPR;

c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la Società risulta gravata da numerosi precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione (l’ultima ordinanza-ingiunzione è stata adottata il 22 maggio 2018, in www.gpdp.it, doc. web n. 9018431);

d. in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio ordinario d’esercizio per l’anno 2017 e i bilanci consolidati al 31 marzo 2018 e 30 giugno 2018; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 150.000 (centocinquantamila) per la violazione di cui all’art. 164-bis, comma 2, del Codice.

RITENUTO inoltre che, in relazione alle condizioni economiche del contravventore, avuto riguardo in particolare alla circostanza che Wind Tre S.p.A. è il primo operatore di telefonia mobile in Italia (con una customer base di 28.600.000 di sim card) e detiene anche una rilevante quota di mercato nel settore della telefonia fissa (2.700.000 linee), la sopra indicata sanzione pecuniaria risulta inefficace e deve pertanto essere aumentata del quadruplo, come previsto dall’art. 164-bis, comma 4, del Codice (da € 150.000 a € 600.000);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Wind Tre S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Rho (MI), largo Metropolitana n. 5, C.F. 02517580920, di pagare la somma di euro 600.000 (seicentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla predetta Società di pagare la somma di euro 600.000,00 (seicentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 novembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Matteo Salvini e Elisa Isoardi si sono lasciati (e ora come ci siete rimasti?)

Reading Time: < 1 minute

 160 total views

La notizia è di quelle che fanno gridare, già vorremmo correre lieti ad addobbare i nostri veroni ma siamo frenati da una sorta di infantile pudore che ci fa riflettere: Salvini e la Isoardi si sono lasciati. Anzi, probabilmente lo ha lasciato lei, ma non stiamo lì a sottilizzare. Lei devo dire che è stata molto delicata: ha postato su Instagram un particolare di una foto della loro vita intima, ringraziando lui di tutto il tempo speso insieme. Un gesto gentile e di una certa qual leggerezza affettiva, non c’è proprio che dire. Lui, che nella foto mostra solo un braccio, non ha obiettato. Probabilmente gli è stata bene questa spettacolarizzazione della loro vita intima, questo mettere in mostra su un social network l’amore che fu, e sigillare così, consegnandolo alla sfera dell’oblio (ma anche al perenne e costante ricordo telematico) una storia che si presume d’amore. Almeno finché è durato.

Perché tutto questo?? Perché questa assenza totale di vergogna e di pudore, nonché di imbarazzo, e questo senso di importanza essenziale della notizia, come se davvero fosse qualcosa da cui dipende il mondo intero, degna di essere riportata su tutti i giornali? Ebbene sì, anche Salvini ha una privacy. E contina ad esserci gente che si lascia senza nemmeno farsi un selfie.

Dell’amore che fu restano ormai solo pochi pixel.

Non è Facebook che si fa i cazzi vostri, siete voi che glieli raccontate

Reading Time: 2 minutes

 266 total views

cambridge

Li vedi passeggiare per i bar a ciacciare come forsennati sui loro telefonini, a parlare con gli amici, a passaggiare nervosamente in su e in giù, a twittare, chattare, telefonare e parlare sempre dello steso immarcescibile argomento: “Cosa fare adesso che Cambridge Analytica ha fatto esplodere l’effetto Facebook e ha rivelato che cosa è disposto a fare Zuk… Zik… Zak… sì, insomma, lui, con i nostri dati, quelli che gli conferiamo quotidianamente a ballini interi.

Perché la gentre si è svegliata adesso. Fino ad ora tutti erano impegnati a mandarsi i gattini in linea, i cuoricini, le ricette, le fotografie del dolce fatto la domenica, le foto dei propri figli minori di età (bel problema anche quello lì), gli apprezzamenti (“Oh, come sei bella!” “No, figurati, sei più bella tu!!”), le foto delle scarpine nuove ai piedi, e le dichiarazioni di voto in politica. Adesso, e solo adesso, lo ripeto, questa gente si sveglia, e scopre che Facebook fa un uso distorto di tutte queste informazioni. No, dico, ma PRIMA, questa gente, dov’era??

