Relaziona annuale del Garante della Privacy: L’attività svolta nel 2016 e le prospettive di azione per il 2018

0

Il 6 giugno scorso, l’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici e Licia Califano, ha presentato la Relazione sull’attività svolta nel 2016.

La cerimonia è avvenuta alla presenza della Presidente della Camera dei Deputati Laura Boldrini, del Presidente della Repubblica Sergio Mattarella, di Ministri e di rappresentanti del Parlamento, delle Istituzioni, del mondo dell’impresa e delle associazioni di categoria.

A vent’anni dalla prima normativa sulla protezione dei dati personali (nel maggio del 1997 entrava infatti in vigore la prima legge sulla privacy n. 675 del 1996, poi confluita nel 2003 nell’attuale Codice per la privacy) si è voluto tracciare un bilancio sullo stato di attuazione della normativa e si sono indicate le prospettive di azione verso le quali l’Autorità intende muoversi al fine di favorire la piena attuazione del nuovo quadro normativo europeo in materia.

Nel 2016, infatti, a livello europeo si è definito l’iter di approvazione del cd. Pacchetto protezione dati che comprende un Regolamento generale sulla protezione dei dati (n. 2016/679) ed una Direttiva sulla protezione dei dati in materia di polizia e giustizia (n. 2016/680): il primo, per sua stessa natura, diverrà pienamente esecutivo il 25 maggio 2018; la seconda dovrà essere recepita nell’ordinamento nazionale entro il 6 maggio 2018.

Un tale impegno collettivo e Comunitario evidenzia come, a distanza di vent’anni, il diritto alla privacy non sia più solo una prerogativa del singolo, ma un valore comune da difendere: nell’era digitale, infatti, la raccolta e l’analisi dei dati personali rappresentano oramai un potere strategico per gli Stati, per le grandi imprese e per i colossi del web. La tutela riguarda anche (e soprattutto) Internet, palcoscenico prediletto dalla criminalità informatica e dal terrorismo che oramai si avvale di strumenti sempre più sofisticati per reclutare proseliti ed ostentare la propria potenzialità distruttiva.

Proprio in una tale ottica di protezione della sfera privata, del sistema economico e dello stesso ordinamento democratico, sono proseguiti gli interventi dell’Autorità Garante nel corso di questo 2016.

In primis, in vista dei predetti appuntamenti del 2018, l’anno passato ha visto il Garante coinvolto – insieme alle altre Autorità Ue – sia nella diffusione “al pubblico” delle principali novità introdotte dal Regolamento (in materia di informativa e consenso, di limiti al trattamento automatizzato dei dati personali, di nuovi diritti, di trasferimento dei dati al di fuori dell’UE e di violazione dei dati personali cd. data breach); sia nella elaborazione di linee guida (sul Responsabile della protezione dei dati, sulla portabilità dei dati, sull’Autorità di controllo capofila, sulla valutazione di impatto, ecc.).

Inoltre, data la rilevanza della dimensione digitale ed il crescente impatto di internet e dei social network sui diritti della persona, si è confermata l’attenzione del Garante sul crimine informatico e la cybersicurezza,la profilazione on line, il cyberbullismo, la lotta al terrorismo e la sorveglianza di massa, i Big Data.

Sempre sul fronte Internet, in materia di protezione dei dati on lineè proseguita l’azione di vigilanza sui trattamenti effettuati dai grandi motori di ricerca e dai social network nell’ambito della rete. A tal proposito, Google si è adeguato alle prescrizioni impartite dall’Autorità con il provvedimento del 10 luglio 2014, n. 353, fornendo nel corso del 2016 aggiornamenti trimestrali circa l’implementazione di una serie di misure a favore degli utenti; è stato imposto a Facebook di bloccare i profili cd. fake e di assicurare più trasparenza e controllo agli utenti; è stata avviata un’istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp (società acquisita da Facebook nel 2014) che ha previsto la messa a disposizione di Facebook di alcune informazioni riguardanti gli account dei singoli utenti di WhatsApp, anche per finalità di marketing.

Il Garante, inoltre, ha parteciparto all’analisi interazionale svolta dalle Autorità Garanti di 26 Paesi per il Privacy Sweep 2016 al fine di verificare il rispetto della privacy nell’Internet delle cose (IoT): dai lavori è emerso come la maggior parte dei dispositivi elettronici connessi ad Internet (orologi e braccialetti intelligenti, contatori elettronici, termostati di ultima generazione)non pongano sufficiente attenzione alla protezione dei dati personali. “Alcune aziende – commenta il Garante – non si rendono conto che non solo il nome e il cognome, ma anche  i dettagli sul consumo elettrico di una persona o i suoi stessi parametri vitali, sono dati personali da proteggere”.

