21 Marzo 2022 by in Privacy e GDPR

Deliberazione del 22 dicembre 2021

Attività ispettiva di iniziativa curata dall'Ufficio del Garante

Registro dei provvedimenti
n. 452 del 22 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo ai trattamenti dei dati personali, nonché alla libera circolazione dei dati (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI gli articoli 157 e 158 del Codice e l’art. 58 del Regolamento concernente, in particolare, i poteri di indagine;

VISTI gli artt. 2, comma 1, lettere a) e c), 6, 7 e 8 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante (doc. web. n. 1098801);

VISTI i regolamenti del Garante n. 1/2019 – concernente le procedure interne all’Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, con particolare riferimento agli artt. 4, 21 e 22 (doc. web n. 9107633) e il regolamento n. 2/2019, concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali (doc. web n. 9107640);

VISTO il protocollo di intesa con la Guardia di finanza del 30 marzo 2021;

VISTA la deliberazione del Garante n. 286 del 22 luglio 2021, recante la programmazione dell’attività ispettiva limitatamente al periodo luglio – dicembre 2021;

RITENUTA l’opportunità, anche al fine di stabilire le priorità in relazione alle risorse disponibili, di individuare nuovamente princìpi e criteri che devono informare, con cadenza periodica, l’attività ispettiva di iniziativa, intendendo per tale l’accertamento in loco curato dal personale dell’Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni;

RITENUTA l’opportunità di dare pubblicità alle scelte operate;

TENUTO CONTO dei procedimenti ispettivi in corso al momento dell’adozione della presente deliberazione, nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

DELIBERA:

1. limitatamente al periodo gennaio-giugno 2022, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:

a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

trattamenti di dati personali nei confronti di “fornitori di database”;

trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;

trattamento di dati personali nel settore della c.d. “videosorveglianza”;

trattamento di dati da parte di siti di incontri; operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys;

algoritmi e intelligenza artificiale in ambito pubblico e privato;

b) ad accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app. e altri applicativi informatici; attenzione particolare sarà riservata all’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone e alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19;

2. l’attività ispettiva programmata con deliberazione in data odierna riguarderà, relativamente ai punti a), e b) di cui al punto 1), n. 60 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza.

Resta fermo che l’Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio, ovvero, in relazione a segnalazioni o reclami proposti.

L’Ufficio informerà il Collegio sull’individuazione dei soggetti di cui ai punti a), e b) e riferirà, alla fine del semestre, sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).

Garante privacy su cookies, smart toys, app “rubadati”

Riflettori del Garante privacy su cookies, smart toys, app “rubadati”
Parte il piano ispettivo del Garante privacy per il primo semestre 2022

 

Smart toys, cookie, app “rubadati”. Ma anche siti di incontri, monetizzazione dei dati, database. Sono questi i nuovi settori su cui si concentrerà il piano ispettivo per il primo semestre di quest’anno appena approvato dal Garante privacy.

L’attività di accertamento dell’Autorità, svolta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, verificherà la correttezza dei trattamenti di dati personali effettuati dai siti di incontri, dagli operatori della cosiddetta monetizzazione dei dati, dai produttori e distributori di smart toys e quelli trattati mediante algoritmi e sistemi di intelligenza artificiale. Ma le attività ispettive riguarderanno anche i dati trattati da fornitori di database, la  gestione dei cookies da parte delle piattaforme e dei siti web, l’uso dei sistemi di videosorveglianza.

Ulteriori accertamenti faranno luce sulla corretta individuazione dei titolari e dei responsabili del trattamento in ambiti pubblici e privati, anche in relazione all’utilizzo di app e altri applicativi spia.

Attenzione particolare sarà riservata all’acquisizione di dati personali da parte di app istallate sugli smartphone e alla verifica del corretto trattamento dei dati da parte di app diverse da “Verifica C19”.

Il Garante potrà svolgere ulteriori attività ispettive d’ufficio, o sulla base di segnalazioni o reclami.

 

Marketing: il Garante privacy sanziona l’utilizzo di liste non verificate
Il committente risponde anche per le società di cui si avvale. Grave il fenomeno delle “scatole cinesi”

 

Chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Questa la decisione del Garante per la privacy nel sanzionare due società per l’invio di milioni di sms pubblicitari.

L’Autorità era intervenuta su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi indesiderati. Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere riscontri soddisfacenti su dove avessero acquisito i loro dati personali.

Nel corso dell’istruttoria, il Garante ha verificato che la società committente aveva incaricato un’azienda operante nel marketing di inviare sms promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri fornitori che a loro volta avevano acquisito le banche dati da terzi. In questa successione di passaggi, sul modello delle scatole cinesi, è emerso che i dati delle persone contattate provenivano da liste non verificate – con evidenti profili di illiceità – costituite da soggetti esteri con informazioni in parte derivanti da registrazioni a portali informativi o da concorsi online. Due list editor avevano dichiarato la propria sede in Florida e in Svizzera senza aver neppure nominato un proprio rappresentante in Italia, in violazione del GDPR. Al riguardo l’Autorità ha ricordato che l’ordinato svolgimento delle attività di marketing, con l’utilizzo di dati raccolti lecitamente e aggiornati, oltre ad evitare pericolose derive (quali phishing e truffe), giova al mercato stesso tutelando gli operatori virtuosi e rafforzando la fiducia degli interessati. È pertanto necessario adottare la massima diligenza nella selezione delle banche dati.