E perché oggi si fa tanto un pubblicare frenetico di istruzioni sul come disiscriversi da Facebook, quando un articolo pubblicato sul “Fatto Quotidiano” di domentica scorsa metteva in rilievo i pericoli dell’essere iscritti a Twitter, Amazon, Instagram e quant’altro? E’ fatta così la gente. Vuole scappare da Facebook e poi sul telefonino ha WhatsApp che è della stessa proprietà e traccia i profili degli utenti a seconda delle telefonate che fanno (a chi le fanno, quali amici hanno, chi sono i propri contatti in rubrica, chi quelli occasionali e viandare).

Io? Io sono nella merda fino al collo. Ho un blog, un accesso Facebook, WhatsApp sul telefono, Twitter e compro spesso su Amazon. Sono la vittima ideale. Però lo sapevo. E ho accettato il rischio. Chiudere la stalla quando i buoi son scappati mi sembra oltremodo puerile e poco conveniente.

E nessuno che abbia (ancora) capito che in tutto questo gratuito ostentato, il vero prezzo da pagare siamo noi stessi.

L’insostenibile leggerezza di chiamarlo “Stefano”

Reading Time: 2 minutes

 159 total views

boldrinirodota

E’ morto Stefano Rodotà e io ci sono rimasto così male da non aver trovato nulla da dire o da dedicargli (non credo sia la stessa cosa, anzi, quasi mai lo è, ma è tanto per dire) nelle ore immediatamente successive la sua morte.

Come la maggior parte di noi ho appreso la notizia via internet, dove era riportata in primissima evidenza sui principali quotidiani nazionali, verso sera. Poi, la mattina successiva, era già passata in second’ordine (via, via, che qui il mondo gira, posson mica star dietro solo a Rodotà che muore lorsignori dell’editoria giornalistica!).

Poi i commenti su Twitter. Io è tanto tempo che mi dico che devo assolutamente iscrivermi ai canali delle istituzioni e dei principali politici italiani, ma leggere quello che scrivono può farmi male ai succhi gastrici, che son già delicatini, per cui mi dedico con tempi e attenzione limitati allo spulciare i loro cinguettii. Ce n’è uno che mi ha particolarmente colpito, ed è quello di Laura Boldrini, di cui non parlo più in questo blog da molto tempo. Ha scritto: Con #Rodotà [mi raccomando l’hastag, che fa più figo] perdiamo uno straordinario giurista [vero!], che si è battuto per il diritto di avere diritti [verissimo, sacrosanto!], anche nell’era digitale. [Perché, nell’era digitale i diritti non valgono?? Va be, passiamole anche questa.” E poi la chiusura finale: “Grazie Stefano”.

Ma come sarebbe a dire “Grazie Stefano”?? Perché lo ricorda e lo chiama come se fosse un amico intimo di infanzia? Perché si conoscevano, d’accordo, mi fa piacere, certamente Rodotà era un uomo dalla compagnia gradevole e da cui c’era sempre qualcosa da imparare, ma diamine, sei la Presidente della Camera, un po’ di contegno e di misura nell’eloquio non guasterebbe. Che so un “Grazie Professore” (per ricordare tutti gli anni di Rodotà spesi nell’insegnamento e nella formazione di generazioni di giuristi), “Grazie Presidente” (per ricordare quello che ha fatto come Presidente dell’Autorità Garante per la Protezione dei Dati Personali). Rodotà era un gigante e almeno in articulo mortis merita il rispetto e il doveroso Lei che tutti gli dobbiamo tutti. E che gli deve, a maggior ragione il Presidente della Camera come terza figura istituzionale. Che, evidentemente, non smette di essere Presidente della Camera neanche quando sditeggia su Twitter.

Così ho scritto un controtweet alla Boldrini: “Perché lo chiama ‘Stefano’ come se ci fosse andata a mangiare la pizza insieme fino all’altro giorno?” I miei 140 caratteri di amarezza.