L’anno passato, l’Autorità ha inoltre bocciato il progetto di una banca dati on line della reputazione che, raccogliendo ed elaborando una mole rilevante di dati personali contenuti in documenti “caricati” volontariamente sulla piattaforma dagli stessi utenti o “pescati” dal web, avrebbe dovuto consentire la misurazione di un “rating reputazionale” attraverso un algoritmo. Un simile progetto, a detta del Garante, violerebbe le norme del Codice sulla protezione dei dati personali e inciderebbe negativamente sulla dignità delle persone.

Un altro capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca, in particolare il giusto bilanciamento tra il diritto della persona all’oblio su internet e le esigenze di memoria collettiva.

Sotto altro fronte, è stato segnalato come dal punto di vista quantitativo l’area che sicuramente va a comporre il “carico” prevalente dell’Autorità sia il telemarking, ovvero l’invio (il più delle volte indesiderato) di comunicazioni commerciali via e-mail o sms da parte di alcuni Operatori.Prosegue l’impegno nell’arginare questo problema, descritto dal Garante come un “fenomeno distorsivo delle comunicazioni commerciali”.

Anche in ambito sanitario l’Autorità è intervenuta sotto più profili: ad esempio, regolamentando l’uso delle impronte digitali per controllare gli accessi nelle strutture ospedaliere;dando indicazioni sul registro dei tumori, sul nuovo sistema informativo dei trapianti e sulla procreazione assistita.

Nel dare riscontro a numerosi reclami, segnalazioni e quesiti, nel 2016 il Garante è stato poi chiamato a pronunciarsi su delicate fattispecie. In particolare, tra le principali criticità riscontrate nelle istruttorie, sono emersi trattamenti carenti della informativa agli interessati propedeutica al consenso per il trattamento dei dati personali sulla salute per finalità di cura. Specifico interesse è inoltre dedicato alle segnalazioni connesse alla violazione delle disposizioni dettate dal Codice (e da specifiche disposizioni di settore) a tutela della dignità e riservatezza delle persone connessa al trattamento dei dati personali delle donne che decidono di partorire in anonimato e all’accertamento dell’infezione da HIV.

Ancora nel 2016, l’Autorità ha partecipato ai lavori del tavolo tecnico per l’attuazione delle disposizioni inerenti il Fascicolo sanitario elettronico (Fse).

Il Garante è tornato anche quest’anno a pronunciarsi in merito all’utilizzo di dati personali per fini di propaganda elettorale attraverso il ricorso a modalità automatizzate di contatto, ribadendo che, nell’ambito di consultazioni elettorali, i candidati non possono usare a fini di propaganda elettorale i dati personali in loro possesso per ragioni istituzionali.

Sul fronte della scuola e dell’università, tra le altre iniziative, è stata pubblicata una guida destinata a studenti, famiglie, docenti e personale amministrativo che aiuta a muoversi con più consapevolezza nel mondo della privacy. Un altro provvedimento di particolare interesse in materia è quello adottato il 21 aprile 2016, con il quale il Garante ha espresso un parere sullo schema di decreto del MIUR volto a modificare il regime di conservazione (da temporaneo a perpetuo) di alcune tipologie di dati personali degli studenti, acquisiti all’Anagrafe nazionale degli studenti (Ans). Sulla scorta che la disciplina in materia di dati personali prevede che la conservazione dei dati avvenga “in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati” (artt. 4, comma 1, lett. a), 11, comma 1, lett. e), del Codice), l’Autorità ha rilevato, in primo luogo, che il testo della norma non permette di comprendere quali siano le ragioni che giustificherebbero l’allungamento del periodo di conservazione dei dati ed ha, inoltre, chiesto di individuare con maggiore precisione le informazioni a cui il decreto si riferisce, nel rispetto dei principi di finalità, necessità, pertinenza, non eccedenza e proporzionalità dei dati.

A seguito del completamento nel 2015 del Jobs Act, il 2016 ha visto il Garante impegnatonella protezione dei dati personali anche nell’ambito del rapporto di lavoro, pubblico e privato. L’Autorità è intervenuta in particolare in relazione alla nuova disciplina dei controlli a distanza dell’attività dei lavoratori, innovata dall’art. 23, d.lgs. n. 151/2015, che ha modificato l’art. 4 del cd. Statuto dei lavoratori. Altri interventi hanno toccato il trattamento di dati personali effettuati attraverso sistemi (per lo più applicativi installati su dispositivi smartphone) che consentono la localizzazione geografica dei dipendenti nell’ambito del rapporto di lavoro.

Nell’anno di riferimento, il Garante ha insistito ancora sugli obblighi di trasarenza della P.A., nell’ottica del giusto bilanciamento che deve esserci tra l’obbligo di pubblicità degli atti e la tutela della riservatezza e dignità delle persone, soprattutto quando si tratta di dati sensibili o giudiziari.

