Privacy

Il Garante per la protezione dei dati personali ha pubblicato la newsletter n. 335 del 1° marzo 2010. Quattro gli argomenti trattati:

1. Dati di traffico tlc e Internet: no a conservazione illimitata
2. Violenza sessuale e diritto di cronaca
3. Nuove tecnologie e aree a rischio
4. Il futuro della privacy

Di seguito il testo integrale della newsletter.

Il Garante per la protezione dei dati personali ha pubblicato la newsletter N. 334 dell'11 febbraio 2010 . Quattro gli argomenti trattati:

1. Carte di credito, banche, sanità elettronica sotto la lente del Garante
2. Certificati medici: scambio di dati tra Inps e Inpdadp
3. Archivi Schengen: rafforzare le misure a protezione dei dati
4. Ue-Usa: la Commissione lancia una consultazione sulla protezione dei dati

Di seguito il testo integrale della newsletter. 

(articolo pubblicato originariamente in: http://www.democratici-digitali.com/content/viviane-reding-privacy-le-sfide-per-l-unione-europea)

Traduzione a cura di Agatino Grillo del discorso tenuto da Viviane Reding, Commissario EU per le Telecomunicazioni ed i Media, in occasione del Data Protection Day del 28 gennaio 2010, Parlamento Europeo, Bruxelles. La traduzione è disponibile anche in formato pdf e doc.

Signore e signori,
Sono lieta di essere insieme a voi per celebrare il Data Protection Day. Il numero crescente di eventi organizzati ogni anno in tutta Europa per aumentare la consapevolezza ed informare i cittadini sui loro diritti in ambito privacy dimostra in modo inoppugnabile l’importanza e l’utilità di questa “giornata”. Sono particolarmente lieta di vedere qui, nel Parlamento Europeo, così tanti giovani che partecipano all’evento "Think Privacy". Ciò dimostra la crescente comprensione da parte delle giovani generazioni dell’importanza di tenere sotto controllo i propri dati.
Che lo si voglia o meno, ogni giorno noi condividiamo i nostri dati personali. Questi dati sono raccolti, elaborati e memorizzati fuori dal nostro controllo. Quando prenotiamo un biglietto aereo, trasferiamo denaro, rispondiamo ad un annuncio di lavoro o semplicemente navighiamo su Internet esponiamo costantemente le nostre vite private agli altri. A volte ciò è necessario. Per esempio quando dichiariamo i nostri redditi per pagare le tasse. A volte cediamo i nostri dati personali semplicemente perché scegliamo di farlo. Per esempio diamo il nostro indirizzo ad un venditore per ricevere offerte speciali o sconti. A volte però non vogliamo mostrare i nostri dati. E tuttavia i nostri dati sono raccolti senza il nostro consenso e spesso senza che ne siamo informati. Questo è il punto in cui le leggi europee intervengono.
È mia ferma convinzione che non possiamo pretendere che i cittadini abbiamo fiducia nell’Europa se non saremo in grado di garantire il loro diritto alla privacy. È necessario assicurare che i dati personali siano protetti contro qualsiasi uso non autorizzato e che i cittadini abbiano il diritto di decidere sul modo in cui i loro dati sono utilizzati. La privacy e la protezione dei dati personali sono sempre stati in cima alla lista delle mie priorità quale Commissario per la Società dell’Informazione.
Permettetemi di fare qualche esempio:

Il 28 gennaio 2010 la Commissione europea ha avviato un procedimento giudiziario nei confronti dell'Italia per mancata osservanza delle norme europee in materia di vita privata e comunicazioni elettroniche (ePrivacy). In base alla normativa europea gli Stati membri hanno l'obbligo di garantire che gli abbonati i cui nominativi figurano in un elenco pubblico siano informati sugli scopi dell'elenco e che l'uso a fini commerciali dei dati personali ivi contenuti sia subordinato al loro consenso. Poiché l'Italia è venuta meno a tale obbligo, la Commissione ha deciso di inviarle una lettera di costituzione in mora (si tratta della prima fase di un procedimento di infrazione).