Per tutto quello che ho appreso nella lettura dei suoi scritti, grazie Professor Rodotà!

Lavori in corso

Reading Time: 2 minutes

 361 total views

lavori-in-corso

Nei giorni scorsi, ve ne sarete resi conto, il blog è stato a tratti irraggiungibile per via di alcune manutenzioni di ordine tecnico (sissì).

Come vedete ho eliminato (sarà la terza o la quarta volta che lo faccio, ma sento che questa è la volta buona, come direbbe Renzi) la pubblicità di Google. La mia pigrizia mi avrebbe imposto di lasciarla, ma si trattava di un contenuto ormai troppo invadente (dal punto di vista dell’occupazione dello spazio) ma soprattutto poco redditizio: dai 20 ai 90 centesimi di euro di media non sono neanche il caffè al bar della colazione. E la mia libertà di opinione vale molto di più (Adsense di Google mi filtrava i contenuti per vedere se erano confacenti alla pubblicità che programmavano su queste pagine). Senza contare che io non bevo caffè e non faccio colazione al bar.

Altra eliminazione importantina è stata quella del banner di Feedjit, anche quello piuttosto severo in termini di risorse di privacy. Certo, non è un segreto se arrivate su questo blog da una ricerca di Google, se ci venite tutti i giorni, o se lo fate grazie a un link di un’altra ricerca (ed era proprio questo tracciamento che Feedjit permetteva). Ma in fondo non serviva a nulla. E va beh, d’accordo che mi piacevano le bandierine.

Volevo anche cambiare il vestitino del blog. Questo lo mantengo perché è semplice e sobrio, ma mi ci vorrebbe qualcosa che sia un po’ più friendly con gli smartphone, magari intanto che ci sono smanetto un po’ però stavolta il blog dovrebbe essere sempre visibile. Se così non dovesse essere abbiate pazienza, mi sto facendo un ballino di cazzi miei.

Il senso di Pippo Civati per la Privacy

Reading Time: 3 minutes

 133 total views

Screenshot da www.civati.it

Io Pippo Civati non lo capisco. E non capirò mai neanche il perché abbia un seguito femminile così acceso e caloroso. Ma parliamo d’altro.

Ha inserito un sondaggio nel suo sito personale. Scopo del sondaggio dovrebbe essere quello di raccogliere il maggior numero possibile di opinioni sull’opportunità di votare la fiducia o meno in Parlamento al neogoverno Renzi e a tutte le renzine e ai renzini che ne fanno parte con malcelato orgoglio. In breve, fiducia o abbandono delle fila del PD. Che, voglio dire, dovrebbe anche saperlo un gocciolino da se solo, invece di chiederlo agli altri.

Per fare una cosa di questo genere basterebbe un formulario a due risposte, visto che tertium non datur e che ubi maior minor cessat.

Macché, sono ben UNDICI domande quando ne sarebbe bastata una, la prima.

Già la seconda è particolarmente fastidiosa: “Indipendentemente dalla tua risposta alla domanda 1, quali ragioni reputi valide per votare la fiducia?” Ma come sarebbe a dire “Indipendentemente dalla mia risposta alla domanda 1”?? Se io dovessi dire che la fiducia a Renzi non va votata come faccio a reputare valide alcune ragioni per farlo? In effetti tra le risposte possibili (max. 3) ce n’è una che dice “Non ci sono ragioni valide che giustifichino il Si alla fiducia” e “Sì”, ovviamente, è scritto anche senza accento.

La terza domanda è in par condicio: “Indipendentemente dalla tua risposta alla domanda 1, quali ragioni reputi valide per non votare la fiducia?”, quindi rovesciate il ragionamento di cui sopra e avrete le risposta.

Dalla quinta scelta in poi si va sul personale. Ben 7 domande su 11, non c’è male.