Significativo è stato contributo in materia di accesso civico a dati e documenti detenuti dalla pp.aa. (si segnala il provvedimento recante l’Intesa sullo schema di linee guida Anac recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico).

È proseguita l’attività di vigilanza sulle grandi banche dati pubbliche e particolare attenzione è stata dedicata all’Anagrafe Tributaria. In materia di fiscalità,  infatti, il Garante è intervenuto al fine di garantire maggiore sicurezza nell’accesso dei dati: negli anni 2015 e 2016, sono state programmate una serie di verifiche funzionali ad accertare il rispetto delle specifiche prescrizioni impartite negli anni dall’Autorità, volte a prevenire accessi non autorizzati e trattamenti illeciti dei dati personali, nonché ad assicurare la qualità dei dati (pertinenza e non eccedenza, esattezza e aggiornamento).  

Sempre in tema di fiscalità, particolare attenzione è stata dedicata all’iter di approvazione della normativa di attuazione della cd. dichiarazione dei redditi precompilata.

 Il Garante si è inoltre occupato della nuova modalità di riscossione del canone di abbonamento alle radioaudizioni (canone Rai) per i titolari di utenza elettrica, mediante addebito sulle fatture emesse a decorrere dal mese di luglio 2016: con la legge di stabilità dello stesso anno, infatti, è stata introdotta una nuova disciplina fiscale basata sulla presunzione legale di possesso dell’apparecchio televisivo nel caso in cui esista un’utenza per la fornitura di energia elettrica nel luogo in cui un soggetto ha la sua residenza anagrafica.

A tale scopo, è previsto che l’Anagrafe tributaria, l’Autorità per l’energia elettrica, il gas e il sistema idrico, l’Acquirente Unico S.p.A., il Ministero dell’interno ed gli Enti Locali siano autorizzati allo scambio e all’utilizzo di tutte le informazioni utili, ed, in particolare, dei dati relativi alle famiglie anagrafiche, alle utenze per la fornitura di energia elettrica, ai soggetti tenuti al pagamento del canone di abbonamento alla televisione, nonché ai soggetti beneficiari di agevolazioni.

Considerati anche i recenti e ben noti fatti di cronaca, come già avvenuto negli ultimi anni, anche nel 2016 il Garante è stato più volte chiamato a esprimersi in ordine al trattamento di dati personali effettuato tramite sistemi di videosorveglianza in ambito pubblico ovvero in merito alla possibilità di installare tali sistemi all’interno di asili, strutture sanitarie ed assistenziali al fine di prevenire atti di violenza nei confronti di minori o anziani. Il Garante, data l’invasività di tali forme di controllo, ha sottolineato come “la liceità del fine perseguito non è di per sé sola sufficiente per legittimare l’uso generalizzato e continuativo di telecamerein strutture deputate alla relazione di cura e che ospitano soggetti la cui personalità, ancora in fieri, potrebbe essere segnata da esperienze di controllo sistematico (soprattutto i bambini potrebbero sviluppare una concezione “distorta” della propria libertà, considerando come appartenente alla “normalità” il fatto di essere sempre controllati)”. Ferma questa considerazione di fondo, lAutorità ha comunque previsto l’ammissibilità di installazione in presenza di fattori di rischio specifici e nel rispetto dei princìpi di necessità e proporzionalità.

In ultimo, merita sicuramente attenzione il tema dei trasferimenti transfrontalieri di dati personali, considerato il crescente numero di autorizzazioni rese dal Garante in materia di Binding corporate rules (Bcr) (strumento volto a semplificare il trasferimento di dati personali dal territorio Italiano verso Paesi extra-UE tra società facenti parti dello stesso gruppo multinazionale). L’Autorità ha ritenuto opportuno avviare un’indagine conoscitiva e di monitoraggio sui flussi transfrontalieri infra-gruppo di alcune grandi multinazionali. Lo studio ha rivelato come  le aree geografiche maggiormente interessate da tali trasferimenti riguardino gli U.S.A., l’Asia, l’America centro sud, ma anche l’Europa dell’est e l’Africa e che i dati personali oggetto di trasferimento si riferiscono al personale dipendente (compresi gli ex dipendenti e i familiari); ai dati dei clienti (anche potenziali), nonché a fornitori e soggetti terzi.

Questi solo alcuni degli interventi che hanno impegnato il Garante della Privacy nel corso del 2016: un lungo percorso è stato già avviato, ma tanto c’è ancora da fare in vista dell’appuntamento con l’Europa del 26 maggio 2018.

Share this article!
Share.

About Author

Leave A Reply