Il Garante ha quindi sanzionato la società committente per 400.000 euro, in quanto titolare del trattamento dei dati, per non aver mai verificato che l’azienda incaricata dell’attività promozionale eseguisse correttamente le istruzioni previste nel contratto.

Alla seconda società, in quanto fornitore del servizio di marketing, il Garante ha vietato l’uso di dati provenienti da fonti che non rispettino i requisiti minimi di legittimità e ha imposto una sanzione di 200.000 euro.

Una terza società, coinvolta nell’istruttoria per acquisire informazioni, ha ricevuto una sanzione di 90.000,00 euro per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di precedente sanzione.

Tutte le sanzioni sono state calcolate sulla base di vari parametri, tra il cui fatturato societario, il grado di collaborazione offerto e la gravità delle violazioni commesse.

Fisco: Garante privacy, attenzione alla limitazione dei diritti dei contribuenti

Il Garante per la privacy ha espresso parere favorevole, con alcune osservazioni, sullo schema di decreto del MEF che individua le categorie e le finalità dei trattamenti di dati, connessi alla lotta all’evasione fiscale, per i quali viene limitato l’esercizio dei diritti dei contribuenti.

Lo schema di decreto, che attua quanto previsto dalla legge di bilancio 2020, prevede che l’Agenzia delle entrate, dopo la pseudonimizzazione di specifici set di dati contenuti nell’archivio dei rapporti finanziari, attraverso processi automatizzati e interconnessioni con le altre banche dati di cui dispone, individui i criteri di rischio utili per far emergere le posizioni da sottoporre al controllo.

Lo schema in esame, tiene già conto di alcune indicazioni fornite durante le interlocuzioni informali intercorse con il MEF e l’Agenzia delle entrate, ma, poiché le limitazioni alla portata dei diritti dei contribuenti incidono in modo rilevante sulla protezione dei dati personali, l’Autorità ha chiesto ulteriori modifiche per assicurare la conformità dei trattamenti alla normativa privacy europea e nazionale.

Considerate le caratteristiche dei trattamenti che si intendono effettuare, il Ministero dovrà introdurre specifiche cautele per quelli automatizzati, in modo da ridurre i rischi per i contribuenti: in particolare per quanto riguarda la rappresentazione della capacità contributiva e poter quindi correggere potenziali errori o distorsioni che potrebbero verificarsi nel processo decisionale.

Il Mef dovrà poi specificare nel dettaglio le categorie di dati oggetto di limitazione e nell’informativa indicare in modo più trasparente le attività di profilazione degli interessati.

Il Garante ha inoltre chiesto di integrare lo schema di decreto prevedendo specifiche garanzie per il differimento del diritto di accesso dei contribuenti che, all’esito degli accertamenti, saranno risultati in regola.

L’adeguatezza delle misure a tutela dei diritti e delle libertà degli interessati sarà verificata dall’Autorità nell’ambito dell’esame delle valutazioni di impatto sulla protezione dei dati che saranno predisposte da Agenzia delle entrate e Guardia di finanza, e del provvedimento del Direttore dell’Agenzia.

 

L’ATTIVITÁ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

  • “Visibili o sorvegliati? La vita nella Rete”. I giovani e la privacy online al centro della Giornata europea della protezione dei dati personali organizzata dal Garante. Nel corso di un incontro con gli studenti saranno diffusi i dati di un sondaggio commissionato dall’Autorità – Comunicato del 26 gennaio 2022
  • Cybersecurity: al via la collaborazione tra Garante privacy e Agenzia per la
    cybersicurezza nazionale – Comunicato del 26 gennaio 2022
  • Telemarketing aggressivo. Il Garante privacy sanziona Enel Energia per 26 milioni e 500 mila euro. Dati dei consumatori usati senza consenso e mancato rispetto del principio di responsabilizzazione – Comunicato del 19 gennaio 2022
  • Telemarketing selvaggio: Garante privacy, per i consumatori in arrivo novità importanti. Gli utenti potranno opporsi anche alle telefonate effettuate con sistemi automatizzati – Comunicato del 18 gennaio 2022
  • Covid, geolocalizzazione dei positivi a Ravenna: il Garante privacy ha aperto un’istruttoria – Comunicato del 17 gennaio 2022
  • Garante privacy: attenzione alle app che trattano dati sanitari. Aperta un’istruttoria su un’app realizzata dall’associazione Covid Healer – Comunicato del 30 dicembre 2021
  • Fatturazione elettronica: Garante privacy, necessarie maggiori garanzie per la memorizzazione dei dati. Sì condizionato alle nuove regole tecniche dell’Agenzia delle entrate – Comunicato del 27 dicembre 2021
Comments
Share
Claudio Rivelli

«Il genio non è altro che una grande attitudine alla pazienza.» Nato a Roma l’08/08/1968, ha conseguito il diploma di maturità classica e si è laureato in Chimica con lode all’Università degli Studi “La Sapienza”. Dal 1996 occupata di salute e sicurezza nei luoghi di lavoro e nel 2004 ha fondato la Studio Rivelli Consulting s.r.l., credendo fortemente nell’importanza di realizzare sinergie di professionisti con specifiche competenze al servizio delle Aziende. Gli Imprenditori che si affidano a noi non trovano un semplice fornitore di servizi, ma un Partner affidabile che consente loro di pensare serenamente al proprio business.

logo

 Lun - Ven:
9.00 / 13.00 - 14.00 / 18.00
 +39 06 886 439 98