Si inizia con il classico uomo-donna, per proseguire con l’indicazione delle fasce d’età (sono compreso nella penultima, “tra i 46 e i 60 anni“, appena scendo negli inferi dell’ultima fascia, “sopra i 60 anni” vado direttamente a Lourdes su un wagon-lit della Croce Rossa). “In quale provincia vive?” “Qual è il suo titolo di studio?” Chissà che cosa cambia nella legittimità dell’espressione di un’opinione tra un laureato di Trento e un contadino con la licenza media di Ragusa (come se a Trento non ci fossero persone con la licenza media e come se a Ragusa non ci fossero laureati!).

Splendido il parco-risposte alla domanda n. 9 “Qual è la sua attuale occupazione?” in cui è contemplata l’opzione “Non sa”. Ma chi è che NON SA quale sia la sua occupazione?? Voglio dire, chi è che esce la mattina di casa e va a esercitare una non-attività in un non-luogo? Giusto il protagonista di “Un giorno di ordinaria follia“!
E alla fine di tutto “Per favore, inserisca la sua mail.”

Ah, ecco cosa volevi, Civati, non volevi la mia opinione, volevi la mia mail. Non ti bastava il mio anonimato o registrare un semplice indirizzo IP di provenienza. Cos’è, vuoi scrivere a tutti quelli che non sanno quale occupazione hanno? Quelli che sono disoccupati a loro insaputa??

Meno male che c’è un pistolottino sulla Privacy da leggere. Dice così: “I dati personali, anche di natura sensibile, conferiti dall’Utente, saranno trattati esclusivamente per finalità di registrazione dell’Utente e per comunicare con l’Utente registrato.”

Ma è proprio quello che mi preoccupa. Che qualcuno “registri” me quando invece dovrebbe esclusivamente registrare le mie risposte. E anche che qualcuno desideri “comunicare” con me. Perché mai dovrebbe farlo? Vuole sapere se per caso non so che numero porto di scarpe? O se non so chi ho votato alle ultime elezioni?

Va bene, facciamo così: io rispondo e do il mio indirizzo di posta elettronica. Poi gliene chiedo la cancellazione. Se non rispondono o non ottemperano vado dal Garante della Privacy. Seguite il blog, è solo l’inizio.

 

Confutatis Maledictis

Reading Time: 2 minutes

 189 total views

Una signora mi ha detto che il mio blog sta cominciando a diventare noioso.

Senz’altro è vero, ma io sono vecchio e rincoglionito (sicché tendo sempre più spesso a reiterare sempre gli stessi discorsi). Inoltre sono acciaccato, malandato, menomato, zoppo, pensionato d’accompagnamento, in breve, “infelice”, come avrebbe detto il mi’ nonno Armando e questo mi rende vieppiù rimuginante e ripetitivo.

Del resto, cosa volete, anche gli argomenti di cui parlo son tutt’altro che popolari.
Se parlassi di sesso, delle gravidanze delle star, se vi invitassi a donare due euro all’Associazione Nazionale contro l’Unghia Incarnita (Onlus!!!!), se vi rimbalzassi i coglioni con l’ultimo telefonino in pura plastica a soli 535 eurini e ci state larghi, a quest’ora avrei molte più visualizzazioni.

Invece vi parlo di privacy (e il bello è che non la penso nemmeno come voi!), vi parlo di diffamazione (reato odiosissimo ma v’importa ‘na sega a voi, quella degli altri è diffamazione, la vostra è critica!), vi parlo di copyright (e anche lì v’importa ‘na sega a voi, voi la roba la scaricate, peggio per chi ci capita!), vi parlo di Wikipedia e di quanto sia improponibile, ma a voi Wikipedia vi garba di molto, e poi via, Di Stefano, perché questa continua crociata contro Wikipedia? Ora avresti anche rotto i coglioni a criticarla ogni volta che chiede i soldi alla gente.