Con un comunicato stampa del 30 dicembre 2009  il Garante per la protezione dei dati personali ha ribadito che le regole predisposte nel marzo 2009, relative alle chiamate promozionali e pubblicitarie consentite a suo tempo dal decreto "Milleproroghe" del 2008, restano valide ancora per l’ulteriore periodo di sei mesi previsto dalla legge di conversione del decreto Ronchi, ovvero, se istituito in questo periodo, fino alla realizzazione del registro pubblico delle opposizioni al quale dovranno iscriversi le persone che non intendono ricevere questo tipo di telefonate.
L’Autorità Garante ha predisposto, a riguardo, un provvedimento in corso di pubblicazione sulla Gazzetta Ufficiale.

Cosa devono fare le aziende per rispettare le disposizioni sul telemarketing del Garante?

Scrive il Garante nel suo comunicato stampa del 30 dicembre 2009: "aziende e call center che contatteranno gli utenti per fare promozione e offerte commerciali, dovranno quindi continuare a utilizzare solo banche dati effettivamente costituite sulla base degli elenchi telefonici precedenti al 1° agosto 2005. E non potranno chiedere il consenso degli interessati per futuri contatti né potranno cedere i dati che utilizzano a terzi.
Gli operatori che telefoneranno agli abbonati dovranno ad ogni contatto specificare per quale società chiamano e ricordare agli interessati i loro diritti. Ma soprattutto dovranno registrare immediatamente l'eventuale contrarietà dell'abbonato ad essere nuovamente contattato. L'utente che non intende essere più disturbato avrà il diritto di conoscere l'identificativo dell'operatore al quale ha comunicato la sua volontà.
Inoltre, i dati presenti nelle banche dati dovranno essere utilizzati solo a fini promozionali e non potranno in alcun modo essere usati per acquisire nuove informazioni o il consenso degli abbonati ad effettuare chiamate dopo la scadenza del periodo di deroga.
Il mancato rispetto del provvedimento comporta una sanzione amministrativa che va da 30 mila a 180 mila euro e che, nei casi più gravi, può raggiungere anche i 300 mila euro." 

Fonte: Comunicato stampa - 21 dicembre 2009 del Garante per la protezione dei dati personali

Analisi del sangue, radiografie e referti medici direttamente sul pc di casa, invece che lunghe file agli sportelli delle Asl e dei laboratori, ma solo con il consenso dell'assistito e con l'uso di password.

Il Garante per la protezione dei dati personali ha approvato le "Linee guida in tema di referti on line " che fissano rigorose misure a protezione dei dati sanitari dei pazienti che intendono utilizzare questo servizio, ricevendo il referto via mail o "scaricando" gli esami clinici direttamente dal sito web della struttura sanitaria.

Già da tempo diversi laboratori, cliniche e ospedali offrono servizi di consultazione elettronica dei referti, ma l'assenza di una normativa che disciplini questa nuova modalità di consegna ha reso necessario l'intervento del Garante affinché questo importante ed innovativo processo di ammodernamento tecnologico della sanità pubblica e privata proceda seguendo regole chiare ed uniformi. Come è avvenuto per il Fascicolo sanitario elettronico, anche in questo caso l'Autorità ha svolto un ruolo di supplenza in attesa di una legislazione adeguata.

Questi i punti principali stabiliti dalle Linee guida.

• L'adesione al servizio dovrà essere facoltativa e il referto elettronico non sostituirà quello cartaceo che rimarrà comunque disponibile. L'assistito dovrà dare il suo consenso sulla base di una informativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di "refertazione on line".
• Il referto resterà a disposizione on line per un massimo di 45 giorni e dovrà essere accompagnato da un giudizio scritto e dalla disponibilità del medico a fornire ulteriori indicazioni su richiesta dell'interessato.
• Per fornire il servizio, le strutture sanitarie pubbliche e private dovranno adottare elevate misure di sicurezza tecnologica (utilizzo di standard crittografici, sistemi di autenticazione forte, convalida degli indirizzi e-mail con verifica on line, uso di password per l'apertura del file) e, nel caso offrano la possibilità di archiviare e continuare a consultare via web i referti, dovranno anche sottoporre ai pazienti una ulteriore specifica informativa e acquisire un autonomo consenso.