Crociata?? Io non faccio nessuna guerra, e Wikipedia non è custode del Santissimo Sepolcro.
Vi rompo i coglioni quando parlo del loro vizietto di chieder soldi alla gente? Beh, anche loro rompono i coglioni a chieder soldi a ogni pie’ sospinto, ci mancherebbe altro che non li si possa criticare (ah, no, giusto, la mia è diffamazione, la critica è la vostra).

E poi non mi piacciono Jovanotti, la Boldrini e Saviano. No, via, non va bene così. E avete ragione, sto cominciando a diventare noioso. Sapete cosa c’è?? Che vi pigliate uno spazio web dove vi pare, ci installate WordPress o quello che vi garba a voi, e il blog ve lo fate per conto vostro, così la smettete di rompere i coglioni a me.

Privacy is not a crime!

Reading Time: 3 minutes

 193 total views

Qualcuno mi ha chiesto (bontà sua) cosa io ne pensi delle intercettazioni selvagge rispetto al tema della privacy.

A parte il fatto che ho già scritto qualcosa in proposito, posso condensare il tutto in una breve sentenza: avete voluto l’“intercettatemi pure”, avete voluto il “siamo tutti puttane”, avete gridato “io non ho niente da nascondere!” adesso non vi lamentate!

“Ma tu hai un blog, metti tutta la tua vita in pubblico e poi vieni a ragionare della privacy…”

Sì, io ho un blog ma tutta la mia vita in pubblico non ce la metto. Quanto alla privacy, è molto semplice: la privacy è tutto quello che IO decido che gli altri possano fare (o non fare) con i miei dati e con le mie informazioni. Punto, non c’è altro.

Sembra semplice eppure lo è:

– se io metto sul blog il mio indirizzo e-mail, è perché mi fa piacere che la gente mi scriva sulle tematiche e sugli articoli che tratto nel blog. E quello è il motivo per cui lo pubblico. Se, invece, lo usa per mandarmi della pubblicità, lì sì, mi inalbero. Perché questo non rientra più nei limiti di quello che IO avevo stabilito fosse il confine del mio formire quel dato personale;

– se io scrivo sul blog che ho l’influenza, questo dato deve rimanere circoscritto alla sfera della lettura di pura fruizione (leggasi “cazzeggio”) e nessuna clinica privata è autorizzata, attraverso il mio blog, a raccogliere informazioni sulla mia salute;

– se io metto su Facebook il mio numero di telefono, è perché voglio che Facebook e le persone autorizzate a vederlo possano usufrirne per offrirmi dei servizi o comunicare con me a voce, se credono. Se, invece, in virtù di quella pubblicazione mi telefona l’agenzia dei cuori solitari Cupido per propormi una iscrizione quelli non sono più i MIEI scopi iniziali.

“Eh, va beh, ma tu così ti esponi…”

Anche voi siete esposti, bèi miei naccherini, o pensate che non conferire su Facebook il vostro numero di telefono, ma dare dati riguardo alla vostra religione e al vostro orientamento politico vi preservi ugualmente in saecula saeculorum amen? “Oh, no, il numero di telefono è una cosa così personale…” E il credo religioso e politico no?? Non volete rotture di scatole? Non andate su Internet! Se ci siete (e ci siete) accettate di rischiare, ma poi non venite a fare quelli che cascano giù dal pero se Obama vi incastra mentre parlate con l’amante (paura, eh???).

La privacy è qualcosa di molto articolato. Se voi il numero di telefono invece che darlo a Facebook lo deste al supermercato perché avete completato la raccolta dei punti per l’ottenimento di una zuppiera in purissimo dado da brodo, e poi il supermercato lo cedesse a un altro supermercato, che lo cede a un’agenzia di pompe funebri avete il brodino caldo gratis, la spesa con lo sconto e il funerale con l’offerta speciale, ma intanto il vostro numero di telefono va in giro, e voi ve la prendete con me perché ho dato il mio numero di telefono a Facebook!

Dovreste incazzarvi quando qualcuno fa qualcosa a vostra insaputa coi vostri dati. E anche quando vi dicono che Letta non può essere stato intercettato perché aveva il cellulare crittografato. Perché non li dànno a noi i cellulari crittografati? Noi intercettati e Letta no perché aveva il telefonino strafigo? Va mica bene! Spendiamo centinaia di euro per un telefono che nella migliore delle ipotesi tra sei mesi sarà vetusto e ci pigliano anche per il culo facendoci ascoltare dagli americani.

“Firmi qui qui e qui, è per la privacy” e poi ve lo tirano in quel posto perché per pagarvi il macchinone a rate dovete dare la liberatoria alle banche per l’appoggio del RID (“Ha un conto corrente lei?? Allora è tutto a posto, non ci saranno problemi…”). Vi piace avere almeno un paio di carte di credito nel portafoglio? Anche a me, ma si dà il caso che chi ha emesso la mia carta di credito sappia tutto di quello che compro, di quanto spendo, di dove lo compro. Se compro dei libri on line chi emette la mia carta potrà sapere che ho speso X presso il venditore Y, e non i titoli che ho ordinato. Ma quelli li conosce il venditore Y, appunto, e allora sono già due soggetti che hanno in mano i miei dati.

“Firmi qui qui e qui, è per la privacy” e poi lo prendete di nuovo in quel posto perché si dà il caso che se non firmate poi non avete quella prestazione sanitaria. Ma perché il centro che mi fa le radiografie ha bisogno di sapere se sono coniugato o se ho dei segni particolari di riconoscimento? E poi io dovrei firmare “per la privacy” mentre quelli mi chiedono se per caso ho un neo in fronte o con chi sono sposato?

Ecco, volevate il mio pensiero e ve l’ho detto. Ora firmate qui, qui e qui. E’ per la privacy.

I’ Fazio ‘o show!

Reading Time: 2 minutes

 105 total views

Fabio Fazio, 10 Settembre 2010, Mandela Forum, 9° Incontro nazionale di Emergency, Firenze

Nun me guarda’
stuorte pecche’
momentaneamente
nun sto’ vicino a te
sto’ cu l’amice
e cu l’amice
io faccio ‘o show.
(Arbore – Mattone)

C’era qualcosa che non mi tornava nell’affaire Brunetta-Fazio.

Sono stato a rimuginarci per giorni (o minutini!) per arrivare al capo di quello che non mi scendeva per il gargarozzo delle prevedibilissime domande di Brunetta, e delle altrettato prevedibili risposte del presentatore di “Che tempo che fa?”

Ed è qualcosa che va ben oltre il pur lauto compenso contrattuale che Fazio non ha fatto conoscere per inesistenti “motivi di privacy” (non si capisce bene se dell’azienda o sua), giacché le dichiarazioni dei redditi di chiunque sono pubbliche (sì, anche le mie, anche le vostre -inutile che facciate quelle espressioni di disappunto-, anche quelle di Fazio).

Fazio, che, non bisogna dimenticarlo, è stato definito da Gubitosi come “non un costo ma una fonte di profitto”, ci ha tenuto a precisare a Brunetta che la sua trasmissione è interamente pagata dalla pubblicità.

Che è un autogol clamoroso.

Perché a me non me ne frega niente se i ritorni pubblicitari coprono i costi di quello che fai. Mi devi dire che il tuo programma, con le varie interviste alla Boldrini, a Jovanotti, allo stesso Brunetta, a Roberto Saviano, a chi ti pare sono servizio pubblico di interesse collettivo. Allora, visto che lo sono, non mi ci metti la pubblicità, perché io non voglio che una libera opinione venga condizionata da un pannolino, un’automobile, una marca di crackers.

Poi se vuoi farmi credere che i cinguettii di Massimo Gramellini o le Jolande e i Walter della Littizzetto siano anch’essi servizio pubblico, mi dispiace ma non ci siamo.

Un servizio di pubblico interesse me lo offri a costo zero sia che tu abbia la pubblicità a farti da stampella, sia che quella trasmissione te la guardino in quattro o cinque. E’ servizio pubblico e basta.