Le Linee guida emanate dal Garante tengono conto delle osservazioni e commenti formulate da organismi e professionisti sanitari pubblici e privati, medici di base, pediatri, organismi rappresentativi, associazioni di pazienti.

Il 15 dicembre 2009, il Garante per la protezione dei dati personali ha pubblicato le "Linee guida in tema di referti on-line - 19 novembre 2009" che intendono fornire indicazioni in merito all'utilizzo dei dati personali nell'ambito di alcune iniziative sorte nel processo di ammodernamento della sanità pubblica e privata che ha generato un maggiore sviluppo delle reti e una più ampia gestione informatica e telematica di atti, documenti e procedure.

Fonte: http://www.garanteprivacy.it/garante/doc.jsp?ID=1676654

Comunicato stampa - 10 dicembre 2009 - del Garante per la protezione dei dati personali    

In vista della scadenza del 15 dicembre, termine entro il quale imprese e altri soggetti interessati devono adeguarsi alle prescrizioni impartite a suo tempo in materia di amministratori di sistema, l'Autorità per la protezione dei dati personali ritiene opportuno precisare alcuni aspetti, anche allo scopo di evitare ingiustificati oneri per le aziende.
L'Autorità, nel rilevare il generale impegno da parte delle imprese ad adempiere alle prescrizioni impartite con il provvedimento del 27 novembre 2008, ha infatti constatato che informazioni imprecise o anche talune azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici.
L'Autorità intende dunque ribadire quanto segue:

• le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell'amministratore di sistema o a una figura equivalente.
• le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso.

Per quanto concerne, infine, gli aspetti tecnici del provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli amministratori di sistema), il Garante ricorda come l'adeguamento possa avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all'impiego di prodotti commerciali o di apparati più sofisticati.
Roma, 10 dicembre 2009

Il Garante per la protezione dei dati personali ha pubblicato la newsletter N. 332 del 10 dicembre 2009 .
Tre gli argomenti trattati:

1. No al telemarketing con numeri casuali
2. Riscossione: maggiori garanzie per i contribuenti
3. Vigilanza più "vigilata" negli aeroporti

Di seguito il testo integrale della prima notizia.

No al telemarketing con numeri casuali

E' vietato effettuare telefonate commerciali usando sistemi che generano numerazioni casuali. Tanto più se gli abbonati vengono contattati con chiamate preregistrate.

Lo ha stabilito il Garante privacy intervenendo contro una azienda vinicola a seguito delle segnalazioni di numerosi cittadini che lamentavano la ricezione di telefonate indesiderate, in alcuni casi preregistrate. Per le sue comunicazioni commerciali l'azienda non utilizzava, né direttamente né attraverso i propri call center, i numeri presi dagli elenchi telefonici, ma si serviva di un sistema che generava i numeri da contattare attraverso sequenze casuali. Le sequenze erano elaborate con criteri geografici e i numeri non erano abbinati a dati anagrafici.

Nel suo provvedimento di divieto (relatore Giuseppe Fortunato) l'Autorità ha spiegato che anche il numero casualmente composto e chiamato telefonicamente deve considerarsi "dato personale", in quanto ricollegabile, anche indirettamente, a una persona identificata o identificabile. Di conseguenza, in base alle norme sulla privacy, per poter utilizzare anche questo tipo di numerazione a fini commerciali è necessario il previo consenso dell'interessato. Tanto più laddove si utilizzino modalità di contatto con chiamate preregistrate per le quali il consenso è obbligatorio, come più volte ribadito dal Garante.

Accertata l'illiceità del trattamento, il Garante ha vietato all'azienda di usare sistemi che generano tramite digitazione casuale numeri di telefono con i quali contattare gli interessati. La società dovrà inoltre cancellare tutti i dati personali per i quali non risulta documentato tale consenso.

La mancata osservanza del provvedimento del Garante espone a sanzioni penali (reclusione da tre mesi a due anni) e amministrative (pagamento di una somma da trentamila a centottantamila euro).