E se facessi servizio pubblico veramente potresti essere pagato dal canone degli utenti e guadagnare anche una cifretta un po’ più ragionevole, che male non ti fa.

 

Settimo: paga in contanti! [Forse…]

Reading Time: 2 minutes

 174 total views,  1 views today

E’ bello doppo ‘l morir vivere anchora, ed è bello tornare a parlarvi di privacy dopo tanto tempo.

Quello della privacy sembra un tema noioso e incomprensibile, per certi versi lo è, ma il succo, l’enunciato fondamentale, quello che non bisogna mai perdere di vista è che la privacy è quello che noi non siamo disposti a tollerare che gli altri facciano coi nostri dati personali.

Una persona può benissimo essere disposta a postare le sue foto discinte pubblicamente su Facebook. Un’altra no. Ma magari la persona che non vuole pubblicarsi scollacciata su Facebook è stata un po’ troppo prodiga nel dare il suo numero di telefono in giro e viene contattata quotidianamente da agenzie che vendono di tutto.

Due giorni fa sul “Corriere” è stato pubblicato un decalogo per tutelare la propria privacy in rete. Già il fatto che si tratti di un “decalogo” mi rende un tantinello nervoso. Sa di Mosè che scende giù dal Sinai con le tavole della Legge in mano e i capelli scaruffati.

Il settimo comandamento recita: “Pagate sempre in contanti, quando possibile e a maggior ragione se acquistate qualcosa che potrebbe essere fonte d’imbarazzo: con la carta di credito siete sempre rintracciabili.”

Ora, non si capisce bene (o, meglio, lo si capisce FIN TROPPO bene) quale sia questa “fonte d’imbarazzo”, ma andiamo avanti.
La maggior parte delle transazioni per acquisti in rete avviene con pagamento anticipato (sì!). Ora ci dovrebbero cortesemente spiegare come si fa a pagare in contanti anticipatamente per un acquisto via internet se l’acquirente si trova a Bressanone e il venditore a Siracusa. Cosa si fa, si mette il contante dentro il modem e lo si invia?
C’è il contrassegno, certo, cioè pagare al postino o al corriere al momento della consegna. Ma il guaio è che c’è da pagare qualcosa di più, ok, per non essere sgamati dalla moglie mentre compriamo i nostri DVD porno si può fare questo ed altro, ma si dà il caso che il postino passa al mattino, e che potrebbe essere proprio nostra moglie a ritirare il pacco coi nostri sollazzi visuali, rompendoci le corna al nostro ritorno. No, non funziona.
E allora? E allora PayPal. E’ comodo, viene accettato da un numero sempre maggiore di siti in rete e, soprattutto, funziona.
PayPal non mi paga per dire bene di loro, solo che lo uso da anni con molta soddisfazione (sto scrivendo come Paolo Attivissimo, aiuto!). Lo si associa a una carta di credito ricaricabile, si trasferiscono i fondi, si acquista quello che si vuole e il gioco è fatto.

Non vi illudete, però. Le tracce rimangono sempre. Quella del trasferimento dalla vostra carta di credito impersonale ricaricabile e quella di PayPal che paga per vostro conto il venditore. Ma è già qualcosa.

E certo che con la carta di credito si è sempre rintracciabili! Il fare qualcosa in rete, come poter comperare quello che si vuole, costa qualcosa, e il costo in questione è esattamente una parte di noi stessi.
Bisogna vedere quanto siamo disposti a venderci.

Pubblicità indesiderata: parzialmente accolto un mio ricorso

Reading Time: 4 minutes

 112 total views

Registro dei provvedimenti
n. 260 del 20 settembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA l’istanza ex artt. 7 e 8 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) inviata da Valerio Di Stefano nei confronti di The Writer, con la quale l’interessato, nel contestare la ricezione di una comunicazione promozionale inviata al proprio indirizzo di posta elettronica, ha chiesto di avere conferma dell’esistenza di dati personali che lo riguardano e di ottenere la loro comunicazione in forma intelligibile, di conoscerne l’origine, le finalità, le modalità e la logica su cui si basa il loro trattamento, nonché i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione degli stessi; visto che il ricorrente si è altresì opposto all’ulteriore trattamento di tali dati, di cui ha sollecitato la cancellazione;

VISTO il ricorso pervenuto l’8 maggio 2012 nei confronti di Planet Book Service di Mario Manna & C. s.a.s. (che è risultato essere il soggetto giuridico titolare del trattamento, di cui “The Writer” è un marchio commerciale), con il quale Valerio Di Stefano, nel sostenere di non aver ricevuto alcun riscontro dalla parte resistente, ha ribadito le proprie richieste e ha chiesto, altresì, di porre a carico della stessa le spese del procedimento;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 21 giugno 2012 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), ha invitato il titolare del trattamento a fornire riscontro alle richieste dell’interessato, nonché la nota del 21 giugno 2012 con la quale questa Autorità ha disposto la proroga del termine per la decisione sul ricorso ai sensi dell’art. 149, comma 7, del Codice;

VISTA la nota pervenuta via e-mail il 12 luglio 2012 con la quale la resistente, nello scusarsi per il ritardo nel fornire riscontro alle istanze del ricorrente nonché per l’avvenuto invio delle comunicazioni promozionali, ha affermato che il nominativo del ricorrente, di cui non è in grado di dire nulla in ordine alla sua origine, è stato cancellato dall’archivio della società e l’interessato “non riceverà alcuna comunicazione ulteriore”;

VISTA la nota pervenuta via e-mail il 19 luglio 2012 con la quale il ricorrente, nel sottolineare la tardività del riscontro ottenuto dalla controparte, ne ha d’altra parte lamentato l’incompletezza, con particolare riferimento alla mancata precisazione circa l’eventuale comunicazione dei propri dati a soggetti terzi;

RILEVATO che, alla luce della documentazione in atti, la società resistente ha fornito solo un parziale riscontro alle istanze dell’interessato; ritenuto pertanto di dover accogliere parzialmente il ricorso e di dover ordinare alla resistente, ai sensi dell’art. 150, comma 2, del Codice, di comunicare al ricorrente e a questa Autorità l’origine dei dati personali che lo riguardano (almeno con riferimento alle fonti di acquisizione degli indirizzi di posta elettronica correntemente usati nell’attività di marketing) e i soggetti o categorie di soggetti ai quali gli stessi siano stati eventualmente comunicati, entro e non oltre trenta giorni dalla ricezione del presente provvedimento;

RITENUTO invece di dover dichiarare non luogo a provvedere sul ricorso ai sensi dell’art. 149, comma 2, del Codice in ordine alle restanti richieste, avendo la società resistente fornito, seppure solo nel corso del procedimento, un sufficiente riscontro alle rimanenti istanze dell’interessato affermando, in particolare (con dichiarazione della cui veridicità l’autore risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni e notificazioni al Garante”) che nessuna ulteriore comunicazione promozionale sarà più inviata all’interessato;

VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell’ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l’ammontare delle spese e dei diritti inerenti all’odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di Planet Book Service di Mario Manna & C. s.a.s., nella misura di 300 euro, previa compensazione della residua parte per giusti motivi;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

a) accoglie parzialmente il ricorso e ordina alla società resistente di comunicare al ricorrente e a questa Autorità l’origine dei dati personali che lo riguardano e i soggetti o le categorie di soggetti ai quali gli stessi siano stati eventualmente comunicati, entro e non oltre trenta giorni dalla ricezione del presente provvedimento;

b) dichiara non luogo a provvedere sul ricorso in ordine alle restanti richieste;

c) determina nella misura forfettaria di euro 500, l’ammontare delle spese del procedimento posto, nella misura di 300 euro, previa compensazione della residua parte per giusti motivi, a carico di Planet Book Service di Mario Manna & C. s.a.s., la quale dovrà liquidarli direttamente a favore del ricorrente.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 settembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia